2022年サイバーセキュリティニュースを振り返って ~今年の課題は~
JNSA 2022セキュリティ十大ニュース
~セキュリティニュースの二極化は何を示唆するのか~
今年のトップニュースはロシアのウクライナ侵攻。昨年の十大ニュースで「きな臭さが漂う不気味さを秘めている」としたが、その不気味さが表面に現れてきた。ロシアのウクライナ侵攻に際してのサイバー攻撃に、米国もサイバー攻撃の作戦を実行していた。
毎年恒例、JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)では年末に、その年の十大セキュリティニュースを順位付けして公表しています。昨年その冒頭での総論の中で、「日常化するセキュリティニュース」として、マスコミにおける取り扱いが形骸化し、その重要性が日常に埋没してしまい、その先にあるさらに大きな災害級の事故や事件への対策につながるどころか、警告にも程遠いと嘆いています。ここでは、その十大ニュースの中でも筆者が日常化しつつある事件、事故について思うところをコメントします。
【第2位】3月1日 取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止 ~ 改めて浮き彫りになったサプライチェーン全体でのセキュリティ対策の重要性 ~
サイバー攻撃で、トヨタという大企業の全工場が丸一日、稼働停止となったこと、その原因がトヨタ本体ではなく、取引企業へのサイバー攻撃であったことで大きな話題になりました。まさにその事件以前から危惧されていたサプライチェーンでのサイバーセキュリティの問題点が具現化したのです。しかしこれは特殊な事例ではなく、トヨタに限っても関連会社であるデンソーが幾度となく被害を受け、トヨタ本体への影響は公表されてませんが、対策を含めて少なからず影響は無視できないでしょう。トヨタだけでなく、少なくない数の企業に対する被害が顕在化した年でもありました。海外関連企業も含め、サプライチェーン全体のシステムでの脆弱性(弱点)を精査し、その穴をふさいでいくことが急務であり、いかなる中小企業であっても、単独でビジネスを行っていることは、ほぼあり得ないことから改めての注意喚起となりました。
現在に至っても、中小企業では、今だ「私(企業)は狙われない」と考えている企業が少なくありません。先ほどのトヨタの取引企業でも、トヨタのサプライチェーンとして最初から狙ったわけではなく、たまたま感染した先がそれであった可能性が高いでしょう。実際、様々な業種に対してサイバー攻撃が行われており、例えば森永製菓や明治製菓の関連会社も昨年中に被害に遭っています。ランサムウェアにしても、最近では、脅迫文に具体的な身代金額の記載はなく、通常、連絡先を書いているだけで、身代金を払え!とは書いていますが、金額は交渉次第となります。感染した相手がわかれば、その被害内容に見合った身代金を要求し、最終的には交渉によって金額が決定します。よって規模が大きく著名な会社の場合(トヨタの取引先のような)は高額な金額となり、無名の小規模企業や個人の場合はその額は数万円から数十万円となります。
またランサムウェアだけがサイバー攻撃ではありません。ランサムウェアはサイバー攻撃のほんの一部です。本来のサイバー攻撃は被害が見えません。知らないうちに、重要な情報が抜き取られていたり、改ざんされている可能性もあります。またいつでも再度サイバー攻撃が成功するようにバックドアと呼ばれる裏口が作られている可能性もあり、被害に気付かないことも多いのです。本来サイバー攻撃は気付かれることなく行われるものなのです。そのためには日頃からの対策と、万が一の被害を想定した、その後の対応策(危機管理)を行う必要があります。サイバー攻撃は日常化してますが、その被害を日常化させないことが肝要です。
【第3位】6月23日 全市民46万人余の個人情報入ったUSBを紛失 尼崎市が発表~ 情報に 対する思いの サイイタク(差異痛く/再委託) ~
【第8位】4月1日 改正個人情報保護法施行~ 迅速な法整備とそれに足並みを揃えた社会への展開が課題 ~
この内容を見た際、一番最初に思い浮かんだことは「個人情報に対する意識の違い、特にその重要さ、価値に対して」です。尼崎市の事件では、1本のUSBメモリに尼崎市民全員の、しかも住民基本台帳の情報だけでなく、住民税の情報、非課税世帯等臨時特別給付金の対象世帯の情報、生活保護受給世帯や児童手当受給世帯の口座情報等が納められ、それを個人が持ち運んでいたという事実です。極端に言えば、その価値の重さの例えとして、一人で数十億円の価値があるダイヤモンドをポケットにしまい込んで持ち歩いているようなものです。このUSBメモリを持ち運び、酒に酔って一時的にでも紛失した人は、その価値を紙屑同様に扱っていたのでしょう。
個人情報保護法の改正も後追いにならざる得ず、機械学習のための個人情報の利用や、逆にそれに基づくAI(人工知能)による個人情報の侵害(漏えい)も問題となって、個人が意識するしないに関わらず個人情報が独り歩きし、それが収集されることによって、非常に機微な個人情報として蓄えられる可能性があります。これらの問題点を解消しつつ、適切に個人情報を利用していくことはサイバー社会、つまり情報社会の課題であり、そのための個人情報を扱うための法整備、その中核となる個人情報保護法の改訂はこれからも必須なのです。
【第4位】7月2日 KDDI大規模通信障害 丸2日間~ 119番通報を含む生活インフラに過去最大級の障害 ~
もちろん、KDDIを含め、他のキャリアと呼ばれる携帯電話事業者はあらかじめ事故が起こらないように、数々のアクシデントを想定して、機器の多重化やバックアップ、それらの運用を保証する保守管理体制を敷いています。総務省の監理の元、電気通信事業法を中心に法的にも縛られています。それでも事故が起こるのです。携帯電話網だけでなく、それらを含む通信インフラ全般においては総務省の管轄で安定したサービス運用が義務付けられているとともに、その運用を妨げるトラブルについては報告も義務付けられ、特に重大な事故を起こした場合、総務大臣に届け出る義務があります(電気通信事業法第28条)。総務省の下には電気通信事故検証会議が設けられ、文字通り、事業者の報告を基に第三者的に検証しています。対策を含むその内容については原則公開もされ、すべての通信事業者が共有しています。それでもこのKDDIの事故のように、その発生だけでなく、復旧に手間取ることもあり得ます。当然のことですが、他社の事故を他山の石として運用を見直す必要もあるでしょう。重大な事故とは大雑把に言えば、1時間から数時間以上、数万人規模で影響を受ける事故です。他方、これに含まれない小さな事故は何件も起こしていることでしょう。ハインリッヒの法則というものがあります。それは1件の重大事故の背後には、29件の軽い(軽症)事故、そして300件の無傷事故、いわゆるヒヤリハットが存在すると言われています。この軽症事故を分析、各社共有することも(企業秘密で難しいことは承知の上で)課題でしょう。なお一層の事故を防ぐ努力は必要ですが、それでも防げないことも、今までの例から否定できません。このKDDI事故の際に話題となった緊急避難的なローミングという対策も改めて課題となることでしょう。
