イベント / EVENT

平成28年度 第5回 Q&A

第5回 2017年1月31日(火)

サイバー攻撃に耐性を有する情報ネットワーク
高倉 弘喜 (国立情報学研究所 アーキテクチャ科学研究系 教授)

講演当日に頂いたご質問への回答(全20件)

※回答が可能な質問のみ掲載しています。

経営者を本気にさせるためにはどうするのが良いですか?

経営層はサイバーセキュリテイ対策は費用対効果が見えにくいコストと受け止めます。対策に本腰を入れてもらおうとすれば、どうしても飴と鞭が必要となります。飴としては対策費用の一部が減税対象となる、などが考えられます。一方、鞭ですが、米国などでは、サイバー攻撃により顧客に被害が発生した場合、その被害の規模と対策不足の過失(不作為)の度合いに応じて経営層にも法的責任が及び、サイバーに特化した法律ではなく既存の法律に基づいて処罰を受けることがあります。我が国の場合、不作為による法的責任を問うという段階までは至っていませんが、徐々に変わっていくと考えています。

ブロックチェーンを使うとセキュリティは万全になるのでしょうか?

ブロックチェーンは匿名性を保持した状態で情報、ビットコインであれば金額という情報を確実に受け渡しする技術です。言い方を変えれば、運搬途中に強盗に遭うことのないだけで、全ての安全性を保証するものではありません。また、ブロックチェーンの安全性は経験的に安全とされている段階で定性的には証明できていません。さらに、理論上の安全性と実装・運用の安全性は別の課題となります。なお、この技術は悪用されれば犯罪に使えますし、実際、サイバー攻撃の報酬をビットコインで受け取るという事例も増えてきています。

今日の内容を本で読みたいですが、良い本はありますか?

この分野は技術の進歩が早く、上手く纏められた本というのはなかなかありません。全てをカバーしているわけではありませんが、辻 伸弘著「あなたのセキュリティ対応間違っています」(日経BP社)は、読みやすいと思います。

ダメージコントロールをするためには、コンピュータでやっている業務を分離する必要があります。分離するにあたって考慮すべき点は何ですか?

分離する際にコンピュータやサーバといった情報機器で考えるのではなく、社員一人ひとりの業務で考える必要があります。言い方を変えると、各社員は自分の業務がどのようなものなのか、どの社員と連携しているのかは理解できているでしょうから、それらの情報得て部署単位や業務単位に纏め(抽象化し)、分離できる業務、できない業務、分離によって影響を受けうる業務を明確にする必要があります。

セキュリティ担当者の人事評価とモチベーション維持の良い事例はありますか?
無事で当たり前、事故が起きれば責められる。たとえ誰かが怪しいメールのURLクリックしたのが原因でも「充分な予防教育をしていなかった」と。
無事なのは担当者の働きのおかげか、たまたまなのか、測定する良い方法はあるのでしょうか。例えば、営業担当と比べて、納得のある人事評価の方法。

セキュリティ担当者の人事評価が難しい理由の一つに、セキュリティ担当部署の人にしか仕事の重要性や意義が理解できない、というものがあると思います。講演で説明させていただいた橋渡し人材の仕事でもあるのですが、他部署にもセキュリティの見えない仕事を理解してもらう必要があります。
少し悲観的な考え方ですが、欧米に習って、無作為の法的責任が経営層や営業担当に問われるようになれば一気に変わるかもしれません。

ブロックチェーンの普及に対する
1)セキュリティ上の問題と解決策
2)ブロックチェーンは取引のメインインフラとなりうるか
について教えてください。

ブロックチェーンは通信路の安全性を保証する技術ですが、その理論的安全性と実装や運用の安全性が同等であるかを検証することが難しく、通信の存在そのものを完全に消すことは難しいといった限界はあります。
メインインフラになるか否かについては、高倉の主観とはなりますが、なり得ないと考えています。理由は、悪意を持った第三者の影響が及びうることと、その際の取引の追跡が難しいこと、さらに、ブロックチェーンの計算量が経済的に見合ったものにならない可能性があることです。

人工知能が主流になる時代がもうすぐ来ると言われています。その時、人工知能が感染すると、大変恐ろしいことになると思います。一方で、人工知能でサーバー攻撃に対する有力な対応が可能になることも考えられるでしょうか。
ソフトバンクがIOTデバイスの統計会社を手に入れましたが、非常にサイバー攻撃に対するセキュリティレベルが高いと聞いています。どのような仕組みですか?応用は出来ないのでしょうか?

人工知能は何らかの知識を学習することで人間よりも的確に物事を判断できる技術であり、サイバーセキュリテイにも適用可能だと思います。ただ、サイバー攻撃がビジネス化した現在、攻撃者側の方が新しい技術の活用に熱心です。また、一つの脆弱性に対して攻撃側の人工知能は最も効果的な攻撃手法を探すのが仕事ですが、防御側の人工知能は想定しうる攻撃手法全てに備える必要があり、攻撃側有利な状況はこれからもしばらく続くと思います。
二つ目の質問ですが、IoTディバイスの統計会社というのが思い当たりません。IoTディバイスも使われるCPUを作っているARMを買収したの件であれば、それだけではセキュリティとは関係しないのですが...それともイスラエルのサイバーリーズン社への投資でしょうか?こちらであれば、IoTではないのですが。

自宅のPCが感染したら、「購入時の環境にもどす」を行えば大丈夫ですか?その他の手段はありますか?(File等は諦めるとして)。

大抵のサイバー攻撃であればこれで大丈夫です。ただし、PC起動時にOSよりも先に読み込まれるBIOSに感染するマルウェアもありますので、100%安全であるとは言えません。
マルウェア感染で諦めたくないのは文書や写真といったファイルの方だと思うのですが...これらのファイルはUSBメモリや外付けハードーディスクに移し替えた後、購入状態の環境+最新のセキュリティソフトで保護されたPCで検査する、という手段は考えられます。もちろん、最新のセキュリティソフトでも見逃す可能性はありますので、必要なファイルだけをPCに戻す必要はあります。

常にセキュリティの最新情報を効率的に収集するには、どのような事を行えばよいでしょうか?また気をつける点などあればご教授頂きたいです。

一般の方であれば、定期的なセキュリティ更新を欠かさず実施する、製品のサポート終了日を意識するで十分だと思います。
組織のセキュリティ担当の方であれば、https://jvn.jp のような脆弱性情報を定期的に確認するのが一つの方法だと思います。

橋渡しの人材を養成するためにシステム監査技術者を学部/マスターで教育するべきではないですか?
コンピュータでどう仕事をするかではなく、仕事の中でコンピュータをどう使うかを考える必要があるのでは?

ご指摘の通り、〇〇業務に使用する情報機器の組み合わせ、この業務の機能制限がどこに影響するかという視点からインシデント対応ができなければなりませんので、橋渡し人材はそれぞれの組織(企業)の業務形態、仕事の流れを理解しなければ機能しません。システム監査技術を背景に持つ人材は有用ではあるのですが、4年間の学部/2年間の修士課程ではそこに至るまでの基礎学力を習得させるのが限界だと考えます。また、監査技術に関しては情報学よりも経営工学系の学部・大学院での人材育成の方が適しているようにも思えますし、海外でも経営工学でサイバーセキュリティの学位を出すところもあります。

最強の遠隔操作プログラムを配布するサーバーは世界に2~3台しかないそうですが、ダウンローダを配布するサーバーが増えれば増えるほど2、3台の悪質サーバーの位置が特定されやすくなり侵入者もリスクが高まるのでは?

1段目のダウンローダを配布するサーバは数日〜1週間程度で対処されています。しかし、2段目以降のサーバへ接続するPCは攻撃者のターゲットとなりうる人物によるダウンロードに限定されています。また、マルウェアのダウンロードはわずか数回であり、数多くの正常なアクセスに紛れてます。このため、インシデント発生後に膨大な通信ログから配布サーバを特定することは極めて困難です。また、ターゲットの条件を満たさないPCでダウンローダを起動しても何もしませんので、セキュリティベンダーが接続先を追跡するのは非常に難しくなります。

マルウェアに感染してもサーバーが止められないとすると、この状態が続けば世界中のサーバーが感染しているけど対応出来ず動かし続けるような世界になるのでは?

情報機器の用途に応じてどのていどまでのマルウェア感染を許容するのか?という新たな評価尺度が必要になると思います。極めて重要な業務に使用していたため、PCやサーバ、ネットワーク機器を全て交換するという対応を行った実例もあります。

IPv6化でレジリエンスな情報ネットワークが構築できるのでしょうか?(IPv6なら水密区画のある船になれる?)

IPv6は逆にセキュリティレベルが下がることが懸念されています。アジア地区はIPv4アドレスの割り当て数が少なかった結果、各家庭にブロードバンドルータが必須となっており、これのNAT機能が簡易のファイアウォールの役割を果たしています。IPv6ではブロードバンドルータによるNAT機能が不要になる代わりに、全ての情報機器がインターネットに直結されることになります。

ひとことで言うと究極的なサーバー攻撃対策は存在せず、ひたすらいたちごっこを繰り返さざるを得ないということでしょうか?

悲観的な言い方ですが、便利な道具は犯罪者にとっても便利な道具となります。サイバーセキュリティ技術は日々進歩していますので、安直な攻撃はできなくなるでしょうけど、高度な攻撃は攻撃者にとって投資効果がある限りは続くと思います。

サイバー攻撃された状態から、攻撃者の意図をくみ取ることは可能でしょうか?

現在でも、セキュリティ監視の過程で、攻撃者の狙いが見えてくることがあります。また、攻撃者が感染させたマルウェアの活動パターンから狙っている情報機器やデータを推定する技術は現在開発が進みつつあります。

時間の長さに最小単位はあるのですか?

ご質問の意図が読めないのですが、一般に単位時間といえば秒単位で考えることが多いです。

フォノンは情報のsecurityに役立つのですか?

量子暗号のこととして回答します。量子暗号は通信路を流れる情報を保護する技術として注目されています。通信路上の盗聴や改ざんを防止する技術としてはとても役立つと言えます。ただし、サイバーセキュリテイは一つの技術で保証されるものではありません。サイバー攻撃はもっともコストのかからない(=もっとも脆弱な)部分を狙いますので、頑強な量子暗号が実用化されれば通信路以外が標的になりえます。他にも、AさんとB さんの間で通信行われたというのも「情報」となり得ます。
更に言えば、安全性が高く、使い勝手が良い道具であれば、攻撃者側も利用することになり、攻撃の手口などを調査できなくなる、という問題が生じてしまいます。

最近あったというロシアの対米大統領選に向けたサイバー攻撃とは何だったのでしょう。

実際にどのような攻撃が行われたか?という情報は、情報漏洩でもない限り、出てこないと思いますし、万が一情報が漏洩したとしても、国家は肯定も否定もしないでしょう。
なお、海外のサイバーセキュリテイ情報には、実在する国家を仮想敵と見なして危機感に現実味を持たせるという手段が取られることがあります。政府からInformation Sharing and Analysis Center(ISAC)へ提供されるサイバー攻撃情報にも〇〇国型攻撃と実在する国名を明記していることがあります。本年1月に米国の複数のISACを訪問して言われたことは、国名は単なる識別子であり、実際の攻撃者との関連性は気にしていない(意味はない)、とのことでした。

プロフィールの裏面下段に「技術者として修行すれば、マネジメント能力も身に付くという日本的人材育成では限界があるかもしれません」とあります。私の企業(製造業)について全く当てはまるご指摘です。 技術者、昨日者、研究者が「マネジメント能力を学びたくなる仕掛け」として、例えばどんな工夫を思いつかれますか?

全ての技術者がマネジメント能力を習得できるとは考えていません。経営的な視点をもった人材を組織として育てる仕組みを作り、経営的な適性を持つ技術者が参加できるようにする必要があると思います。私が今まで所属してきた大学でも、技術職の方が様々な職種を経験された後に、事務部門の役職者になられた事例を多く見てきました。経営には向かない技術者は、そのまま技術者として研鑽を重ねて行くという別パスも必須です。さらに、情報学分野は技術進歩が非常に早く、これを吸収できるという別の才能も求められます。

7,8年前にMicrosoft supportを名乗る警告に(インターネットのWeb画面でポップアップされた)まんまとだまされて、偽のセキュリティプログラムを購入ダウンロードしてしまいました。お金をだまし取られた他に考えられる被害はありますでしょうか?当該のマシンは私用のもので、現在OSのサポートが終わったマシンであるため、使用していませんが、残してあるファイルの中に新しいマシンに移行したいものがあります。(メール等)。古いマシンから移行しても大丈夫でしょうか?

ダウンロードの際に氏名やメールアドレス、クレジットカード番号を渡していると思います。これらの個人情報が漏れて、さらなる詐欺メールを受信することは考えられます。
ファイルの移行ですが、可能であれば、新しいマシンには最新のセキュリティソフトをインストールし、古いマシンのハードディスクを読み込み限定で接続することが望ましいです。これが難しい場合は、USBメモリにファイルを一旦移し替え、そこから新しいマシンに載せ替えるという手順もあり得ます。移し替えたファイルは新しいマシンのセキュリティソフトで検査を定期的に行うことも望ましいです。

shimin 2016-qa_5 page2490

注目コンテンツ / SPECIAL