リモートワークからオフィスへの回帰、生成AIの進化やビジネスでの活用、マイナンバーカードに対する不安など、2023年もITセキュリティーを取り巻く環境には大きな変化がありました。また、ランサムウエア被害をはじめとするインシデントも数多く発生しています。こうした動向を踏まえつつ、さらなる変化が予想される2024年では、どんなトレンドに注目し、セキュリティー対策に臨むべきなのでしょうか。奈良先端科学技術大学院大学教授の門林 雄基氏に伺いました。
目次
2023年に起こったセキュリティーインシデントを振り返る
身代金を支払っても92%は泣き寝入りしている事実
——そうした状況下で拡大しているインシデントの1つが、ランサムウエアの被害と捉えてよいのでしょうか。
門林:おっしゃるとおりです。報道がないために一見すると日本企業の被害は少ないと思うかもしれませんが、これは大きな間違いです。欧米と異なり日本では法令などによるインシデントの報告義務が課せられていないため、表面化していないだけです。実際には、報道されている事案の10~100倍のランサムウエアの被害が発生していると推測されます。
——中には身代金を支払って対処した事実を隠蔽しているケースもありそうです。
門林:当然あるでしょう。ただ、ここで強く述べておきたいのは、身代金を支払ったとしても、データが完全に復元されるケースはわずか8%しかないということです。残りの92%は泣き寝入りとなっていることが2021年の段階で明らかになっている※2のですが、こうしたことを知らずに「いざとなったら身代金を払えばいい」と考えている日本の経営者は少なくないのではないでしょうか。
そもそもランサムウエアの被害が発生した時点で、その企業のセキュリティーは末期症状に陥っていると言わざるを得ません。重要データはすでに犯罪集団に奪われており、身代金を支払わなければそのデータを暴露サイトなどで公開すると迫られる“二重脅迫”に利用されますし、システムやデータを復旧してもその企業は何度も狙われる恐れがあります。
2024年のセキュリティー対策は“AI対AI”の攻防に
——2024年に向けて、セキュリティーに関する技術や手法といったトレンドはどのように変化していくとお考えでしょうか。
門林:先ほど述べたとおり、今やITはあらゆる製品やサービスに入り込んでいるため、全方位の対策が求められることになります。世の中ではクラウドセキュリティー、モバイルデバイスのセキュリティー、OT(Operational Technology)/ICS(産業用制御システム)のセキュリティーといったキーワードが注目されていますが、当然そのすべてに対応していかなければなりません。自動運転車やドローン、3Dプリンターのセキュリティーも重要度が高まっていくと考えています。
そしてもう1つ大きなトレンドとして注目してもらいたいのが、今やサイバー攻撃とセキュリティー対策の関係は“AI対AI”の攻防となっているという点です。攻める側と守る側の双方がAIを駆使しています。個々の企業レベルでも今後のセキュリティー対策を策定する上で、AI活用は避けて通ることができません。
——一部の企業では「AIは難しそうだ」「AIを使うことによるリスクが把握できない」と、導入に二の足を踏んでいるケースも散見されます。
門林:そうした点は、日本企業の今後の弱点になりかねないと懸念しています。例えば、ChatGPTに代表される生成AIに関しても、「不適切な入力を行うと情報漏えいにつながる」といったリスクばかりに注意を払い、従業員の利用を禁止している企業もありますがナンセンスだと思います。
AIが攻勢を強める中、ただでさえ足りないセキュリティー人材でそれに対処するのは不可能です。今のうちから積極的にAIを使いこなしてノウハウを習得しておかなければ、今後のサイバー攻撃に太刀打ちできなくなります。
——門林先生のサイバーレジリエンス構成学研究室では、AIを活用したセキュリティー対策について、どのような研究や人材育成を行っているのでしょうか。
門林:サイバー演習でよく行っているのが、攻撃者の目線に立ったセキュリティーのプランニングです。そこではセキュリティーに特化した生成AIであるOpen CREといったチャットボットなども活用し、最新情報を入手しています。
——攻撃者の手法を学んでいるということですか。
門林:そのとおりです。「彼を知り己を知れば百戦殆うからず」という『孫子』の一節もあるように、敵側の手口を知ることでこそ、防御することが可能となります。サイバー攻撃とセキュリティー対策は常にイタチごっこですから、攻撃のプランニングを繰り返し行い、その先手を打つ対策を練っていく必要があります。
セキュリティーリスクは“経営リスク”と認識すべき
——今後のITトレンドに対応したセキュリティー対策を確立し、その運用を維持していくために、特に日本企業にはどんな取り組みが必要ですか。
門林:何より急がれるのが経営層を含めたマインドチェンジでしょう。日本では電車は時刻表どおりに来るし、諸外国と比べれば犯罪件数も少ない。半面、多くの人が根拠のない“安全幻想”の中で暮らし、肌感覚でセキュリティーの重要性をつかめていない。この状況はとても危険です。サイバー攻撃に国境はなく、脆弱なところに絨毯爆撃のような攻撃を仕掛けてくるからです。
実際に海外の方々と会話すると、エンドユーザーや一般の生活者であっても、非常に高いセキュリティー意識を持っていることに驚かされます。日本の中で、日本人同士で話し合っているだけでは決して感じ取れない、この海外との温度差を埋めていかないことには、セキュリティー対策を機能させることはできません。
——日本企業と海外企業との温度差は、どんな形で現れていますか。
門林:体制からして大きく違います。100人体制のセキュリティー組織を有している企業が、日本でどれくらいあるでしょうか。私の知る限り片手で数えられるほどしかありませんが、海外企業では当たり前です。セキュリティーインシデントは会社の存続を危うくする重大な“経営リスク”であるという危機意識が、多くの日本企業に欠けています。
——100人体制といった大規模なセキュリティー組織の整備は、日本企業にとって容易なことではないと思われます。
門林:ならば経理部門に目を向けてみるとどうでしょうか。大企業であれば100人以上、中堅企業でも数十人といった体制を整えています。事業運営にとって経理のオペレーションが不可欠であるという認識を、経営者が持っているためです。
工場に目を向けてみると、万一の事故や災害の発生に備えて自前で消防車などの設備を所有し、緊急時に対応する人員の選抜やトレーニングを行っている企業は多くあります。これも、事故や災害への対策が不可欠という経営判断に基づいて行われているわけです。
なぜ、これらと同じような熱意や認識に基づいた経営判断によって、セキュリティー組織の構築や人材育成が行われないのでしょうか。ぜひセキュリティーインシデントは経営リスクであるという認識を持って、これから始まる2024年にはあるべき体制づくりに臨んでほしいと思います。
奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授。
博士(工学)。大阪大学大型計算機センター(現・サイバーメディアセンター)などを経て、2017年より現職。サイバースペースおよびそれを構成するインターネットの高度化によるレジリエンス向上のため、実証的な技術開発と社会に対する積極的な技術移転を目指し、セキュリティー、インターネット、ソサイエティーの3つの観点から教育・研究に取り組む。