近年きんねん、サイバー攻撃こうげきはどのような変化へんかを遂とげているのでしょうか。また、攻撃こうげきの実態じったいについても教おしえてください。

佐々木ささき氏し大おおきく4つの傾向けいこうがあると思おもいます。1つが「被害ひがいの大型おおがた化か」、2つ目めが「被害ひがい形態けいたいの多様たよう化か」、3つ目めが「攻撃こうげき対象たいしょうの多様たよう化か」、4つ目めが「攻撃こうげき者しゃの目的もくてきなどの変化へんか」です。

まず被害ひがいの大型おおがた化かでは、2018年ねんに国内こくない仮想かそう通貨つうか取引とりひき所しょを運営うんえいするコインチェックから約やく580億おく円えん相当そうとうの仮想かそう通貨つうかが不正ふせいに流出りゅうしゅつした事件じけん、また2021年ねんにはポリ・ネットワークからも660億おく円えんの仮想かそう通貨つうかが流失りゅうしつした事件じけんがありました。ランサムウエアの身代金みのしろきんもどんどんと大おおきくなっており、数すう億おくから数すう十じゅう億おくの要求ようきゅうが一般いっぱん化かしつつあります。

2つ目めの被害ひがい形態けいたいの多様たよう化かでは、従来じゅうらいなら個人こじん情報じょうほうの漏洩ろうえいが多おおかったものが、企業きぎょうや組織そしきの機密きみつ情報じょうほうへと攻撃こうげき対象たいしょうが変かわり、ランサムウエアにおいても情報じょうほうを搾取さくしゅした上うえで暗号あんごう化かし身代金みのしろきんを要求ようきゅうする「二に重じゅう脅迫きょうはく型がた」といった新あらたな手法しゅほうが登場とうじょうしています。これによりデータの機密きみつ性せい、完全かんぜん性せい、可用性かようせいに対たいする脅威きょういが同時どうじに発生はっせいする状況じょうきょうとなっています。

3つ目めの攻撃こうげき対象たいしょうの多様たよう化かは、従来じゅうらい的てきなPCへの攻撃こうげきに加くわえ、IoT機器ききへの攻撃こうげきが増加ぞうかしていることを指さします。ネットワークに常時じょうじ接続せつぞくされるIoT機器ききは数かずが膨大ぼうだいでライフサイクルも長ながいため、被害ひがいの発生はっせい確かく率りつや影響えいきょう範囲はんいが大おおきく、より適切てきせつなセキュリティ対策たいさくが必要ひつようになります。

4つ目めの攻撃こうげき者しゃの目的もくてきなどの変化へんかですが、サイバー攻撃こうげきの動機どうきは長年ながねん、第だい一いちが金銭きんせん目的もくてき、第だい二にがスパイ目的もくてきとなっています。しかしその境界きょうかいは曖昧あいまいで、国家こっか支援しえん型がた攻撃こうげきの場合ばあい、相手あいて国こくの知的ちてき財産ざいさんを狙ねらうスパイ目的もくてきと金儲かねもうけを同時どうじに狙ねらう形態けいたいや、フェイクによる情報じょうほう操作そうさなど、他国たこくの政治せいじや社会しゃかいに混乱こんらんをもたらそうとする情報じょうほう戦せんも増ふえています。

こうした4つの傾向けいこうを踏ふまえ、日本にっぽん企業きぎょうがサイバー攻撃こうげきから自みずからを守まもるためにはどのような対策たいさくや体制たいせいが必要ひつようなのでしょうか。

佐々木ささき氏し残念ざんねんながら、セキュリティ対策たいさくには「これ1つでOK」というものはありません。よく聞きく言葉ことばに「木き桶おけ理論りろん」というものがあります。違ちがった長ながさの木材もくざいで作つくった木き桶おけに水みずを張はると、一番いちばん低ひくい板いたのところから漏もれてしまう。つまり、いくら強固きょうこな取とり組くみをしていても、1つでも弱よわい箇所かしょがあるとそこから破やぶられてしまうことを意味いみします。これと同様どうよう、セキュリティ対策たいさくでも特定とくてい、防御ぼうぎょ、検知けんち、対応たいおう、復旧ふっきゅうといったように複数ふくすうの対策たいさくを組くみ合あわせる必要ひつようがあります（図ず１）。

図ず1　情報じょうほうセキュリティの対策たいさくフェーズ

NIST（米べい国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ）のサイバーセキュリティフレームワークは、組織そしきがセキュリティリスク管理かんりを改善かいぜんするための基準きじゅん、ガイドライン、ベスト・プラクティスで構成こうせいされる。そのコアとなるのが「特定とくてい」「防御ぼうぎょ」「検知けんち」「対応たいおう」「復旧ふっきゅう」の5機能きのうだ

より大おおきくは、物理ぶつり的てきセキュリティに加くわえ、「技術ぎじゅつ」「組織そしき」「人ひと」といった観点かんてんでの論理ろんり的てきなセキュリティ対策たいさくが必要ひつようでしょう。特とくに近年きんねん、重要じゅうようになっているのが「経営けいえい者しゃとしての積極せっきょく関与かんよ」「人的じんてき組織そしきの充実じゅうじつ」「どこまで対策たいさくをやるべきかの組織そしき的てき合意ごうい」の3つです。

まず、経営けいえい者しゃとしての積極せっきょく関与かんよですが、トップの経営けいえい者しゃ・役員やくいん自みずからがしっかりセキュリティに関かかわらなければなりません。一昔ひとむかし前まえは係長かかりちょうクラスを責任せきにん者しゃとした“係長かかりちょうセキュリティ”でしたが、それではセキュリティ対策たいさくが組織そしきになかなか浸透しんとうしづらい。そこで私わたしが座長ざちょうを務つとめた経済けいざい産業さんぎょう省しょうとIPA（独立どくりつ行政ぎょうせい法人ほうじん 情報処理じょうほうしょり推進すいしん機構きこう）の「サイバーセキュリティ経営けいえいガイドライン」では、セキュリティマネジメントを経営けいえいに取とり込こみ、“社長しゃちょうセキュリティ”すなわち、経営けいえい者しゃや取締役とりしまりやくがリーダーシップをとったセキュリティ対策たいさくの推進すいしんを行おこなうべき、という提言ていげんをまとめました。

人的じんてき組織そしきの充実じゅうじつという面めんでは、システム的てきな対策たいさくに加くわえてCISO（Chief Information Security Officer／最高さいこうITセキュリティ責任せきにん者しゃ）の任命にんめいやCSIRT（Computer Security Incident Response Team／コンピューターセキュリティインシデント対応たいおうチーム）の設置せっちといった取とり組くみが重要じゅうようになります。

さらに、セキュリティ対策たいさくをどこまで組織そしきとしてやるべきかの合意ごういという面めんでは、リスクアセスメントやリスクコミュニケーションといったリスクベースのアプローチが重要じゅうようになってきます。ここで言いうリスクアセスメントとは、企業きぎょうや組織そしきが持もつPCやIoT、ネットワーク機器ききといった情報じょうほう資産しさんを漏もれなく管理かんりし、そこにどのようなリスクがあるかを特定とくてい、分析ぶんせき、評価ひょうかするプロセスを指さします。これは情報じょうほうセキュリティリスクの対応たいおう策さくを決きめるために欠かかせない基本きほん中ちゅうの基本きほんです。一方いっぽうのリスクコミュニケーションは、リスクに関かんする情報じょうほうを関係かんけい者しゃと共有きょうゆうし、理解りかいを深ふかめるための手法しゅほうです。リスクコミュニケーションを適切てきせつに行おこなうことで、組織そしき全体ぜんたいでのリスク認識にんしきの共有きょうゆうや効果こうか的てきな対策たいさくの実施じっしが可能かのうとなるため、こちらも積極せっきょく的てきに行おこなうことが重要じゅうようです。

これらの対策たいさくは大だい企業きぎょうだけではなく中堅ちゅうけん・中小ちゅうしょう企業きぎょうでも同おなじように必要ひつようです。規模きぼが小ちいさいからといって攻撃こうげき者しゃは許ゆるしてくれません。とはいえ「一いち人情にんじょうシス」「兼任けんにん情じょうシス」で手てが回まわらない、社内しゃないにセキュリティ担当たんとうのリソースがないというケースが多おおいのが実態じったいです。そこは経営けいえい者しゃ自身じしんがコストと優先ゆうせん順位じゅんいを勘案かんあんして、適切てきせつな手段しゅだんを検討けんとうしていく努力どりょくが求もとめられます。親会社おやがいしゃがある場合ばあいは、サプライチェーンの核かくになる子会社こがいしゃを適切てきせつに指導しどうしたり、契約けいやく段階だんかいでセキュリティ対策たいさくを盛もり込こむような形かたちにしたりすることが好このましいのですが、どうしても手てが及およばないケースや企業きぎょうグループではない中小ちゅうしょう企業きぎょうも多々たたあります。そういう場合ばあいはIPAが「サイバーセキュリティお助たすけ隊たいサービス」というIT補助ほじょ金きんを使つかった支援しえん策さくを提供ていきょうしていますので、まずは自社じしゃのリスク状況じょうきょうをしっかり把握はあくすることから始はじめてみることが大切たいせつだと思おもいます。

リモートワークやハイブリッドワークなどの新あたらしい働はたらき方かたが普及ふきゅうし、企業きぎょうや組織そしきが必要ひつように応おうじて行おこなうようになってきました。これにより従業じゅうぎょう員いんが利用りようするPCやスマートフォンが私物しぶつの場合ばあい、もしくは会社かいしゃ貸与たいよであってもエンドポイントの管理かんりが難むずかしくなっています。その影響えいきょうや対策たいさくについてはどのようにお考かんがえですか。

佐々木ささき氏し対策たいさくとしてはゼロトラストセキュリティの推進すいしんが必要ひつようです（図ず２）。環境かんきょう的てきな変化へんかはご指摘してきのように、オンプレミスからクラウドへのシフト、リモートワークの拡大かくだい、攻撃こうげきの巧妙こうみょう化かなどを背景はいけいに、従来じゅうらいの境界きょうかい防御ぼうぎょだけでは防ふせぎきれない状況じょうきょうになってきました。

図ず2　環境かんきょうの変化へんかと防御ぼうぎょモデル

クラウド環境かんきょうの普及ふきゅうやリモートワークの拡大かくだいによって、既存きそんの境界きょうかい防御ぼうぎょだけではセキュリティを担保たんぽできない時代じだいとなった。対策たいさくとしては、ゼロトラストの考かんがえ方かたに基もとづいたネットワークセキュリティソリューションをSASEに加くわえ、オンプレミス中心ちゅうしんのエンドポイントセキュリティが重要じゅうようになる

これに対たいしてゼロトラストは、通信つうしん相手あいてのPCやサーバーを全すべて信頼しんらいできないものと位置いちづけ、境界きょうかいを越こえた攻撃こうげきに対たいしても自分じぶんの安全あんぜんを維持いじしようという技術ぎじゅつです。2010年ねんにフォレスター・リサーチ社しゃが提唱ていしょうした概念がいねんといわれています。

ゼロトラストにはいろいろな対策たいさくモデルがあります。1つは、組織そしきが持もつ全ぜんリソースにあらゆるネットワークからのアクセスがあると想定そうていし、会社かいしゃ保有ほゆうのサーバーやPCだけではなく、個人こじんがリモートワークで使用しようする端末たんまつやスマートフォンも対象たいしょうとするもの。実行じっこうするのは簡単かんたんではありませんが、基本きほんはそこが一番いちばん大事だいじで、あらゆるエンドポイントを守まもるセキュリティが必要ひつようだと思おもいます。

2つ目めは、ネットワーク境界きょうかいによる静的せいてきなアクセスコントロールではなく、アクセスごとに動的どうてきなコントロールを行おこなうもの。以前いぜんにアクセスしたから大丈夫だいじょうぶ、ファイアウオールがあるから大丈夫だいじょうぶという観点かんてんではなく、大事だいじな通信つうしんをする際さいには、お互たがい動的どうてきに認証にんしょうしましょうという対策たいさくです。

3つ目めは、セキュリティ動作どうさに関かんする情報じょうほうを常つねに監視かんし・測定そくていするもの。要ようするに、何なにかおかしな挙動きょどうがあれば早はやめにキャッチして対策たいさくできる仕組しくみです。大おおきくこの3つがゼロトラストにとって必要ひつような対策たいさくだと思おもいます。

ゼロトラストの実現じつげんには、情報じょうほう資産しさんにアクセスするエンドポイントの防御ぼうぎょが欠かかせません。そのエンドポイントセキュリティで最近さいきん注目ちゅうもくされているのがEDR（Endpoint Detection and Response）です。EDRの機能きのうとしてはエンドポイントに侵入しんにゅうした脅威きょういを検知けんちし、SOC（Security Operation Center）にアラートを上あげ、脅威きょういインシデントの兆候ちょうこうを素早すばやく把握はあくし対応たいおうするという流ながれが一般いっぱん的てきです。しかしSOCを自社じしゃで持もてるのは大だい企業きぎょうに限かぎられることから、外部がいぶに委託いたくするような場合ばあいも少すくなくありません。そこではリスクアセスメントによるリスクの可視かし化かを行おこない、コストとリスク、使つかい勝手がってのバランスを見みながら境界きょうかい防御ぼうぎょとゼロトラストを組くみ合あわせたり、検知けんちの自動じどう化かなどを検討けんとうしたりしていくことが必要ひつようです。

新あたらしい働はたらき方かたと同様どうように、コロナ禍かでSaaSをはじめとしたクラウドの利用りようが急速きゅうそくに広ひろがりました。これについてはどのようなセキュリティ対策たいさくが求もとめられるのでしょうか。

佐々木ささき氏しクラウドシフトはセキュリティの観点かんてんから見みると、メリットとデメリットが存在そんざいします。まずメリットは、事業じぎょう者しゃ側がわがクラウド上じょうのデータやバックアップについて、ある程度ていどのセキュリティ対策たいさくを実施じっししてくれること。一方いっぽうデメリットとしては、利用りよう者しゃ側がわの設定せっていミスや運用うんようミスで影響えいきょうの大おおきいセキュリティ事故じこが多発たはつすること。実際じっさい、こうした利用りよう者しゃ側がわのミスに起因きいんした事故じこは増ふえています。

現状げんじょうの対策たいさくとしては、専門せんもん家かが行おこなう設定せってい支援しえんや運用うんよう支援しえんのツールを入いれていくことが最良さいりょうです。その1つとして注目ちゅうもくされるのがSASE（Secure Access Service Edge）です。これはネットワーク機器ききとゼロトラストのネットワークセキュリティを1つのプラットフォームで提供ていきょうするもので、セキュリティの強化きょうか、働はたらき方かた改革かいかくに対応たいおうしたネットワーク環境かんきょうの実現じつげん、業務ぎょうむの生産せいさん性せい向上こうじょう、運用うんよう一元化いちげんかによる管理かんり負担ふたんの軽減けいげんといった様々さまざまなメリットがあります。オンプレミスでもクラウドでも提供ていきょうされるツールなので、まずは自社じしゃに合あったSASEを検討けんとうすることが大切たいせつです。

今年ことしになって生成せいせいAIが急速きゅうそくに注目ちゅうもくを集あつめるようになりました。生成せいせいAIは、サイバーセキュリティにどのように影響えいきょうを与あたえるのでしょうか。

佐々木ささき氏しAIとセキュリティに言及げんきゅうする際さいには、まず4つの観点かんてんでの関係かんけい性せいを明確めいかくにする必要ひつようがあると思おもいます。1つは「Attack using AI（AIを利用りようした攻撃こうげき）」、2つ目めは「Attack by AI（AI自身じしんによる攻撃こうげき）」、3つ目めは「Attack to AI（AIへの攻撃こうげき）」、最後さいごが「Security Measure using AI（AIを利用りようしたセキュリティ対策たいさく）」です（図ず３）。この4つの観点かんてんそれぞれで、近年きんねん注目ちゅうもくを浴あびている生成せいせいAIがどのような影響えいきょうを及およぼすようになったのか、お話はなしましょう。

図ず3　AIとセキュリティに関かんする4つの関係かんけい

セキュリティ対策たいさくではAIの適用てきようを高度こうど化かするとともに、AIとセキュリティの組くみ合あわせにおいてどのような問題もんだいがあるのかを知しる必要ひつようがある。生成せいせいAIの登場とうじょうによって今後こんごは攻撃こうげき側がわと守備しゅび側がわに分わかれてAI同士どうしが戦たたかう時代じだいとなってくる。このため4つの観点かんてんから研究けんきゅうを深化しんかさせ、新あらたな防御ぼうぎょ策さくを検討けんとうしていく必要ひつようがある

最もっとも影響えいきょうが大おおきいのは、Attack using AIとAttack by AIです。Attack using AIは生成せいせいAIで誰だれでもプログラム出力しゅつりょくができるようになったため、フィッシングメールやフェイクニュースの作成さくせいが容易よういになり、著名ちょめい人じんを利用りようした見分みわけのつかないディープフェイク動画どうがも作つくれます。ChatGPTのような文書ぶんしょ系けいの生成せいせいAIなら、脆弱ぜいじゃく性せいデータベースなどのインテリジェンス情報じょうほうを学習がくしゅうして攻撃こうげき行動こうどうを自動じどう化かする可能かのう性せいもあります。人ひとの行動こうどうやシステム内部ないぶの脆弱ぜいじゃく性せいを予測よそくし、最適さいてきな標的ひょうてき型がた攻撃こうげきを実行じっこうする、あるいはチャットボットによる詐欺さぎ行為こうい、指紋しもんなどの認証にんしょう情報じょうほうの偽造ぎぞうといったこともできるでしょう。

もう1つのAttack by AIでは、ChatGPTによってAI自体じたいの汎用はんよう性せいが増加ぞうかし、プログラムを自動じどう生成せいせいする機能きのうを持もつため、AI機能きのう付つきのウイルスのように人間にんげんへの攻撃こうげきリスクが大幅おおはばに増大ぞうだいします。

Attack to AIは、誰だれでも使つかえる生成せいせいAIで被ひ攻撃こうげき者しゃ候補こうほが増ふえる恐おそれがあるほか、生成せいせいAIを対象たいしょうとした攻撃こうげき用ようツールが増ふえると予想よそうされます。

そしてSecurity Measure using AIですが、生成せいせいAIを使つかうことによってセキュリティ対策たいさくの適用てきよう対象たいしょうと方法ほうほうが増ふえていくと考かんがえられます。プログラム作成さくせい機能きのうによって防御ぼうぎょするためのツールの効率こうりつ的てきな生成せいせいが可能かのうになる点てんも大おおきなメリットです。ただし守まもる側がわとしては生成せいせいAIの登場とうじょうで、先さきに挙あげたような新あらたなリスクの発生はっせいを踏ふまえた対策たいさくを考かんがえていかないと追おいつかない状況じょうきょうになるでしょう。

こうしたことを踏ふまえ、現在げんざい、私わたしは、AIをはじめとした様々さまざまなITリスクにどう対応たいおうすべきかを明確めいかく化かするため、複数ふくすうのリスクが対立たいりつする状況じょうきょうを考慮こうりょしながら、多おおくの対策たいさく案あんの最適さいてきな組くみ合あわせを求もとめていくリスクコミュニケーションの手法しゅほうを研究けんきゅうしています。今後こんごは本ほん研究けんきゅうを深化しんかさせた上うえで、研究けんきゅう結果けっかを踏ふまえた政策せいさく提言ていげんや製品せいひん規格きかくへの反映はんえいなどを実施じっししていきたいと思おもいます。