サイバーセキュリティ人材育成の重要性
セキュリティ対策は企業の社会的責任に!―「サイバー・ハロウィン キャリアトーク」イベントレポート
2016.11.18

内閣サイバーセキュリティセンター(NISC)と在日米国商工会議所(ACCJ)は、2016年10月31日に「サイバー・ハロウィン キャリアトーク」と題したイベントをベルサール秋葉原で開催した。このイベントは、若手のサイバーセキュリティ人材の育成の重要性を訴えるために開催され、前半はサイバーセキュリティの現状についての講演、後半はライトニングトークとテーマに分かれての分科会が行われた。今回は、前半の様子をレポートする。
サイバーセキュリティ人材の育成が急務に
内閣官房内閣サイバーセキュリティセンター
副センター長の三角育生氏
最初に、内閣官房内閣サイバーセキュリティセンター副センター長の三角育生氏が登壇。スマホやIoTの普及により、インターネットの利用が誰にでも当たり前になる反面、サイバー空間の危険が増えている現状について、昭和40年台の自動車の急増による交通戦争の状況に例えた。交通戦争は、自動車側のテクノロジーの向上と利用者の交通安全意識を高めることで、交通事故による死者が激減することに成功した。三角氏は「ITの世界も同様で、技術の発展による対策と、個人の対策の両方からのアプローチが必要である」と訴えた。国も、サイバーセキュリティに少しでも関心を持ってもらえるように、話題のアニメとのコラボした広報や、スマホゲームアプリ利用の注意喚起などの活動を積極的に行っていることを紹介した。
続いて、在京米国大使館エミリー・ヒックス氏が登壇。セキュリティ人材には、物理、ネットワーク、サーバ、Web、プログラミング、人材マネジメントなど様々なスキルや知識が必要なことを指摘した。米国では、大学や大学院でサイバーセキュリティについて専門的に学べるようになっており、留学のためのプログラムがあることを紹介した。セキュリティの専門家が職業として成り立てば、サイバー空間を守る人が増え、継続的な成功になることを伝え、次世代の人材育成に期待を寄せた。
マーケティング戦略もバッチリ!?最近のサイバー攻撃の実情
筑波大学非常勤講師・マイクロソフト株式会社
の蔵本雄一氏
そして、今回のメインプログラムとなるのが、筑波大学非常勤講師であり、マイクロソフトの蔵本雄一氏による「サイバー攻撃を見て知って正しく怖がろう」と題した講演だ。タイトルにもある「正しく怖がる」というのは、攻撃する相手のことを知り、攻撃を防ぐ対策をすることを指す。「スポーツの世界でも対戦相手の研究が重要なように、サイバーセキュリティでも相手を知り、相手が嫌がる対策をすることが有効だ」という。
かつてサイバー攻撃を仕掛ける人の動機は、技術の誇示、承認欲求だと言われていたが、現在はシンプルに「お金がもうかる、ビジネスになる」ことから攻撃を行っていると蔵本氏は指摘する。典型的な例が今年話題になった不正プログラム「ランサムウェア」だ。ランサムウェアが実行されるとコンピュータのファイルが暗号化されて利用できなくなる。暗号化されたファイルを元に戻す(復号する)ためには鍵データが必要で、攻撃者はその鍵を有料で販売しているのだ。
ランサムウェアの場合、購入サイトがWebマーケティングのポイントを押さえて作られていると蔵本氏。支払いはビットコインだが、支払い期限がカウントダウンされており、期限が来ると金額が倍に、さらに次の期限が来ればさらに倍になるというフラッシュマーケティングの手法が取り入れられている。さらに1ファイルは無料で復号でき有効性を確認できる、という「フリープランの提供」、そしてお問い合わせフォームやFAQなどの「サポート」もバッチリ用意されている。まさに、攻撃がビジネスになっていることを実感する例であろう。
サイバー攻撃の費用対効果は1425%。この投資効率をいかに下げるかがこれからのセキュリティ対策
ランサムウェアの場合は、ファイルの復号をビジネスにしたが、サイバー攻撃の主な稼ぎ方としては、銀行のフィッシングサイトなどを使って直接アカウントを盗み金銭を奪うもの、機密情報を売るもの、そしてPCの操作権を奪うものがある。PCの操作権を奪われると、PCを乗っ取られて遠隔操作され、攻撃の踏み台に使われてしまうため、結果として攻撃者のビジネスに加担してしまうのだ。踏み台に使われてしまえば、被害者でありながら加害者になってしまうことから、セキュリティ対策を施しサイバー空間を守ることは「企業の社会的責任である」と蔵本氏。
攻撃者が常に新しい攻撃方法を考えている中、攻撃を全く受けないように対策することは不可能だ。むしろ「攻撃、侵入前提の対策が必要」と蔵本氏は強調する。
蔵本氏は衝撃的な数字として「攻撃者は1425%の費用対効果がある」と紹介した。儲かるから攻撃に投資するわけで、「企業は攻撃の費用対効果を下げる」対策をすることで、攻撃を減らせるという。
費用対効果を下げる対策として、蔵本氏は米国の国立標準技術研究所(NIST)の対策の考え方である、防御力向上、検知分析、被害軽減、事後対応の4つをあげた。1つ目の防御力も重要だが、被害を小さくするためには、特に攻撃されたことをすぐに検知すること、被害軽減すること、事後対応の3つが重要だという。
たった1台のPCからシステム全体が乗っ取られるまでは48時間
蔵本氏は、企業がまずは対策するべきものとして、PCの保護、IDの保護、データの保護を上げた。というのも、最近のサイバー攻撃では、1台のPCがマルウェア感染した後、ネットワーク上につながっている他のPCが続々と乗っ取られてしまうことがあるからだ。デモで、マルウェアが添付されたメールを開いた1台のパソコンから、他のパソコンに被害が水平拡大していく様子が紹介された。
攻撃の流れとしては、マルウェア感染した1台のPCで、ログインできるIDとパスワードを取得するプログラムが実行される。ネットワークで繋がった別のPCに対して、盗んだIDのリストでログインを試みると、そのうちの一つがマッチして、アクセスされてしまう。企業では、従業員用のPCに同じ環境を構築するために情シス担当者やベンダーが共通でログインできるIDを作っておくことがあるが、このIDを奪われてしまったがために、他の端末もすべて乗っ取られてしまったのだ。
さらにデモでは、端末内にある機密情報のファイルが読み取られてしまう。ファイルにパスワードをかけて対策していたとしても、今の技術では、0.2秒程度でパスワードが解読されてしまうので、ファイルにパスワードをかけるのはもはや対策としては有効ではない。
現実では、すでにデモで紹介したような攻撃への対策はされているというが、企業は常にこうした攻撃にさらされているという現状を認識する必要がある。実際マイクロソフトの調査では、1台のPCが感染してから、サーバが乗っ取られるまで平均24時間、システム全体が乗っ取られるまで平均48時間というデータがあるという。
だからこそ、まず攻撃されたことを検知できる仕組みを作る、被害軽減のためにデータのバックアップなどの対策をする、さらに事後対応としてバックアップデータからの復旧という攻撃後の対応をすることが重要になると蔵本氏は講演を締めくくった。
セキュリティ人材は、現状のサイバーセキュリティ攻撃を正しく理解し、攻撃をゼロにするのではなく、適切に対応することが求められる。今一度、自社のセキュリティ対策を見直してみてはどうだろうか。
執筆者紹介

深谷歩(ふかや・あゆみ)(株式会社深谷歩事務所代表取締役)
ソーシャルメディアやブロクを活用したコンテンツマーケティング支援を行う。Webメディア、雑誌の執筆に加え、講演活動、Webサイト制作も行う。またフェレット用品を扱うオンラインショップ「Ferretoys」も運営。
■著書
『小さなお店のLINE@集客・販促ガイド』(翔泳社)
『SNS活用→集客のオキテ』(ソシム)
『小さな会社のFacebookページ制作・運用ガイド』(翔泳社)
『小さな会社のFacebookページ集客・販促ガイド』(翔泳社)
■深谷歩事務所公式サイト
http://officefukaya.com
@人事では『人事がラクに成果を出せるお役立ち資料』を揃えています。
@人事では、会員限定のお役立ち資料を無料で公開しています。
特に人事の皆さんに好評な人気資料は下記の通りです。
下記のボタンをクリックすると、人事がラクに成果を出すための資料が無料で手に入ります。
今、人事の皆さんに
支持されているお役立ち資料
@人事は、「業務を改善・効率化する法人向けサービス紹介」を通じて日本の人事を応援しています。採用、勤怠管理、研修、社員教育、法務、経理、物品経理 etc…
人事のお仕事で何かお困りごとがあれば、ぜひ私達に応援させてください。

「何か業務改善サービスを導入したいけど、今どんなサービスがあるのだろう?」
「自分たちに一番合っているサービスを探したいけど、どうしたらいいんだろう?」
そんな方は、下記のボタンを
クリックしてみてください。
サービスの利用は無料です。
関連記事
-
企画
テレワークと地方創生
ネット環境さえあれば、どこでも仕事ができる―「テラスカイ」の挑戦
ICTを活用し、自宅やサテライトオフィスなどで時間や場所にとらわれない柔軟な働き方を実現するテレワーク。育児や介護に携わる社員の負荷軽減や、ワークライフバランスの実現など、さまざま...
2016.09.12
-
ニュース・トレンド
株式会社かんき出版
【女性活躍推進に関する要望】人事48.6%が「経営層のコミットメント」、女性管理職36.0%は「男性管理職の意識改革」を訴える
かんき出版(東京・千代田)は3月24日、女性活躍推進施策の企画・運営に携わる人事担当者109名と、課長級以上の女性管理職100名を対象に実施した「女性活躍推進に関する人事・女性管理...
2025.03.24
-
ニュース・トレンド
Great Place To Work® Institute Japan発表
2025年版日本における「働きがいのある会社」女性ランキング第1位はディスコ(大規模)、フロンティアホールディングス(中規模)、Mahalo(小規模)
「働きがいのある会社」に関する調査・分析を行うGreat Place To Work® Institute Japan(東京・港、以下、GPTW Japan)は3月6日、2025年...
2025.03.21
-
ニュース・トレンド
株式会社リンクアンドモチベーション
日本一働きがいのある企業を表彰「ベストモチベーションカンパニーアワード2025」の受賞企業が決定
リンクアンドモチベーション(東京・中央)は3月12日、“日本一働きがいのある企業”を表彰する年に一度の祭典「ベストモチベーションカンパニーアワード2025」を開催し、企業規模別に従...
2025.03.17
あわせて読みたい
あわせて読みたい

人気の記事

国内・海外ヘッドライン

THE SELECTION
-
THE SELECTION特集
【特集】ChatGPT等の生成AIが一般化する社会で必須の人材戦略・人的資本経営の方法論
-
THE SELECTION企画
人事のキャリア【第25回】
皆がうらやむような会社づくりに取り組む(アイロボットジャパン・太田浩さん)
-
THE SELECTION企画
レポートまとめ
@人事主催セミナー「人事の学び舎」 人事・総務担当者が“今求める”ノウハウやナレッジを提供
-
THE SELECTION特集
「副業」新時代-企業の向き合い方 特集TOP
-
THE SELECTION特集
人事のキーパーソン2人が@人事読者の「組織改革」の疑問に答えます(第2弾)
数値化できない部署を無理に人事評価する方が問題。曽和利光×北野唯我対談
-
THE SELECTION特集
「令和時代に必須! ハラスメント対策最前線」
パワハラと指導の違いは? 6種類のパワハラを佐々木亮弁護士が徹底解説(中)