攻撃者の目線で眺めるサプライチェーン攻撃の有効性とその展望
一部の企業において、「サプライチェーン攻撃」を従来のサイバー攻撃の延長にあるものととらえ、追加的なソリューションで対策しようとする姿勢が見られていますが、残念ながら、的を外した対策方針と言えます。攻撃者が特定目的を達成するために、「サプライヤーなどを踏み台にした攻撃経路」を選択する行為には、必然的な経緯と一定の合理性・系統性があります。これを理解することで適切な対策策定に繋げることができます。
社会的責任から企業防衛にシフトしたサイバー攻撃への対策
近年のサイバー攻撃の質的・量的の増大から、多くの企業において社会的責任として「サイバーセキュリティ対策」を強化する流れが加速しています。しかし、サイバー攻撃者の視点で眺めると、侵入(Intrusion)および侵害(Breach)可能な余地が数多く残っており、組織活動と事業活動に深刻な影響を与える恐れになっている状況が少なくありません。これは、「サイバー攻撃対処」の努力不足または未実施(欠落)によるものです。本講演は、この状況について具体的に解説し、企業防衛のための対策プロセスを考えます。
「いつか必ずネットワークが侵害される」ことを受け入れたゼロトラスト
最近のサイバー脅威の5W1Hを時系列で観察していくと、多額の資金と豊富な人材を投入しても、いつか必ず自組織のネットワークが侵害されることが理解でき、解決の選択肢としてゼロトラストが導出されます。現状と対策について詳しく解説します。
有事(武力衝突)以前に本気を出す国家アクターが 仕掛けるサイバー脅威シナリオ
目まぐるしく移り変わる「国際情勢」や世界中で高まる「地政学的リスク」に強く影響を受ける形で、これまでの金銭獲得目的の「サイバー犯罪グループ」、特定の主義主張を持つ「ハクティビスト」、神出鬼没な「個人のハッカー」とは全く異なる、「国家や国家の支援を受けるアクター(国家アクター)」のサイバー活動(オペレーション)が活性化し、重要組織に加えて、一般の組織や個人も標的にするケースが見られています。 そこで、ここ数年「国家アクター」が有事(武力衝突)以前に実施していると分析・評価された事象を合理的に組み合わせた「最悪のシナリオ」を紹介しつつ、最近の政府機関が求める標準レベルのセキュリティ対策を実装した組織が、どのような(潜在化・顕在化)インシデントを経験するのかについて考えます。
「象徴的なサプライチェーン攻撃事例」から得るべき教訓と現実的な対策
サプライチェーン攻撃は、サプライヤーや委託先等を脅威とみなしたものとなるため、理想的な対策は、「業務連携する他組織(サプライヤーや委託先等)」から脅威を排除することである。しかしながら、規模の大きい組織でさえ、今のサイバー脅威から守るために多大なコストと人的リソースを要しながらも100%守ることが困難な状況にあるのに、規模が相対的に小さいサプライヤーや委託先に対して同様な努力を押し付けることは現実ではない。そこで、ここ7-8年の間、世界各国で繰り返し発生しているサプライチェーン攻撃から、象徴的な事例をレビューし、得るべき教訓とそこから必然的に導出される現実的な対策を考える。
委託先や供給者の当事者観点から見る「サプライチェーン攻撃」
最近、サプライチェーン攻撃リスクの高まりから、その対策に関する理解や知識が急激に広まっているが、それらの利用主体は「調達元」がほとんどである。そして、対策例には、「調達先や委託先等」に負荷をかけるばかりのものが並んでいる。一般的に、サプライチェーン上にある「調達先や委託先等」の企業は取引上の立場が弱く、適正な取引に課題を抱えること多い。それに畳み掛けるように、サイバーセキュテリィ対策の負担をしなければならない状況にある。そして、何をもって適正な対策であるかを知るよしもなく、過剰/過小な対策に陥ることすらある。本講演では、このような観点で、「委託先や共有先」に寄り添った、現実的で少しでも有効性を高めるための「サプライチェーン攻撃対策」のあり方について考える。
システムの開発・改修・運用・保守において想定すべきリスク 有事と連動して発生するサイバー攻撃の手口
近い将来に日本周辺で発生する可能性のある有事(軍事戦と経済戦)に関連して、社会インフラに深刻な影響を与えるサイバー攻撃や認知戦が発生する可能性が高くなっています。特に、現下のウクライナ情勢に見られる「ロシアとウクライナの軍事戦」と「ロシアと西側の経済戦」に連動したサイバー攻撃や認知戦において、これまで想定されていた戦術や手口とは大きく異なるものが観測されています。そのため、現在(平時)におけるシステムの開発・改修・運用・保守における想定リスクを大きく見直し、今後のサイバー脅威に備えなければなりません。
従来の情報セキュリティ概念では防御・回避できないサイバー攻撃の理解と対策
サイバー攻撃、偽情報と誤報、心理戦、ソーシャルエンジニアリングを統合した「認知戦」について
人間の心や考え方を、"主導権を握るための新たな戦闘空間”あるいは"争奪領域"と位置づける認知戦の目的は、不協和を起こし、対立する物語(ナラティブ)を扇動し、意見を二極化させてグループを過激化することとされています。これにより敵対国における結束の強い社会を崩壊させたり、分裂させるような行動を人々に起こさせる可能性があります。ここ数年、その疑いのあるとされる事象が次々に報告されています。本講演では、それらの常套手段とその象徴的な事例を紹介しつつ、ウクライナ情勢で多用され、進展した状況を解説します。
ウクライナ情勢と連動した「多種多様なサイバー攻撃」から日本企業が得るべき教訓
ウクライナへのロシア侵攻前後に、データ破壊マルウェア、サイト改ざん、DDoS攻撃、SNSやSMS(ショートメッセージサービス)を利用した影響工作、衛星デバイスへの信号妨害や機能破壊など、非常に多くのサイバー攻撃や情報戦が観測されました。いずれも、ここ数年間、ロシアが仕掛けたサイバー攻撃や情報戦のTTP(戦術、技術、手順)から大きく外れるものではありませんが、幾つかの「進展」が見られます。この「進展」を見逃してしまうと、既存のセキュリティ対策の有効性が低下する可能性があります。本講演では、このような観察から得られた教訓を、近い将来における「日本周辺の有事」に備えた対策として考えたいと思います。
