サイバーセキュリティをどのように守るか

・マンションの玄関にはカギがついている。自分の家のドアにもカギがかかる。ここにはセコムが付いており、不審者が入ってくれば警報がなり、すぐにセコムの警備員が駆け付けてくれる。

・マンションには何か所も監視カメラがついており、記録がとられている。家には犬がいるので、気配を感じると必ず吠え出す。このような仕組みがあることが、予防と抑止に働いている。

・「地震雷火事親父」という諺からみると、1）地震には耐震構造、耐震への備え、2）雷には避雷針と避難、3）火事には防災装置、消火装置が不可欠である。

・犯罪も場合も、災害の場合も、最初の10分は誰も助けてくれない。自力で対抗し、自らを守るしかない。行動には常に細心の注意と的確な判断が必要である。それでも想定外のことが起こりうる。

・情報の安全はどのように守るか。世には詐欺師が横行している。ネットワークへのサイバー攻撃は日常茶飯事である。詐欺師にひっかからないようにするには、まずは反応せず、無視することである。慌てず、心理作戦に引き込まれないことである。本当に大事なことは、いずれ本人確認ができるような状態で伝わってくる。

・サイバーセキュリティを確保するには、機密性、安全性、可用性が問われる。1）機密性とは、アクセス権の限定である。暗号化、認証化が問われる。2）安全性とは、情報をもとのままを確保し、勝手に改ざんされないことである。アクセス履歴管理、デジタル署名などが使われる。

・3）可用性とは、必要な時にスムーズに利用できる状態を保つことである。クラウド化、システムの複合化などが問われる。さらに、4）本人であることを確認し、なりすましを防止する真正性、5）ネットで行動している動作を追跡する追跡性も重要となる。

・AIセキュリティでは、不正なデータや情報を混入させて、学習モデルを攪乱し、自らに有利なアウトプットを導くことを防ぐ必要がある。AIからのアプトプットに対して、その情報の入力はどこから持ってきたかを推定することも重要になる。さもないと、AIに騙される。

・内部情報を勝手に持ち出す情報漏洩は、当事者が確信犯である場合、事態は深刻となる。金銭的見返りを期待したり、組織への怨念に基づいたりする場合もある。ネットワークにおいては、ログインIDとパスワード（PW）を別々に管理し、サービスへのログインには、別途本人確認の仕組みを導入することも一般化している。

・日経のデジタルフォーラムで、サイバーセキュリティの講演を視聴する機会があった。サイバー犯罪は増えている。警察はこれを検挙件数からみている。2024年は年間の約1.3万件が検挙されている。サイバー警察局が全体を統括している。サイバー空間の脆弱性を探索して攻めてくる。大半が海外からの攻撃である。

・身代金を要求するランサムウェアは2024年に240件ほどあった。侵入して、暗号化して、システムを使えないようにして、金を要求する。応じないとその取得情報を公開すると脅す。

・どこから侵入してくるか。企業、病院、港湾設備など、その組織を直接攻める場合もあるが、取引先とつながっている場合など、サードパーティの弱いシステムに侵入し、そこから本体になりすまして入ってくる。

・サイバー特捜部は、国際捜査も手掛けている。暗号の解読、復号へのリバースエンジニアリングにも力を入れている。犯罪者はどの国にもいる。弱いところを狙ってくる。AIを使って、日本人になりすましてくる。政治家や、半導体、宇宙などの技術も狙われやすい。

・こうした攻撃をどのように防ぐか。未然防止、拡大防止が問われる。ランサムウェアに狙われると、その復旧には時間がかかる。身代金を支払っている場合もあろう。いずれの場合でも、費用は甚大となる。

・狙われた組織は、サイバーセキュリティについて、1）ずさんであった、2）基本的なことができていなかった、3）システム管理が不十分であった、4）セキュリティに関するガバナンスが欠如していた、という点が指摘される。

・警察庁サイバー警察局の阿久津氏は、過去の事例を教訓に、基本的な対策を実施すべしと警告する。被害にあうことを想定して、事前対策を立てる。それによってリスクを潰していく。

・攻撃された時のBCP(事業継続計画)は、サイバーと自然災害では異なる。サイバーでは、1）オフラインで必ずバックアップを取っておく、2）ログを取得して、攻撃ルートを知るようにする、3）必ず訓練しておく、ことを強調した。

・サードパーティの被害が、自社にも及んでくることを想定しておく必要がある。サプライチェーン、バリューチェーンにおけるセキュリティの確保である。

・TOPPANホールディングスの情報セキュリティ本部長である斎藤氏は、TOPPANの情報セキュリティ対策について、万全を期していると語った。マルウェア(悪質プログラム)、フィッシング(偽メール)などの攻撃は日々受けており、これらを完全にブロックしている。

・サプライチェーンでインシデント(事案)が起きると、自社への影響が懸念される。ITサービスは簡単に使えるので、これがリスクとなる。①よく理解しないで使う、②不要になったシステムをきちんと始末しない、③古いシステムのOS(基本ソフトウェア)をそのまま使っていることが危いという。

・TOPPANは、セキュリティ印刷からフォトマスク、ICチップ、ICカード、認証システムなどへ事業を拡大している。グループ企業260社にうち、170社は海外にある。グループのセキュリティマネジメントが需要になっている。

・そこで、自社でサイバーセキュリティ人材を育成する子会社を有している。また、例えば毎年メールの訓練を行っており、ここで不十分な社員には適切な指導を行っている。

・企業において、通常の防備を固めると同時に、いかに狙われないようにするか。スキがあれば侵入してくる。その時でも防ぐ体制を作っておく。リスクマネジメントは、何事も起きなくて当たり前ではあるが、そのセキュリティシステムがいかに機能しているか。ここを十分知った上で、投資を考慮したい。