香港におけるサイバー攻撃への対応
サイバーセキュリティとは 「サイバー攻撃」という単語に含まれている「サイバー」とは「ネットワーク上の」「コンピュータ上の」という意味で、サイバー攻撃とはネットワークやコンピュータ機器、およびその中に保管されている情報を標的とした攻撃のことを指します。以前は明確な目的のない攻撃が多数を占めていましたが、現在では営利目的、つまりビジネスとして組織的に攻撃を行うケースが多くなってきています。そのような被害をもたらす行動への対策がサイバーセキュリティなのです。多様化する攻撃に対応するためにはファイアウォール(注1)やウイルス対策ソフトを導入するだけでは不十分であり、技術的な対策の他にも組織の情報資産管理体制など幅広い観点で検討を行うことが必要になります。
サイバー攻撃の種類 少し技術的な話になりますが、サイバー攻撃はサービス不能攻撃、ホームページ改ざん、標的型攻撃の3種類に大別することができます。 まず、サービス不能攻撃とはシステムに大量の情報を送り込み動かない状態にしてしまうことです。前述したセントラル占拠デモの最中にマスコミや政府関係者のシステムがこの攻撃を受け、インターネット上のホームページを閲覧することが困難な状況になってしまいました。 ホームページ改ざんは言葉から想定されるとおり、企業がインターネット上で公開しているホームページを強制的に変更します。目的は愉快犯的なものからウイルスに感染するページへ誘導するものなど様々です。 標的型攻撃は特に金銭や知的財産等の重要情報の取得を目的として特定の標的に対して行われ、前述の2つの攻撃と比べて被害が大きくなりやすく、また近年件数が増加している攻撃です。標的型攻撃が明確に認識されたのは2005年頃であり、当初の手法は単に不正なソフトウェアをメールに添付して送付するだけで、その送信者や文面には矛盾や誤った言葉が含まれているなど、受信者が注意を払うことで不正なメールであることに気づくことができるものがほとんどでした。しかし年を経るごとにその内容は巧妙化し、2010年頃になると標的の業務やサイバーセキュリティの状況を入念に調査して攻撃を行う事例が多くなり、一見しただけでは不正なメールであると判断できないものも数多く現れました。 サイバー攻撃の手法は多岐に渡り、その気になれば誰でも簡単にサイバー攻撃を実行するためのツールを入手可能であるため、その脅威は非常に高まっています。個人、法人にかかわらずサイバーセキュリティへ関心を持つことは、インターネットを日常的に利用する(電子メールやインターネットのホームページ閲覧を含む)我々にとってもはや必須であるといえます。
香港における状況 香港のインターネットを取り巻く環境も劇的に変わってきており、2013年には人口約720万人のうちインターネット利用者は80%の約580万人に上ります。このような状況と前述のサイバー攻撃による脅威の高まりを受け、香港政府は個人、法人を問わずサイバーセキュリティを高めるよう警鐘を鳴らしており、特に攻撃の対象となりやすい業界の法人に対しては関連する当局がサイバー攻撃によるリスクを含めた包括的な評価を行うよう求めています。サイバーセキュリティを含めた評価の概要については後述しますが、特に香港当局から留意すべき点として挙げられているポイントは以下の4つに分類できます。
・サイバーセキュリティを含むリスク評価手続の明文化
リスク評価の概要 組織を取巻くセキュリティリスクは様々に存在しており、一度にすべてのリスクに対応することは時間的、コスト的に容易ではありません。上述の留意すべきポイントを念頭に置いて、まずリスク評価を行うことで対応すべきリスクの優先度を明確にすることが必要です。発生し得るリスクのパターンを体系的に整理してリスクが顕在化するシナリオを洗い出し、各シナリオへの対応の優先度を順位付けします。その上で、費用対効果が高いものから順に対応していくことが望ましいと考えられます(図1)。
おわりに 本稿ではサイバー攻撃の現状と基本的な対応の第一歩となるリスク評価について解説しました。リスク評価を行った後は対応が必要なものについて具体的な対策の検討、実施、モニタリングというPDCAの流れでリスクマネジメントを行います。香港における日系現地法人においては十分にそれが行われておらず、脆弱な状態が放置されることも少なくありません。人的資源の不足やコスト面が足枷となり、なかなか対応することが難しいということが大きな理由ですが、他にも「情報システムは日本で管理しており香港で気にする必要はない」「社内には漏洩して困る情報はない」「ウイルス対策ソフトとファイアウォールを導入しているため問題ない」といった意識的な側面も対応が進まない原因であると考えられます。日本では2015年1月9日に「サイバーセキュリティ基本法」が全面施行され、国を挙げてサイバーセキュリティに関する施策が推進されている中、香港においても今一度、サイバーセキュリティのリスク評価を実施すること、まずは見直すことも一考ではないでしょうか。
※1…ネットワーク上の悪意のある情報を遮断する仕組み (このシリーズは月1回掲載します) 筆者紹介
佐々木 英樹(ささき ひでき) 連絡先:hidsasaki@deloitte.com.hk |
|
|