サイバーセキュリティ今昔物語

ＵＮＩＸの普及と「ハッカー」の登場

私がＮＥＣに入社した1970年代には、コンピューターメーカーがそれぞれ固有のオペレーティングシステム（ＯＳ）を使用している時代で、サイバー攻撃はそれほど多くありませんでした。

しかし、90年代にＵＮＩＸ系のＯＳが世界的に普及し始めてからは、いわゆるハッカーと言われている人たちにとっては、一つのウイルスを開発すればあらゆるオープン系のシステムに適応できるようになりました。さらにインターネットの普及とともにウイルスの種類と攻撃形態は広がり、その被害は甚大なものとなってきています。

当初のウイルスは攻撃者の技術的優位性を示すための愉快犯的なものが多かったのですが、ネットの普及に伴って経済的な利益を得ようとするサイバー攻撃が急速に増加しています。被害対象は、政府、民間企業、個人とあらゆる組織に及び、一説によれば世界の被害総額は１兆ドル以上にも達すると言われています。我が国でも報告されただけでも１年間の被害額は220億円以上にのぼっています。被害にあっていることに気づかない潜在的な被害を加えると更に多いでしょう。

サイバー攻撃・防衛は「第５の戦場」に

現代の情報化社会においては、あらゆる機器がインターネットに接続されています。ＩｏＴと言われるように、一般家庭でもＰＣやスマホだけでなく、テレビ、冷蔵庫、エアコン、防犯カメラなどの家庭電化製品もネットに接続されており、これらは全てサイバー攻撃の対象となるリスクがあるのです。

何も信頼しない「ゼロトラスト」セキュリティ

そんな中で、近年、「ゼロトラスト」という概念が提唱されています。従来のセキュリティは、自社ネットワークの中は安全とみなし、危険な社外ネットとの出入り口にファイアーウォールなどを設置して防御するという考え方でしたが、ゼロトラストは、その名の通り、一切何も信頼しない、社内外すべてを疑ってかかるというセキュリティの考え方です。

どんなシステムも、最後は「人」が重要

しかし、残念ながらこれが究極の対策となることはないでしょう。いくら頑強なシステムが構築できたとしても、最終的に利用するのは「人」です。

組織トップは、重要情報についての現状把握、その価値はいくらかという評価、被害を受けた時の損失の大きさなどを分析するとともに、現状システムの脆弱点の分析を行い、損失の大きさに見合う投資を判断する必要があります。

被害を受けることを前提とした対応策をあらかじめ制定し、周知徹底するとともに、日頃から訓練を重ねることが、被害を最小限に抑えるために極めて重要と言えます。さらに現実には事前に想定したシナリオの通りにはならず、思いもよらなかった事態が連続して発生するものですので、このことも加味して対策を講じることが必要です。

その上で、システムを使用する一人ひとりが、常にＩＴリテラシーを向上させ、セキュリティ意識を継続的に保持し続ける事しかありません。

おわりに～暗号は解かれるためにある？

情報には暗号を掛けているから安全だという人がいます。本当でしょうか？実はどんな暗号でも「解かれるためにある」と言うのが現状で、時間をかければ解読できるのです。

さらに近年、悪意を持った人物はもっと手短に暗号を突破する方法として心理学を勉強している様です。これは所謂ソーシャル・エンジニアリングと言われる人間をたぶらかす手法です。いやな世の中になったものですが、妙に親切に近寄って来た人がいると、まずは疑いましょう。