「ハニーポット」と呼ばれるおとりシステムで実際のサイバー攻撃を観測し、それがもたらすリスクや攻撃者の意図を推定する――。こうしたアプローチで、最新の情報セキュリティリスクを研究しているのが横浜国立大学の吉岡 克成氏だ。現在のインターネット空間にはどのような脅威が存在しているのか。また、企業・組織がそれに対応するために、経営層が考えるべきことは。IoT領域とエンドポイント対策の共通点、サプライチェーン攻撃への対応方法などと併せて、考えを聞いた（聞き手：日経BP総合研究所 上席研究員 菊池 隆裕）。

横浜国立大学大学院環境情報研究院
准教授
吉岡 克成氏
2007年 横浜国立大学学際プロジェクト研究センター 助教、2011年より現職。ほか総務省「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」「5Gネットワーク構築のためのセキュリティガイドライン策定等有識者会議」、一般社団法人 電子情報技術産業協会「サイバー・フィジカル・セキュリティ対策促進事業・有識者会議」などの委員も多数務める。

現実のサイバー攻撃を観測することでリスクを可視化する

―― 先生の研究室では、おとりシステム「ハニーポット」を使い、実際のサイバー攻撃の動向を観測されています。仕組みの概要や狙い、現在までの成果などを教えてください。

吉岡　インターネット空間は、我々が想像できないほどの広がり、多様性を持つネットワークです。そのため、そこで行われるサイバー攻撃をすべて把握するのは不可能ですが、おとりを使うことで効率的に脅威を観測できます。セキュリティに不備のあるサーバーやネットワークをわざとインターネット上にさらし、観測を行います。するとそこに攻撃が仕掛けられるので、攻撃の手法や侵入前後の行動、攻撃の内容を詳細に分析したり、攻撃者の意図などを推測したりするのが基本的な目的です。

このハニーポットは8年ほど前から運用していますが、多く観測されるのは、標的を特定しない無作為な攻撃です。例えば、ランサムウエアによる攻撃も、まずは脆弱性のあるシステムを幅広く探索し、穴を見つけたら攻撃を仕掛けるというパターンが多くあります。多くの攻撃を行う中、一定の割合で“身代金”を支払う被害者が存在し、ビジネスとして成り立つために、攻撃が増加しているのでしょう。

―― どんな企業も、もはや攻撃の被害と無縁ではいられないということですね。

吉岡　その通りです。一方、大企業や社会インフラを担う重要拠点などでは、明確な意図を持つ攻撃者がピンポイントで狙ってくることが想定されます。それらの拠点は、既に高度なセキュリティ対策を実施していることが多いですが、攻撃側の技術も高くなっており、安穏としてはいられません。

さらに攻撃者は、脆弱な組織の情報をダークウェブ上のフォーラムなどで互いに共有しています。より効率的に攻撃を行うために分業もしているようです。このようなサイバー攻撃のエコシステムが構築されていることが、昨今の特徴といえるでしょう。

システムの脆弱性から人の脆弱性へと狙いが変化

―― また、先生はサイバー攻撃への対策も研究しておられます。ビジネス現場のセキュリティ対策とIoTシステムのセキュリティ対策には、どのような関係性があるのでしょうか。

吉岡　特に対策技術の変遷に、大きな共通点があると私は考えています。例えば、PCも以前は、ネットワークにつないだだけでマルウエア感染するほどセキュリティが脆弱な時代がありました。これに対してOSのセキュリティ機能向上やセキュリティソフトの導入により、システムを強固にする努力が継続的に行われてきました。結果、以前ほど容易に侵入されることはなくなり、脆弱性への対応も迅速になりました。

しかし、そうなると今度は、攻撃者はシステムではなく「人」を狙うようになりました。ある人のメールアドレスを不正に入手し、その人になりすまして、近しい人にメールを送る。文面も、直前のやりとりをふまえたものになっているので、受信者側はつい信用してしまいます。このような、人の隙を突いたり判断を誤らせたりするような攻撃には、システム自体のセキュリティ強化だけでは対処できません。結果、標的型メール攻撃が横行する現在の状況が存在しています。

IoT領域では、まだシステム自体のセキュリティが不十分であり、それを突いた攻撃が多くなっています。今後、機器自体の対策が進んでくると、運用する人の設定ミスや判断ミスを狙った攻撃も出てくると思います。人が穴になり得る以上、そこをしっかり守らなければ組織のリスクを防ぎ切ることはできません。これはIoTもPCも同じです。

―― 確かに最近の標的型メール攻撃は、ビジネスメールの「Re:」に返答してくるなど、巧妙なものが多いと聞いています。こうした攻撃に対応するには、システムの守りを進化させると同時に、人の意識やスキル向上も必須ですね。

吉岡　おっしゃる通りです。攻撃を行う側としては、システムでも人でも、狙いやすい穴を狙う方がコストパフォーマンスがいいですから。ある穴を埋められたら、ほかの穴を狙う。そのスキームは共通していると感じます。

被害にあっても早期に回復できる体制が重要に

―― もう1つ、近年の特徴的なサイバーリスクに、機器の出荷前段階でウイルスなどを混入させる「サプライチェーン攻撃」が挙げられます。これについてはどのようにご覧になっていますか。

吉岡　ここまでシステム、人という2つの脆弱性について話してきましたが、サプライチェーンは3つ目のリスクポイントといえるかもしれません。

製品製造現場でのウイルス侵入、流通過程での攻撃など、いろいろなケースが確認されています。また、メインのシステムや機器と一緒に導入・利用される監視システムなどが狙われることもあり得ます。メーカーから配信されるアップデートファイルに不正コードが仕込まれてしまえば、更新を機に同時多発的に感染が広がる可能性もあるでしょう。

このリスクを防ぐには、機器を選定する際にセキュリティ認証が取得されているかを確認することが不可欠になります。同時に、導入後のサポート体制などを含めて、総合的にメーカーやシステムを評価することも大切です。さらに、あらゆるデバイスや人を信用せず、都度の認証を行う「ゼロトラスト」の環境を構築し、脅威に侵入されることを前提とした対策も立てるべきだと思います。

―― 機器の選定プロセス自体を見直すとともに、「リスクは既に内部にある」という観点を持つことが重要なのですね。

吉岡　その際、キーワードになるのが「レジリエンス^※」です。たとえ攻撃を受けても、被害を最小限に抑えることができれば事業を長期間停止しなくて済みます。脅威を防ぎ切ることが不可能な時代、このレジリエンスは、企業が事業継続性を高めるために必要な概念になると考えています。

※Resilience：復元力、回復力、弾性（しなやかさ）などと訳される。ビジネスにおいては、様々な環境の変化にも適応し、生きのびる力のことを指す。

研究成果の提供などを通じて、産業界との連携を図っていく

―― 時流に即したサイバーセキュリティ対策を推進し、ビジネスの安全を守るため、改めて、読者へのメッセージをお願い企業・組織のセキュリティ向上に向け、アカデミアが果たすべき役割、提供できる価値とはどのようなものだと考えていますか。

吉岡　サイバーセキュリティの研究は、現実世界で起こっている脅威をテーマにする必要があるため、大学の研究室内に閉じた取り組みでは限界があります。そこで我々は、産・官・学の連携をさらに加速することで、より高度で多様な知見を得るとともに、企業・組織のセキュリティ対策強化に貢献していきたいと考えています。

具体的には、我々が研究・開発した技術を業務の現場に適用し、そこからフィードバックを得てふたたび研究に役立てます。これにより、サイバーセキュリティ研究の正のスパイラルを回していくことができます。そのための取り組みも既に行っており、ハニーポットで観測したマルウエアなどの情報を、十分な身元確認を行った上で様々な企業に提供しています。

実際、欧米では、優れた成果を上げる研究者の多くがスタートアップ企業を立ち上げ、自ら技術を検証しています。残念ながら日本はまだそのような活動は少ないですが、今後はアカデミアと産業界の間を、臨機応変に人材が往来できる環境が望まれると思います。私たちもそのための活動を展開していくつもりです。

―― 最後に、企業の経営者やマネジメント層にメッセージをお願いします。

吉岡　セキュリティ対策は「何も問題を起こさないこと」が目的であり、直接の利益を生む取り組みではありません。そのため、コストを気にする経営者は多いと思いますが、これからはその考えを改めなければ危険です。ひとたび被害にあえば、取引先や顧客などを巻き込んで影響が広がる可能性は大きく、経営上の損失は計り知れないものとなります。将来の利益を守る先行投資ととらえ、サイバーセキュリティ対策の再確認、強化に取り組んでいただきたいと思います。