《TOPIC》

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

●2001年9月11日に米国で発生した同時多発テロから20年が経過し、9.11に関する振返り報道を今年も目にしましたが、現在のサイバー攻撃を「サイバー9.11」として警鐘を鳴らす報道もあります。それは、当時いくつかの前兆がありながら軽視した結果9.11にテロが発生した状況と、今の頻発するサイバー攻撃の状況が同じように(単なる犯罪行為から大規模テロへの変貌)思われるのかもしれません。

 そういった状況を上手くまとめていた「日経新聞:9/26」の記事で、いくつか興味深い見解が述べられていました。

 ひとつは、「サイバー攻撃=貧者の武器」との見方を取上げ、サイバー戦に参加する経済的なハードルが低くなっているとし、攻撃を抑止するためには、「経済的合理性」を破綻させる反撃(身代金の奪還、手口の公表、経済制裁など)が有効であるとしていました。

 ただ、経済力に余裕のある国家レベルの攻撃者にはそれだけでは十分でなく、証拠を公開して「恥をかかせる」方法も有効(特に面子を重視する国には)だとして、米国が主導し日欧も巻き込んだ7月19日の中国に対する共同非難をその一例としています。

 「血を流さない戦争」と安易に考えての無秩序な反撃は際限なくエスカレートし「血で血を洗うリアルウォー」につながるリスクがあり、上記のような国際的な連携で不測の事態を防ぎながら最低限の原則作りが急務であるとの合意形成は進みつつあるようで、10月13日には日米欧30カ国の閣僚級会議が開催され、中ロへの対応策について話し合われたようです。

 日本としても、上記の共同非難に参加する前の今年4月に、JAXAに対するサイバー攻撃の実行犯として中国共産党員を特定し対外公表したのもこういった流れの中での動きと思われ、8月の警察庁の「サイバー局」設置にもつながっているのではと筆者は感じています。

参考中ロ乱発、サイバー攻撃どう防ぐ 米「次の9・11」警戒:日経新聞   9/26
 動き出す国家のサイバー捜査 海外連携、抑止に軸足:日経新聞  9/28
 アメリカ サイバー攻撃で中国政府非難の声明 日本などと連携:NHK        7/20
 JAXAなどにサイバー攻撃か 中国共産党員を書類送検:日経新聞  4/20
 日米欧など30カ国・地域、サイバーで閣僚協議 中ロ排除:日経新聞  10/13

日本の新しい「サイバーセキュリティ戦略」について、当欄でも言及してきましたが(第5号、第9号、第10号)、9月27日に最終案が政府主催の戦略会議で決定され、翌28日に管内閣の置き土産として閣議決定されました。

 内容については、第9号、第10号で述べたものと大きな違いは無く「中ロおよび北朝鮮の脅威」を明記し、重要インフラの安全確保に政府として一歩踏み込んだ内容となっています。具体的な施策については9月に発足したデジタル庁を軸に進められると思いますが、岸田内閣で新しく創設された「経済安保相」との役割分担や連携にも注目していきたいと思います。

参考サイバー攻撃 中ロ・北朝鮮の脅威明記 政府が戦略案:日経新聞 9/27
 官邸主導を軌道修正 政府と党の連携密に:日経新聞 10/6

【NIS-Be最新情報:更新情報、活動報告、海外最新情報等】

  • 更新情報

NIS-Beサイト最新情報

 6月1日にリニューアルしたNIS-Beサイトは、順次内容の充実を図っています。

 今回紹介するのは、最近米国等で実施されたCMMCDFARSに関するWebinarを、動画として視聴可能な形で提供しているページです。会員様限定での提供で、最新動画は9月28日に実施されたCMMC-ABによるTown Hallです。日本語字幕も付きますので、海外の最新動向を肌身で感じていただければ幸いです。

CMMC関連Webinar(録画) | NIS-Be 情報共有会員サイト (aviation.jp)

  • 活動報告

 エヴァアビエーション社のサイトに登録されているNIST SP800 171の翻訳が、一部バラツキのあった用語を統一するなどした最新版に更新されました。

  • 海外情報(ヘッドライン)※記事の詳細はNIS-Beサイトを参照ください。

 

政府の請負業者最大の関心事の一つにCMMCが含まれているとの調査報告ExecutiveBiz  9/27
NISTは「2022年以降、サイバーセキュリティ実践ガイドを順次発行」と発表FedScoop   9/27
CMMCを推進してきたKatie Arringtonが停職をめぐりDoDとNSAを提訴FedScoop  10/12
CMMC-ABは「アセッサー不足の解消のために人材募集に取り組み中」と報告FedScoop  10/20

 

【コラムサイバー研修(e-leaning)について

―Comarサイバーセキュリティeラーニングコースについてー

                                  筆者:川辺 直人

 データ漏洩の多くは人々がハッカーの罠に陥ることで始まります。例えば、ハッカーは知人になりすましてソーシャルメディアであなたとつながります。一度つながったら、個人情報や生活、趣味、嗜好に関する情報をひっそりと収集し続け、あなたが興味を持ちそうなフィッシングメールを作って送り付けます (もしあなたが猫に興味があると分かれば、「猫が喜ぶ7つのご褒美」と題したメールを送るかもしれません。)。

  そしてそのメッセージに記載されたフィッシングリンクをクリックすれば、あなたのデバイスに保存された情報 (勤務先や銀行のログイン情報など) が覗き見られる、といった具合です。コンピュータではなく、我々「人間」がハッキングされるのです。

 これはハッカーが人々の感情に訴え、誘導する「ソーシャルエンジニアリング」と呼ばれる手法です。ハッカーは騙し易いターゲットを狙っています。組織の中の誰か一人でもこのようなフィッシングに引っ掛かれば、その組織のデータへアクセス出来る情報が得られるためです。

 このようなサイバー攻撃に対抗するには、組織の全ての人々が攻撃手法に関する知識を持ち、罠に陥らないように行動することが必要です。そのためには、全社員向けの効果的なトレーニングが欠かせません。世界的に猛威を振るったマルウェア:エモテットやコロニアルパイプライン社へのランサムウェア攻撃が記憶に新しい中、エヴァアビエーション社では、米国Comar Cyber 社のサイバーセキュリティeラーニングを日本向けにローカライズし、販売を開始しました。

以降をご覧になるには、NIS-Beサイトを参照ください。

【One TERM(用語解説)】

 先号で紹介した通り、NIS-Be運営に携わるエヴァアビエーション社がSP 800-53(rev.5)の和訳をIPA様から委託され、その成果物がIPAサイトに登録されています。翻訳作業を進める中で、日本ではあまり使われていない用語や、日本での使われ方と意味が異なる用語の翻訳に苦労したと聞き及んでいます。

 この「One Term」では前号に引き続き、SP 800-53に関連する用語についての解説として「センシティブ」について見ていきます。

【センシティブ】

 センシティブ(sensitive)はセンス(sense)から発生した形容詞で、「①感情が細やかで繊細なさま、神経質なさま②取り扱いに細心の注意を要するさま【日本国語大辞典】」と定義されており、筆者も仕事で②の意味で事柄の扱いに慎重さを求める時に使ってきました。ITの分野でこの語を使う場合は、②の意味から「センシティブ情報」という言葉として「個人の思想・信条や国家機密など、極めて慎重に取り扱うべき情報。機微情報【デジタル大辞典】」という意味で使われています。

以降をご覧になるには、NIS-Beサイトを参照ください。

--------------------------------------------------------------------------------------------------

【編集後記】                 

 編集後記を執筆している現在、衆議院が解散し総選挙戦の真っ最中です。今号が発刊される11月1日には、選挙結果により新しい勢力分布が決まり、政権の行方も確定しているはずです。

 自分としても、次の政権が、コロナが収束傾向にある今からどうやって出口に向かうのか、各党や各候補者の話を良く聞いて投票に行こうと考えています。

 また、我々に関係するサイバーセキュリティ分野についても、前政権が置き土産として「デジタル庁発足」、「サイバーセキュリティ基本戦略決定」と形を作った器に、今後中身をどのように盛って行くのか、今回の選挙のテーマの一つである「経済安保」との関係を見ながら注目しているところです。

                           (佃)