香港におけるサイバー攻撃への対応

　インターネットが世界中に普及して我々の暮らしが便利になる一方、サイバー攻撃と呼ばれる犯罪によるシステム障害や情報漏えいなどの危険性が高まっています。インターネット犯罪はインターネットが普及し始めた当初から存在していましたが、それらはコンピュータ好きな一般人による犯罪、いわゆる愉快犯が多数を占めていました。最近は政治目的や金銭目的といった明確な意図を持った集団による犯行が増加しており、2014年9月末から2か月以上続いたセントラル占拠の際にマスコミや大学のホームページがサイバー攻撃を受けた事例は記憶に新しいところです。本稿ではサイバー攻撃の現状、その対策として押さえるべきポイントについてご説明します。
（デロイト トウシュ トーマツ香港事務所 佐々木英樹）

サイバーセキュリティとは

　「サイバー攻撃」という単語に含まれている「サイバー」とは「ネットワーク上の」「コンピュータ上の」という意味で、サイバー攻撃とはネットワークやコンピュータ機器、およびその中に保管されている情報を標的とした攻撃のことを指します。以前は明確な目的のない攻撃が多数を占めていましたが、現在では営利目的、つまりビジネスとして組織的に攻撃を行うケースが多くなってきています。そのような被害をもたらす行動への対策がサイバーセキュリティなのです。多様化する攻撃に対応するためにはファイアウォール（注１）やウイルス対策ソフトを導入するだけでは不十分であり、技術的な対策の他にも組織の情報資産管理体制など幅広い観点で検討を行うことが必要になります。

サイバー攻撃の種類

　少し技術的な話になりますが、サイバー攻撃はサービス不能攻撃、ホームページ改ざん、標的型攻撃の３種類に大別することができます。

　まず、サービス不能攻撃とはシステムに大量の情報を送り込み動かない状態にしてしまうことです。前述したセントラル占拠デモの最中にマスコミや政府関係者のシステムがこの攻撃を受け、インターネット上のホームページを閲覧することが困難な状況になってしまいました。

　ホームページ改ざんは言葉から想定されるとおり、企業がインターネット上で公開しているホームページを強制的に変更します。目的は愉快犯的なものからウイルスに感染するページへ誘導するものなど様々です。

　標的型攻撃は特に金銭や知的財産等の重要情報の取得を目的として特定の標的に対して行われ、前述の２つの攻撃と比べて被害が大きくなりやすく、また近年件数が増加している攻撃です。標的型攻撃が明確に認識されたのは２００５年頃であり、当初の手法は単に不正なソフトウェアをメールに添付して送付するだけで、その送信者や文面には矛盾や誤った言葉が含まれているなど、受信者が注意を払うことで不正なメールであることに気づくことができるものがほとんどでした。しかし年を経るごとにその内容は巧妙化し、２０１０年頃になると標的の業務やサイバーセキュリティの状況を入念に調査して攻撃を行う事例が多くなり、一見しただけでは不正なメールであると判断できないものも数多く現れました。

　サイバー攻撃の手法は多岐に渡り、その気になれば誰でも簡単にサイバー攻撃を実行するためのツールを入手可能であるため、その脅威は非常に高まっています。個人、法人にかかわらずサイバーセキュリティへ関心を持つことは、インターネットを日常的に利用する（電子メールやインターネットのホームページ閲覧を含む）我々にとってもはや必須であるといえます。

香港における状況

　香港のインターネットを取り巻く環境も劇的に変わってきており、２０１３年には人口約７２０万人のうちインターネット利用者は80％の約５８０万人に上ります。このような状況と前述のサイバー攻撃による脅威の高まりを受け、香港政府は個人、法人を問わずサイバーセキュリティを高めるよう警鐘を鳴らしており、特に攻撃の対象となりやすい業界の法人に対しては関連する当局がサイバー攻撃によるリスクを含めた包括的な評価を行うよう求めています。サイバーセキュリティを含めた評価の概要については後述しますが、特に香港当局から留意すべき点として挙げられているポイントは以下の４つに分類できます。

・サイバーセキュリティを含むリスク評価手続の明文化
・サイバー攻撃によるリスクを軽減するための第3者機関の利用の要否の検討
・外部委託先が行うサイバーセキュリティへの理解
・サイバー攻撃による被害が顕在化した場合の対応策の検討

リスク評価の概要

　組織を取巻くセキュリティリスクは様々に存在しており、一度にすべてのリスクに対応することは時間的、コスト的に容易ではありません。上述の留意すべきポイントを念頭に置いて、まずリスク評価を行うことで対応すべきリスクの優先度を明確にすることが必要です。発生し得るリスクのパターンを体系的に整理してリスクが顕在化するシナリオを洗い出し、各シナリオへの対応の優先度を順位付けします。その上で、費用対効果が高いものから順に対応していくことが望ましいと考えられます（図１）。

おわりに

　本稿ではサイバー攻撃の現状と基本的な対応の第一歩となるリスク評価について解説しました。リスク評価を行った後は対応が必要なものについて具体的な対策の検討、実施、モニタリングというＰＤＣＡの流れでリスクマネジメントを行います。香港における日系現地法人においては十分にそれが行われておらず、脆弱な状態が放置されることも少なくありません。人的資源の不足やコスト面が足枷となり、なかなか対応することが難しいということが大きな理由ですが、他にも「情報システムは日本で管理しており香港で気にする必要はない」「社内には漏洩して困る情報はない」「ウイルス対策ソフトとファイアウォールを導入しているため問題ない」といった意識的な側面も対応が進まない原因であると考えられます。日本では２０１５年１月９日に「サイバーセキュリティ基本法」が全面施行され、国を挙げてサイバーセキュリティに関する施策が推進されている中、香港においても今一度、サイバーセキュリティのリスク評価を実施すること、まずは見直すことも一考ではないでしょうか。

※１…ネットワーク上の悪意のある情報を遮断する仕組み
※本記事には私見が含まれており、筆者が勤務する会計事務所とは無関係です。

（このシリーズは月１回掲載します）

筆者紹介

佐々木　英樹（ささき　ひでき）
Deloitte Touche Tohmatsu香港事務所エンタープライズリスクサービス部門コンサルタント。システム監査技術者、情報セキュリティスペシャリストの有資格者。
大手システムインテグレータを経て2009年監査法人トーマツ（現有限責任監査法人トーマツ）入所。金融機関や保険会社のシステムリスク外部評価、システム監査やSSAE16をはじめとするIT関連の保証業務に従事。2013年よりDeloitte Touche Tohmatsu 香港へ赴任。香港資本の事業会社へのシステム監査、日系香港現地法人へのIT関連サービスの提供を行っている。

連絡先：hidsasaki@deloitte.com.hk