教えて!サイバーセキュリティ
横浜国大の吉岡先生に聞く Vol.4

2005年に横浜国立大学にて博士(工学)取得。2019年現在は横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授として活動の傍ら、情報通信研究機構(招聘専門員)、産業技術総合研究所(客員研究員)など、各種研究機関で情報セキュリティ関連の研究に携わると共に、総務省 サイバーセキュリティタスクフォース等、政府有識者委員を多数務めている。
Q1:PCにウィルス対策ソフトが入っているだけでは、安心できないとはどういうことなのですか?
吉岡先生:PCを守るためにはウィルス対策ソフトが不可欠であることは、これまでと変わらない事実です。ただ、一般的なウィルス対策は、過去に出回ったウィルスのパターンと照合し、それと合致したものを検知するという手法をベースにしていますので、以前よりもその効果は限定的になっていると考えたほうがいいでしょう。
というのも、攻撃者もそのことは知っており、そのパターンにマッチしないようにウィルスの一部を変えた亜種・変種で攻撃するなど、より巧妙化してきているからです。当然のことながら、それらは従来のウィルス対策ソフトで検出することは困難です。
このように、さまざまなウィルスが続々と登場している状況では、従来型のウィルス対策だけでは安心できないといわざるを得ません。
多くの場合、攻撃者にとってはサイバー攻撃は何らかの対価を得る活動、つまりビジネス化しています。対策する側の防衛策をいかにすり抜けるのか、彼らも知恵を絞っているのです。
PCのウィルス対策ソフトをこっそりと停止させ、それから本格的な活動を開始するような手口を用いるウィルスも見つかっています。

Q2:そんなに手の込んだ攻撃で狙われるのは大企業だけではないですか?一般的な中小企業では重要機密を扱う機会は限られています。
吉岡先生:おっしゃるように、そのように高度なウィルスを作り出すのには手間もコストもかかります。コストをかけてでも欲しいというような情報を持っている大手企業や組織、研究機関などが攻撃対象となっているのは間違いありません。
でも、あなたの会社がそういった大手企業と取引があったとしたら、あるいは直接の取引はなくても、二次請け、三次請けなどでつながっているとしたら、話は異なります。
堅固なセキュリティを備えた大手企業を直接狙うのではなく、その子会社や取引先など、セキュリティが手薄と思われる中小企業に攻撃を仕掛けて侵入し、それを踏み台のように悪用して、本当のターゲットである大手企業を攻撃する場合があるからです。
踏み台として乗っ取られた会社のPCは、自分が感染していることに気付かないまま、取引先にウィルスが添付されたメールを送信するなど、被害を拡大させていくのです。
スポーツでもゲームでも、相手の弱いところをつくのは常套手段。セキュリティ対策がしっかりしている大手企業よりも、中小企業を狙うほうが手間もコストもかかりません。その意味では、大手企業以上に中小企業は狙われやすいといえるのです。
万一、ウィルスに感染してしまうと、業務がストップしてしまいお客様の信頼を失うなど、ビジネスに大きな影響があるだけでなく、場合によっては加害者になってしまうこともあり得ます。そうなれば会社の存続そのものも危うくなってしまうでしょう。

Q3:とはいえ、対策にコストがかけられない中小企業はどうすればいいのでしょう?
吉岡先生:確かにセキュリティ対策にはコストがかかります。一方で、何も問題が起きない状況を続けることが目標ですから、その効果は実感しにくいかもしれません。
しかし、サイバー攻撃により取引先や顧客の信頼を失ってしまってからでは遅いのですから、企業の経営陣がセキュリティ対策の重要性を理解し、コストではなく必要な投資と考え、リーダーシップを発揮して社内の意識を変えていくことが大切です。
具体的には、まず自社のセキュリティポリシーやインシデント対応の体制の確認、ソフトウェアの更新や適切なパスワード設定、重要データの管理方法など、基本的な対策が取れているかを確認することから始めることをお勧めします。
技術的な観点では、外部と社内ネットワークとの境界で攻撃の侵入を防ぐ従来からの防御方法は、ある程度適用されている企業も多いと思いますが、それでも攻撃事例が後を絶たないというのが実情だと思います。今後は、境界防御をすり抜けた攻撃が届く先、ネットワークの末端であるエンドポイント、つまりPCやモバイルデバイスといった機器のセキュリティ強化が、ますます重要になると考えます。
ビジネスを守る“安心”が手に入ります。
株式会社 日本HP
サービス・ソリューション事業本部 クライアントソリューション本部
大津山 隆 氏
高度なセキュリティソリューションを開発
HP Sure Sense
HP Sure Click
HP Sure Run



インテル® Core™ i5
プロセッサー搭載
HP EliteBook 830 G5
*第7世代以降のインテル® Core™ プロセッサー、インテル® 統合グラフィックス、インテル® WLAN を搭載したHP Elite PCシリーズ。追加費用不要のHP独自の包括的なセキュリティ機能と、ハードウェア、BIOS、Microsoft System Center Configuration Managerを使用するソフトウェア管理などPCのあらゆる側面におけるHP Manageability Integration Kitの管理性を、年間販売台数が100万台以上のベンダーと比較。(2018年1月時点、日本HP調べ。) ●Intel、インテル、Intel ロゴ、Intel Inside、Intel Core、Core Inside は、アメリカ合衆国および / またはその他の国における Intel Corporation またはその子会社の商標です。 ●記載の社名、品名は各社の商標または登録商標です。 ●記載された内容、価格、仕様等は予告なしに変更する場合があります。



インテル® Core™ i5
プロセッサー搭載
HP EliteBook 830 G5
*第7世代以降のインテル® Core™ プロセッサー、インテル® 統合グラフィックス、インテル® WLAN を搭載したHP Elite PCシリーズ。追加費用不要のHP独自の包括的なセキュリティ機能と、ハードウェア、BIOS、Microsoft System Center Configuration Managerを使用するソフトウェア管理などPCのあらゆる側面におけるHP Manageability Integration Kitの管理性を、年間販売台数が100万台以上のベンダーと比較。(2018年1月時点、日本HP調べ。) ●Intel、インテル、Intel ロゴ、Intel Inside、Intel Core、Core Inside は、アメリカ合衆国および / またはその他の国における Intel Corporation またはその子会社の商標です。 ●記載の社名、品名は各社の商標または登録商標です。 ●記載された内容、価格、仕様等は予告なしに変更する場合があります。