CS四方山話(第1話)セキュリティ対策事始め
CSとは一体なにか? 語源をさかのぼると…
初めまして。静脈認証やセキュリティ・キャビネット、 入退室&ログオン管理システムなど、セキュリティ関連のトータルアクセスコントロール・ソリューションを提供しているSYNCRO(https://www.udc-synchro.co.jp/)の中村と申します。今回からセキュリティのコラムを担当させていただきます。
第1話ということで、まずはコラムのタイトルの話から始めたいと思います。CSは「Cyber Security」 = 「サイバーセキュリティ」を意味します。この名称を使うのは、2021年から弊社が「サイバーセキュリティ事業部」という部門を新設したからで、「CS」と表記しているのは長いと文字数を無駄に消費するためです。ちなみに、経済産業省にも「サイバーセキュリティ課」が存在します(こちらの方が、かなり先輩です)。
では、このCyber Securityとは何でしょう?
Cyber は、1947年に米国の数学者Norbert Wienerが提唱したCybernetics が語源とされています。Cyberneticsとは「通信、制御、情報処理を統一的に扱う概念(科学分野)」という感じです。
Securityは、辞書的な意味では「害からの保護。一般には保安や、犯罪や事故などを防止するための警備」で、よりCyberな色合いを強くすると「オペレーション(日々の営み)が、運営主体によって、あらかじめ定められたプランに則って運営され、理由の如何によらず、それが阻害されないこと」(*1)となります。雑駁に言えば「オフィスや家でパソコンやスマートフォンを使うときに悪いことが起きないようにすること」という感じでしょうか。
この連載では、このCSに関して、いろいろな側面でお話ししたいと思います。
専門的になり過ぎないように気を付けようと思っていますが「仕組み」には触れたいと思います。なぜならば、仕組みを理解すれば、より上手く楽しく使うことができるようになると思うからです。自転車の原理を知らなくても自転車に乗ることはできます。しかし、キャスタ角やジャイロ効果を知れば、乗りこなす楽しさが増すかも知れませんし、ブレーキやチェーンの構造を知れば、メンテナンスに役立つかも知れません。
パソコンやスマートフォンを手放せないとすれば、そこで何が起こっているのか、その仕組みも垣間見てもらうことで、何か御利益があるのでは? と思う次第です。
なぜ、Cyber Security対策が求められるのか?
世の中が平和であれば、誰もが善人であれば、保安や警備は必要ありません。しかし、この世の中はそう甘くはありません。これはインターネットを中心とするネットワークの世界、サイバー空間にいても残念ながら同様です。
現実世界と同様にウイルスなるものが存在し、感染するかも知れません。コンピュータウイルスに感染しても体調は崩れませんが、個人情報やパスワードを抜き取られたり、コンピュータの処理能力を勝手に使われたりするかも知れません。フィッシングサイトに誘導されて、変なモノを買わされるかも可能性もあります。
企業においては、オフィスのネットワークに侵入されて、機密情報や顧客情報を盗まれる危険もあるでしょう。さらには、その情報を人質に身代金を要求されるという場合もあります。社会インフラにおいては、大規模な負荷を掛けられて機能不全に陥らせるテロに見舞われるリスクも考えられます。
そうした「悪いこと」が起きないようにするためにCyber Securityは必要です。
現実世界でどんな脅威があり、被害が起きているのか?
いきなりCyber Securityの方法論について語るのは止めておきましょう(初回ですし、突っ走りすぎると事務局さんにもたしなめられそうですし)。
どんな脅威があるのか? は、IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ10大脅威」(*2)を参照してみましょう(毎年、ランキング形式で情報提供しています。2021年3月26日の最新版を引用します)。
経済産業省の白書では「サイバーセキュリティに関する問題が引き起こす経済的損失は、全世界で6,000億ドルから多いもので22兆5,000ドル、日本国内でも1社当たり数億円の損失が生じるものと算出されている」(*3)とあります。サイバーセキュリティに関わる事件が報道されることが日常化しており、企業にとってその対策は必須になっています。
毎年増え続けるサイバー攻撃、スマートフォンへの攻撃も
サイバー攻撃に関しては、NICT(国立研究開発法人 情報通信研究機構)が、ダークネットとハニーポットを使った調査結果「NICTER 観測レポート 2020」を公表していますので、これを参照しましょう(ダークネットというのは、DNS登録されておらず、一般へ利用を公開していないがインターネットからのアクセスが可能なIPアドレスです。ハニーポットとは「囮」(おとり)で、あえて脆弱性を残したり模擬したりして、攻撃を誘発させる仕組みです)。
IPアドレス辺り攻撃(と推定される)パケットの数はグラフの通りうなぎ登りです。
NICTの分析によれば、対象(ポート)をtelnet、sshなどログイン、HTTP、HTTPSなどWebアプリケーションへの侵入、データベースへのアクセスなどに絞った攻撃と、ポートスキャンという調査目的の攻撃に分けられます(調査はアクセス可能なポートを探るための準備段階です)。
高名なIoTボットである「Mirai」の感染に関する調査も行われていますが、Miraiには亜種が多くあることもあり、この調査はあまり上手くはいっていないようです。また、スマートフォンや組込OSのAndroidを狙った攻撃も、2018年2月から観測されはじめていることにも触れられています。
さて、紙面(文字数)の都合で、今回はここまでです。少し物足りないですか? 腹八分目ぐらいが丁度良いのです。次回は、サイバーアタックに関してもう少し掘り下げてみたいと思います。
(*1)”日本ネットワークセキュリティ協会設立15周年記念論文”, セコム株式会社 IS研究所 甘利康文
(*2)”情報セキュリティ10大脅威 2021”, 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2021.html
(*3)”令和2年版情報通信白書”, 総務省, https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134120.html
(*4)” NICTER 観測レポート 2020”,国立研究開発法人情報通信研究機構,
https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf
◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
中村 健(Ken Nakamura)
株式会社SYNCHRO 取締役 CTO
機械屋だったはずだが、いつの間にかソフト屋になっていた。以前は計測制御、知識工学が専門分野で、日本版スペースシャトルの飛行実験に関わったり、アクアラインを掘ったりしていた。VoIPに関わったことで通信も専門分野に加わり、最近はネットワークセキュリティに注力している。
https://www.udc-synchro.co.jp/