サイバー攻撃から会社を守る、企業が最低限守るべき安全基準づくりを
9月中旬、三菱重工業をはじめとする大手重工業へのサイバー攻撃と一部の企業での情報抜き取りが発覚した。原発や航空機、防衛に直接関係する企業だけに、政府の対応も早かった。9月29日、不正アクセス防止対策に関する官民意見集約委員会が「不正アクセス行為の防止対策に関する行動計画」を公表した。これまではバラバラに対策を掲げてきた警察庁、総務省、経済産業省が一体となった委員会だ。
続く10月7日、首相官邸で開かれた情報セキュリティ政策会議で、標的型サイバー攻撃対策について話し合われた。内閣官房長官名で、情報セキュリティの重要性や意図せず加害者になる可能性が指摘され、早期対策が呼びかけられた。
10~12月には政府機関職員5万人を対象とした標的型不審メール対応訓練も実施されている。警察庁を中心にサイバー犯罪の情報収集と分析、解析した情報のセキュリティソフト会社への提供、情報窃取のおそれのある事業所4000社との情報連携の仕組みを構築している。経産省でも、情報フィードバック実証実験を行う準備を進めている。通信事業を監督する総務省でも、情報セキュリティ技術先進国などと連携し、サイバー攻撃の予知と即応技術の研究を始める。同時にスマートフォンのセキュリティ啓発にも力を入れる。
入り口の対策だけでは不足
だが、「境界防御はすでに崩壊している」とトレンドマイクロ戦略企画室統合政策担当部長の小屋晋吾氏は言う。アンチウイルスのような境界防御型のセキュリティでは限界がある。いくら“壁”を厚くしても、それを迂回して入ってくるものは避けられない。衆議院議員の公務用PCで発覚したような、ウイルスを忍ばせてあるメールを不用心に開封したり、ウイルス入りのUSBメモリを何のチェックもせずに開いたりしてしまうと、ウイルスが活動を始める。こうした場合、壁は役に立たない。それどころか、壁を信じ切っているせいで、内部の監視は緩く出口もほぼフリーパス。情報が漏れていることにすら気づかないケースが多い。先の衆議院の例でも1カ月もの間発覚しなかった。