世界最先端のIT国家、エストニアを知っていますか
【第7回】ゼロトラスト時代のサイバー攻撃への備え

新型コロナウイルス感染症の拡大が始まった2020年3月以降、さまざまな場面で対面で会うことが難しい世の中になりました。そして必然的に人々はオンラインでつながるようになり、ビデオ会議アプリのZoomが動詞として使われるようになるほど、さまざまな場面でのデジタルシフトが加速しました。その結果、私たちがオンラインで触れる情報は何が正しくて何が間違っているのかがわからず、コロナ関連のフェークニュースが溢れかえっていることから、Information（情報）とPandemic（世界的な流行病）をかけたInfodemic（インフォデミック）という言葉が生まれたほどです。どこにも信用を置かないゼロトラスト時代に、エストニアから学べることは何か。エストニアの対策の歴史とサイバー衛生の考え方を紹介します。

この未曽有の状況は悪意を持ったハッカーにとっては新たなビジネスチャンスとなっています。実際に、コロナ禍におけるサイバー犯罪は以前と比べてどのように遷移しているのでしょうか。以下はインターポール（ICPO：国際刑事警察機構）が加盟国から集めたフィードバックによるコロナ関連のサイバー攻撃のタイプ別の割合です。

この中で個人を狙った攻撃ではコロナの不安をあおるようなスパムメールやフィッシング詐欺、偽コロナ情報サイトなどが急増しました。2020年3月の米ニュースサイトZDNetの調べによると、コロナに関係するWebページの90%は詐欺サイトであるという結果になりました。※1

そして規模の大きい攻撃には、医療データを持つ病院やワクチンを製造する製薬会社、WHOなどこの時期にスポットライトを浴びる組織への攻撃が目立っています。例えばランサムウエア攻撃（身代金を要求するタイプのサイバー攻撃）の動向を見てみると、以下のように2020年以降に件数が大幅に増えていることがわかります。

このように私たちの情報がよりリスクにさらされる確率が増えている中で、新しいセキュリティーの考え方が近年注目を集めています。それが「ゼロトラストネットワーク」というものです。

例えば企業において、社内のネットワークセキュリティーを内と外で分けて考えるのが従来の手法でした。ところがコロナ禍ではDXが加速。従業員も、リモートで働くのが当たり前になったことにより、ネットワークを壁で分けることが難しくなっています。このように内外の境目が曖昧になっている中では、ネットワークを構成するすべてのデバイスが危険にさらされるリスクをはらんでいるという認識のもと、セキュリティー対策を講じることがより重要視されています。

このように誰も予期できなかった混沌とした時代の中で、国をあげてサイバーセキュリティーの重要性を世界に説いてきたのがエストニアです。IT立国として知られるエストニアでは、20年以上にわたって国のIT基盤をつくり上げる中で、オンライン上で取引される情報の安全性を最重要課題としてきました。

ではなぜエストニアは、ここまでこられたのでしょうか。そしてなぜ他の国は、エストニアの取り組みや意見をこれほど重視するのでしょうか。

きっかけとなったのは、かつてエストニアが受けた大規模なサイバー攻撃でしょう。

2007年、エストニアの首都タリンの中心部にあったソ連時代の戦没者慰霊碑を軍の墓地に移すという決定がされた時、隣国でありかつての宗主国であるロシアとの外交問題に発展した出来事がありました。 ロシアの外交官から抗議と怒りの声明が出される中でエストニアが撤去作業を進めた結果、当時一国に対しては最大とされるサイバー攻撃の標的となりました。エストニア政府はこの事件をサイバー戦争と呼びロシアを非難しましたが、ロシアはその関与を否定しています。

当時のエストニアは、オンライン投票やデジタル署名などのサービスを導入し、すでに電子政府のリーダー的存在でした。ITの仕組みがすでに整備されていたこともあり、この事件ではデータの盗難はありませんでしたが、銀行、メディア、一部の政府サービスのWebサイトがDDoS攻撃（分散型サービス拒否攻撃）の対象となり、22日間にわたって攻撃が続きました。その結果、一部のサービスは中断され、いくつかのサービスは完全に停止に追い込まれました。

この攻撃により、サイバー上の脅威を物理的な攻撃と同じように扱う必要があることを認識したエストニアは、世界に対してサイバーセキュリティーの重要性を訴えかけ、翌2008年には首都タリンに北大西洋条約機構（NATO）のサイバー防衛協力センター（NATO CCDCOE）が設置されました。

攻撃を受けたエストニア政府は、広範囲にわたる国家的なサイバーセキュリティー戦略を迅速に採用し、現在も継続的に更新しています。政府は、民間企業と協力して安全なシステムを構築しました。同盟国のルクセンブルクには「データ大使館」が設置され、国内への攻撃に備えて、バックアップを含む安全なデータセンターとなっています。

このようにエストニアでは、実際に当時では例を見ないサイバー攻撃の危険にさらされた経験から得た教訓を、自国におけるサイバーセキュリティー戦略の発展と他国との協力による対策推進 へとつなげています。

コロナ禍で日本でも注目が高まっているゼロトラストですが、エストニアはこれを国家規模で探求し続けている国と言えるでしょう。そもそもエストニアが国家の枠組みを国境で制限していないことは、上で挙げたデータ大使館の例や日本でも話題になったe-Residency（電子国民）の取り組みから見ても明らかです。エストニアは世界で初めて国会選挙で電子投票を実現した国でもあり、世界中どこにいてもパコソンとIDカードによる認証で投票することができます。このようなIT国家の仕組みが安全に運用されるためには、ゼロトラストなセキュリティーモデルの構築が必要不可欠とエストニアは考えたのです。そして連載第2回


でも取り上げた通り、2012年から国のIT基盤を支えているKSIブロックチェーン技術により、ゼロトラストを前提とするセキュアな国家運用が実現しています。

このように、エストニアにおいてゼロトラストの考え方は国のアイデンティティーであり、国民の意識レベルまで浸透しているものなのです。

エストニアの例は日本の現状にどのような示唆を与えてくれるでしょうか。

エストニアのサイバーセキュリティー専門家は、大事なのは「人」だと言います。例えば最近話題になったアメリカ最大級の石油パイプライン「コロニアル・パイプライン」へのサイバー攻撃は、他のランサムウエア攻撃でも見られるような手法であり、決して複雑なものではなかったと言います。他のさまざまな大規模サイバー攻撃でも見られるように、多くの場合、最も脆弱なのは人間だということです。

つまり、組織において内外問わず情報を扱う一人一人が現在問題になっているサイバー攻撃の危険性を理解し、正しく対処ができるよう働きかけることが重要なのです。

例えばその1つに「サイバー衛生」という言葉があります。サイバー衛生とは、ITを使うすべての人々のセキュリティー認識を深めるための取り組みです。2020年5月にはインターポールが#WashYourCyberHands（サイバー空間でウイルスから身を守るために手を洗おうという意）という言葉を通してコロナ関連のサイバー攻撃への注意喚起を呼びかけており、一人一人がどのように危険から身を守るかが重要なテーマになっています※2。

これは「内側をセキュリティーで守り、外からの攻撃に備える」のではなく、ゼロトラストの「すべてのネットワークが攻撃される危険にあるという認識のもと、それぞれのセキュリティーを強化する」という考え方に通ずるところがあります。エストニアでも、民間のセキュリティー企業がコロナの感染拡大直後の2020年3月、サイバー衛生を学べるオンラインプログラムを12言語で無償提供しました。

ESETサイバーセキュリティー脅威レポート2021年第1三半期版※3によると、日本は最も不正な電子メールの検出が多かった国という結果が出ています。実にグローバルで検出された不正メールの1/5が日本国内での検出、という結果となっており、サイバー犯罪者にとっては日本は狙いやすい国ということになります。

このように、日本ではまだまだリモートワークの課題を抱える企業が多い中、ひとごとでは済まないサイバー攻撃のリスクを 認識し、企業全体が対策を推進するためには、個人レベルで十分な認識を持つことがますます重要になりそうです。

例えば、先ほど紹介したサイバー衛生を社員一人一人が日々の仕事の中で意識するための教育や働きかけをすれば、長期的な安心につながります。コロナ禍で手洗い、うがいを心がけたことで、インフルエンザの感染者数が600分の1まで減少したという統計データもあります※4。一人一人が対策を心がけることで劇的な改善につながるというのは、オンライン環境でも同じことです。「With コロナ」の時代で誰もがウイルスの恐ろしさを実感している中で、オンラインでも常に感染の危険と隣り合わせの「With ウイルス」な状況であることを認識することが、これからますます大切になってくるでしょう。