新刊のお知らせ
2016年12月17日に、この連載をベースにした新刊『エンジニアが生き残るためのテクノロジーの授業』が発売されました!
ITとビジネスの関係、コンピュータ、ネットワーク、プログラミング、データベース、セキュリティ、人工知能など、本連載で解説した内容も含め、エンジニアなら誰もが知っておくべきテーマを一冊で学ぶことができます。
セキュリティ対策は主要なリスクマネジメント
何から何を守るのか?
幅広い知識が求められ、「知らなかった」では済まされないのがセキュリティです。しかし、「完璧なセキュリティ」というものは存在しません。攻撃を受けることを前提として、どのような対策を取れるのか、エンジニアとして常に考えておかなければなりません。
セキュリティを考えるとき、「何から何を守るのか」という部分が明確になっていないと、無駄な対策を実施してしまうことになります。そこでまずは、攻撃者の視点から何を狙っているのかを改めて考えてみましょう。
補足
「ハッカー」という言葉は、「優れた技術を持つ人」という意味でも用いられ、悪意を持った攻撃者を「クラッカー」と呼んで区別することがありますが、ここでは一般的な使われ方に従い、システムを攻撃する人を「ハッカー」としています。
過去の攻撃者の目的
2000年以前に多かったのが、画面にくだらないメッセージを表示するタイプのウイルスです。利用者を驚かすだけの単純なものから、ハードディスクのフォーマットやデータの削除、上書きなどにより利用者を困らせることが目的でした。
ほかにも、組織のWebサイトを書き換え、政治的なメッセージを掲載するなど、社会的な騒ぎになることを楽しむ愉快犯がいました。これらの動機は技術力の誇示が中心で、主に不特定多数に対して攻撃を行っていました。
ハッカーは「もうかる仕事」に
21世紀に入ると、個人情報の価値に注目が集まってきます。個人情報を削除するのではなく、組織の外部に持ち出し、名簿の売買によって攻撃者が利益を得るようになりました。個人情報の価値が高まるにつれ、残念ながらハッキングは「もうかる仕事」になりつつあります。
こうなると、攻撃対象に気づかれないように、ひそかに攻撃が行われます。ウイルスへの感染に利用者が気づかず、情報漏えいの発見の遅れにもつながっています。
また、外部からの攻撃以外にも、内部からの情報流出についても意識しなければなりません。システムを壊すのではなくデータを盗むことが目的になっている以上、システムだけでなくデータを守ることに力を注がなければなりません。
攻撃手法のトレンド
ウイルス感染の報告数は減少
攻撃者は気づかれずに攻撃を続けるために、いろいろな工夫をしています。例えば、脆弱性の利用や標的型攻撃などがあります。ソフトウェアなどにセキュリティ上の不具合があることを「脆弱性」と呼びます。
一般的な不具合は「バグ」と呼ばれ、想定と異なる動作をするために利用者が気づきますが、脆弱性の場合は一般の利用者がその存在を発見することは稀です。
これまでのようにウイルスを送りつける方法では、利用者がそのウイルスを開かないと意味がありませんでした。しかしソフトウェアに存在する脆弱性を利用すれば、開かなくても利用者のPCをウイルスに感染させられます。
ただし、多くの組織や個人がウイルス対策ソフトを導入し、一般的なウイルスについては検出できるようになったことや、そもそもウイルスに感染していることに気づかないことから、報告される感染件数は減少しています(図1)。
図1 「ウイルス届出件数の年別推移(2005年-2014年)」
(独立行政法人情報処理推進機構(以下IPA)の資料をもとに作成)
被害が急増中の「標的型攻撃」
一方で増えているのが「標的型攻撃」です(図2)。これは特定の組織を狙った攻撃で、その組織が保有する顧客情報などを狙っています。メールの受信者が不信感を抱かないような文面を使い、送信者名も実在する組織や個人名を詐称するなど、巧妙ななりすましメールを送信し、添付したウイルスを開かせる手口です。
実際に、人事部の担当者宛に履歴書を送ってきたように見せかけて、マクロウイルスが添付されていた例などがあります。これまでスパムメールなどは一目でそれと分かりましたが、こうなると判別が難しくなります。
