「サイバーセキュリティはリスク管理」元米国国家情報長官　デニス・Ｃ・ブレア氏

サイバーセキュリティはリスク管理にほかならない

　情報通信研究機構が2月に発表したところによると、知的財産や金融財産を狙ったサイバー攻撃では攻撃対象のトップはアメリカとされている。次にイギリス、3番目に日本となる。そして日本を対象として特定できたサイバー攻撃の回数は2013年で128.8億回、2014年では倍増して256.6億回にも上るという。それだけ日本も多くの攻撃にさらされているという事実がある。

　2014年ではPOSシステムへの攻撃が急増した。トレンドマイクロ社の報告によると、アメリカでは2014年に17件発覚し、クレジットカード情報が大量に漏えいするなど大きな被害をもたらした。日本では最近POSシステムの情報を盗み出すためのコンピューターウイルスが8件確認され注意喚起されたところだ。また近年ではオンラインバンキングを悪用した犯罪も増加しており、注意が必要だ。 　

　攻撃が増え、手法が高度化するなど脅威が高まる一方、防御側にも進展がある。日本では2014年にサイバーセキュリティ基本法が成立した。まだ基本法であるものの、法整備としては大きな一歩だ。またアメリカでは2014年6月に官民協力により「ゲームオーバーゼウス」と呼ばれるボットネットを遮断し、ロシアの容疑者を特定するなど追いつめた（2月末の時点でFBIが300万米ドルの懸賞金をかけて捜索中）。 　

　官民協力というと、新出のウイルスやマルウェア、新たな攻撃についての情報交換はすでに確立している。先述したゲームオーバーゼウスは最近の官民協力で得られた好例のひとつ。将来は「ハッキングバック」、つまり「反撃」して対抗することができそうな見込みだ。不正な攻撃を繰り返すサイトのリソースを攻撃してネットワークを遮断させ、首謀者を特定することまでが現実になりつつある。

　言い換えれば、サイバー犯罪の捜査協力は民間企業の責任のひとつともなりつつあるということ。技術的な支援だけではなく、場合によっては情報提供も。ただしプライバシー権については議論があり、慎重に進める必要がありそうだ。もうひとつ、自社のネットワークを防御することも民間企業の責任の1つとなるだろう。ネットワークで交わされる通信やデータについて理解し、リスク管理を行うということだ。 　

　ブレア氏は「サイバーセキュリティはリスク管理にほかならない」と話し、サイバーセキュリティをリスク管理として取り組む必要性を説いた。サイバー空間は複雑に構成されており、すべての脅威を簡単に回避できるような特効薬はないということだ。攻撃が日々洗練されていることを考えれば、ますます攻撃を回避することは困難となる。