読者です 読者をやめる 読者になる 読者になる

Shinの勉強箱

Outward Matrixの管理人Shinの別ブログ。気軽に書いています。

サイバーセキュリティについてまとめてみる

テクノロジー

スポンサーリンク

こんにちは、Shinです。サイバーセキュリティについてまとめてみます。

サイバーセキュリティは、簡単に言うとシステムをハックされないための防護措置を図ることなのですが、現在どんどん重要性が増しています。なぜか。

ネットに繋がっている機器の数が爆発的に増えているからです。金融然り、飛行機然り、工場然り。これらの中枢機能がハックされた場合、下手したら人命にも関わります。そのため、できるだけ早くサイバーセキュリティを高質化し、ハッキングを防ぐ必要があります。

サイバーセキュリティの定義

まずは定義を見てみましょうか。

サイバー攻撃に対する防御行為。コンピューターへの不正侵入、データの改竄(かいざん)や破壊、情報漏洩(ろうえい)、コンピューターウイルスの感染などがなされないよう、コンピューターやコンピューターネットワークの安全を確保すること。

[補説]サイバーセキュリティー基本法では、電磁的方式によって記録・発信・伝送・受信される情報の漏洩・滅失・毀損の防止など安全管理のために必要な措置、および、情報システムや情報通信ネットワークの安全性・信頼性を確保するために必要な措置が講じられ、その状態が適切に維持管理されていること、と定義している。(コトバンクより)

サイバーセキュリティー基本法、気になりますね。つい2年ほど前に成立した日本の法律です。

サイバーセキュリティ基本法(さいばーせきゅりてぃきほんほう)とは、日本の法律。衆議院において2014年(平成26年)11月6日に可決・成立した。第1条で「我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定める」としている。サイバーセキュリティ戦略本部や内閣サイバーセキュリティセンターなど、施策推進のための国の機構についても規定している。(Wikipediaより)

ネットに繋いでいるのは一般企業だけでなく、政府や地方公共団体も同じ話。彼らも可及的速やかに対策を練る必要があります。

なかなかイメージが湧きづらいかもしれないので、実例を見てみましょう。

サイバー攻撃の実例

サイバーセキュリティ.comに、実際の被害についてのケースがありました。

cybersecurity-jp.com

サンリオだとこんな事例が。

 2014年12月から提供する株主向けインターネットサービス「サンリオ株主ポイント倶楽部」から株主の個人情報が漏えいした可能性があると発表しました。

同社ではサービスを停止し、運営委託先のインベスター・ネットワークスが漏えい経路などの調査を進め、漏えいした可能性のある情報は株主番号や氏名、住所、性別、生年月日、メールアドレス、電話番号など。サービス登録者は6249人。

7日午前に株主から「ポイント倶楽部だけで使うメールアドレスに投資勧誘のメールが届いた」と通報があり発覚しました。

インベスター・ネットワークスは同日夕方に、調査中ながら原因特定に至っていないと発表。外部のセキュリティ専門家の協力も得て原因究明とセキュリティ強化を実施するし、また、警視庁への調査協力の要請や被害届の提出なども検討しているということです。

こうやって個人情報を一気に引っこ抜かれて、それがヘンな勧誘等に使われるというかんじ。

このような事例であれば、正直なところまだマシかな・・・という印象。攻撃されて最もヤバイのは、いわゆる産業系のネットワークです。

http://gereports.jp/post/144090161969/industrial-scale-security

gereports.jp

産業界で大型機器のインターネット接続が進むにつれ、サイバー攻撃に対する脆弱性が露呈し始めています。PwCの「Global State of Information Security Survey 2015」によれば、公益事業、石油・ガス産業、製造業、エネルギー産業における企業セキュリティ担当幹部のうち、過去12カ月の間に少なくとも1度はサイバー攻撃に見舞われたと語るのは全体の70%、今後24カ月以内に重要システムへのサイバー攻撃を想定しているセキュリティ担当の責任者は78%にのぼります。

しかし、外部ハッカーの存在をも超える、インダストリアル・インターネットに対する最大の脅威は、自社システムに対する脅威を認識せず、リスク軽減のための対策もとらずに会社を脅威にさらし続けてしまう“低い社内意識”かもしれません。

石油や電力、各種工場などにおいて、大型機器もインターネットに繋がれるようになっています。その動きが、GEが主導しているインダストリアル・インターネットや、ドイツが主導しているインダストリー4.0によってさらに推し進められている状況です。

インダストリアル・インターネット | GE.com Japan

18世紀から20世紀まで、世界の社会・経済・文化に大きな影響を与えた「産業革命」を「第1の波」と、20世紀後半に世界を変革した「インターネット革命」を「第2の波」とするならば、「インダストリアル・インターネット」は「第3の波」ともいうべきもので、世界を再び変革しようとしています。

「インダストリアル・インターネット」によって、先進的な産業機器、予測分析ソフトウェアと意思決定をする人々が結び付きます。この結果、医療技術の向上、鉄道や航空機における輸送プロセスの変革、発送電における効率的なシステムの登場、などを通じて多くの産業における生産性の向上を実現します。

www.sbbit.jp

インダストリー4.0は、ドイツ政府が主導し、産官学共同で進めている国家プロジェクトです。人類史上4回目の産業革命、つまり「第4次産業革命」を起こす取り組みとしており、そのコンセプトは「スマートファクトリー」(考える工場)です。2000年代半ばぐらいから考えられてきたもので、2011年に発表したので、すでに取り組みを開始して5年目になります。 

これらの動きによって、重工長大系のメーカーでも、ネットに多くの機器が繋がれるようになっています。それに応じてハッキングの危険も増しています。

石油生産設備や電力会社、果ては原子力発電所がハッキングされたとしたらどうなるか・・・サイバーセキュリティの実装は急務ですね。