サイバー空間で行われる諜報活動、「サイバーインテリジェンス」に基づく攻撃の脅威が指摘されている。国や企業が保有する機密情報を狙ったこの攻撃に対しては、企業・組織の垣根を越えた対策が必要だ。攻撃者が展開するサイバーインテリジェンスに対し、企業経営者は何を考え、どう取り組むべきなのか。脅威インテリジェンスを専門とするサイントの岩井 博樹氏に聞く（聞き手：日経BP総合研究所 上席研究員 菊池 隆裕）。

株式会社サイント
代表取締役
岩井 博樹氏
2000年にラック入社。サイバー攻撃による情報漏洩事案、訴訟問題などを含め、セキュリティ事案を多く対応する。2013年にデロイト トーマツに入社。セキュアサイトの構築やセキュリティ設計などのコンサルティング業務、セキュリティ監視業務、デジタル・フォレンジック業務などに携わる。2018年にサイントを創業し現職。

日本独自の情報収集・分析で企業・組織を支援

―― 岩井さんは、情報セキュリティ企業からキャリアをスタートして、2018年にサイントを設立しています。設立の背景を教えてください。

岩井　軍隊を持つ国では、防衛産業のもとにサイバー空間での情報収集・分析を行うインテリジェンス（諜報活動）企業があることが一般的です。日本には軍隊がないため、そのような産業構造になっておらず、必要な情報は同盟国から入手していました。そのため、「国や企業の未来のために情報セキュリティ対策に取り組む」という意識は、諸外国に比べて弱かったと思います。

私は長年、そこに危機感を抱いていました。そこで、これらの諜報活動をはじめとする攻撃に対し、日本独自の情報収集・分析で対抗するインテリジェンス企業をつくろうと立ち上げたのがサイントです。

―― 近年のサイバー攻撃は高度化、巧妙化し、ビジネスの大きな脅威となっています。コロナ禍で働き方が大きく変わり、従来型の境界防御が無力化しつつある中、日本企業を取り巻くサイバーリスクについてはどう見ていますか。

岩井　おっしゃる通り、組織の外と内のネットワークの境界での防御に頼れなくなっているのは間違いありません。社員の働く場所が分散したことで、エンドポイントでの対策がより大きな意味を持つようになっています。

一方、攻撃の手法も変化しています。これまでのメールやWebサイト経由で組織に侵入する攻撃に加えて、VPNなどの機器の脆弱性が狙われるようになったのがその一例です。また、テレワークや在宅勤務が増えると、企業によるデバイスの一元管理が難しくなります。社員が私用で使ってしまうなどの行為をきっかけとしたSNS経由のサイバー攻撃も増えています。亡くなった企業経営者のアカウントを乗っ取り、なりすまして業界関係者や社内関係者などに接触する。他人の戸籍を乗っ取る“背乗り”という犯罪は昔からありますが、そのオンライン版といえるでしょう。このように、特定の個人を狙う攻撃が増えているのも近年の特徴といえます。

脅威は組織内部に5年、10年も残って活動を続ける

―― そのような攻撃は、国家レベルの諜報活動として行われることも増えていると聞きました。あらためて、攻撃の最新動向や、それに対応する「サイバーインテリジェンス」の傾向について教えてください。

岩井　ここ数年で顕著なのは、防御レベルの低い拠点やグループ会社、関連企業から入り込み、大手企業を侵害する脅威です。これらの脅威はネットワーク内部に継続的に残るAPT（Advanced Persistent Thereat）となって、長期間にわたり組織に被害をもたらします。

侵入経路は、先ほど紹介したようなVPN機器や、アカウントの乗っ取りなどです。グローバルに拠点や関連企業を持つ企業の場合、国・地域ごとに従うべき法律やセキュリティに関するルールが異なるため、全社統一のセキュリティ対策を実施することが困難です。どうしても国ごとに濃淡が出てしまうのですが、攻撃者はそこを突いてくるのです。

APTの場合、5年、ときには10年にわたって諜報活動を続けるため、インシデント対応は1、2年で終わることはまずありません。グローバル企業の場合、ある拠点のデータを別の国・地域に持っていかれたら、我々がそれを追いかける。するとまた別の地域に逃げるので、さらに追いかける。サイバー空間上で鬼ごっこを続けながら、徐々に追い詰めていくようなイメージです。

―― 対策が後手に回ってしまうと、より多くの時間やコストが必要になると思います。企業はどのような対策に取り組むべきなのでしょうか。

岩井　エンドポイント対策では、デバイスそのものを守るのと同様に、「人」を守る視点も重要です。現在はテレワークが急速に普及して、企業は人を適切に管理することが難しくなっています。この管理を強化する方法や仕組みを考えることが大切だと思います。

また、定義ファイルに基づいて脅威を検知・駆除する従来のアンチウイルスソフトだけでは、次々生まれる脅威を防ぐことは難しくなっています。ふるまい検知などのシステム動作にフォーカスした技術の導入も、重要になっているのではないでしょうか。

加えて、これからは「いかに脅威と共存するか」という視点を持つことが不可欠です。水際で100％防ぐことができない以上、たとえ情報が盗み出されても問題ない状態をつくる。例えば海外では、ファイルは平時から暗号化しておき、外部送信の際だけ復号するスキームが定着しつつあります。日本は逆で、必要に迫られたときだけ暗号化していますが、これをグローバルに揃えるといった取り組みが必要だと感じます。

攻撃者に狙われた情報は、未来のビジネスの“金の卵”

―― 様々な取り組みが必要になりますね。

岩井　加えて、日本企業がやや不得手だと感じるのは、長期的な対策の検討です。セキュリティ対策というと、とかく直近の予防策や被害極小化に目が向きがちですが、例えばAPTの場合、実害をもたらすのは数年先ということがあります。そのため、セキュリティ対策やインシデント対応は「直近」と「数年先」の2軸でとらえ、継続的に強化し続ける視点が必要です。

また、予防策を講じるのは重要ですが、度が過ぎると、定義ファイルを延々と増やすような“いたちごっこ”になります。そのため、一定の対策は行いつつ、一方では脅威を詳しく調べる取り組みも行っていくことが望ましいと思います。侵入経路をトラッキングしたり、脅威を隔離して安全に長期間観察したりできるようなソリューションを導入し、「なぜ攻撃を受けたのか」を検証する。これが、より効率的な対策を実施するための第 一歩になるはずです。

実際、米国や欧州では、捕らえた脅威をつぶさに観察することで、攻撃者の目的や素性を分析する「インキュベーション」という取り組みが進んでいます。ここから、より効果的な対策手法についてはもちろん、企業の経営方針に関する重要なヒントも得られると私は考えています。

―― どのようなヒントが得られるのですか。

岩井　攻撃者に狙われた情報は、イコール「市場にとって価値のある情報」です。つまり、攻撃の詳細を調べることは、自社内に眠る“金の卵”を見つけ出すプロセスといえるのです。その情報資産を効果的に活用すれば、さらなる成長やビジネスイノベーションにつなげることができるかもしれません。経営戦略の重要な要素として、インキュベーションの考え方を取り入れることが肝心です。

―― 情報セキュリティ対策は、経営戦略においても重要なものになっているのですね。最後に読者へのメッセージをお願いします。

岩井　サイバーセキュリティ対策を単なる間接コストと考えてしまうのは、もったいないと思います。防御を固めて「守ればいい」。ランサムウエア攻撃で金銭を要求されたら、「払って終わりにすればいい」。これは大きな間違いです。

これからの経営層に求められるのは、リスクに対する想像力です。攻撃者が時間と手間をかけてでも欲しい情報が、自社内にある。それならば、適切なインシデントレスポンスやインキュベーションの取り組みを実施することで、自社の強みを発見し、経営戦略に生かしてもらいたいと思います。