｢完全防御は困難｣でどうする？サイバー攻撃対策 ゼロトラストからサイバーレジリエンスへ

従来もランサムウェア攻撃はあったが、しつこく狙う、かつ身代金を払っても元に戻さない攻撃が発生していて、これらは今後も続く。​復旧に数カ月かかる例もあり、時間がかかれば損失や影響も大きくなる。

復旧のために身代金の支払いを容認する考えもあるが、よくないという意見のほうが多く、お金を支払っても元に戻せないこともある。支払ったことが世間で話題になることも懸念され、今後は身代金を支払うのが難しくなりそうだ。

アメリカでは保険で身代金を払うこともあるが、保険に入っている企業が攻撃対象になるという話もある。また、フロリダ州では州法で州立病院などが身代金を払うのを禁止している。

明確な数字はないが、サプライチェーン攻撃の増加も挙げられる。サプライチェーン攻撃にはさまざまなものがあり、普段ビジネスで使うソフトウェアやサービスにウイルスを埋め込み、それを使わせて被害に遭わせるケースもある。

もう一つ、テレワークなど新しい働き方を狙った攻撃が増加しており、VPN（Virtual Private Network）やクラウド環境のアクセスが悪用されている。

対策は「ゼロトラスト」が注目されている

――セキュリティ対策も進化しているのか。

対策としては、境界防御からゼロトラストへといわれている。リモートワークやクラウドの導入に伴い、社内と外部のネットワークの境界を監視・制御することによって防御するのは難しくなっているからだ。

佐々木良一（ささき・りょういち）東京電機大学 名誉教授 兼 同大学サイバーセキュリティ研究所客員教授／1971年日立製作所入社。システム開発研究所でシステム高信頼化技術やセキュリティ技術などの研究開発に従事。同研究所部長や主管研究長兼セキュリティシステム研究センタ長。2001年東京電機大学教授、2018年特命教授、2020年より現職。日本セキュリティ・マネジメント学会会長、デジタル・フォレンジック研究会会長、内閣官房サイバーセキュリティ補佐官などを歴任
（写真：本人提供）

そこで境界を越える攻撃があることを前提に、通信相手のPCやサーバーが信頼できないものとして対処するゼロトラストアプローチが注目されている。NIST（米国国立標準技術研究所）が、ゼロトラストセキュリティの7つの基本原則をあげているが、これは3つの対応にまとめられる。

1つ目は、すべてのリソースへあらゆるアクセスがあると想定し、対策をすること。組織が貸与するPCやサーバーだけでなく、スマホや個人PCなどすべてが対象だ。2つ目が、セキュリティに関する状態を常に監視し特定すること。3つ目は、ネットワーク境界における静的なアクセスコントロールだけでなく、アクセスごとに動的なコントロールをすること。

この考え方自体はよいが、採用すればゼロリスクになるわけではない。またゼロトラストへの移行期は、ファイアウォールなどを残したままとなりコストが上がったりする。また動的認証が増えるので使い勝手が悪くなったりすることもある。

そこで、ゼロトラストセキュリティという考え方をベースにリスクアセスメントを行い、リスクや対策案を洗い出して、コストや使い勝手なども考慮し関係者とリスクコミュニケーションを行いながら最適なシステム構成を決めることが重要になる。