先日、データセンター事業を営む友人から、外部からのサイバーアタックの実態について話を聞く機会がありました。

わたしも情報セキュリティの分野に関しては、ポリシー策定や体制作りのお手伝いをすることがあり、知見や現状に対する認識は持っているつもりですが、それでもなお、その話は衝撃的な内容でした。

あまり詳しくは紹介できないのですが、ひとことで表現するなら、「そこまで洗練されているのか」という印象です。

狙った対象がどんなシステムを所有しているのかを走査してプロファイリングする。不正ログインを試みるにあたって、攻撃相手に気付かれないように十分に時間をあけてログインを試行する。攻撃相手の回線帯域をすべて使い果たすような一斉アクセスを行う。Webサイトに入力フォームを見つけたら、脆弱性をつく攻撃を試みる。攻撃元がランダムに見えるようにアクセスを試みてブロックされることを防ぐ。

こうした行為が「すべて自動で、無差別に行われているように見える」と、友人は語っていました。

ここ最近、情報セキュリティの専門家が、「標的型攻撃においては、狙われたらほとんど防ぎきれるものではない」という趣旨の発言をたびたびしています。実態を聞いて改めて、これはまったく大げさな言い回しではないと、再認識することができたと感じます。

ユーザーの立場ではこうした脅威に対し、予防策としてはきわめて当たり前の対策しか取れません。例えば、パスワードは十分な強度のものを使う、そして定期的に変更する、使用するシステムの脆弱性はアップデートにより最新を保って排除する、余計なシステムは動かさない、ファイアウォールやアンチウイルスなど当たり前のことは必ず適用する、等です。当たり前とはいえ、これらは実際に大きな効果があるので、もれなく実施するべきです。

ただしそのうえで、「カギはきちんとかけたとして、それでも破られたらどうするか」という事後対策もまた、十分考えて整備しておく必要があります。この対策には、攻撃を検知できる手法や攻撃に対応できる技術、また反応できる体制が必要です。そのスキルがないのなら、それを持つパートナーを探しておくことも、取るべきアクションのひとつになります。

特に重要なのは、「体制づくり」です。

前記の話をしてくれた友人は、実際に攻撃を受けた企業でも、まったくその実感がわかず、適切な対応の指示をしないようなCIOが、実際にいたというエピソードも話していました。CIOであるにもかかわらず信じられないことですが、意識が低く知識もないと基本的な反応さえできないという、典型例ではないでしょうか。それはまるで、急病人が目の前に倒れているのに救急車を呼ぶことを思いつかない、というのに似ていると感じます。