早嶋です。
コンピューターのセキュリティ対策についての変化や今後の方向性について整理する。マイクロソフトがWindows 3.1の後継として、1995年に発売したオペレーティングシステム、ウィンドウズ95。この発売の前後でインターネット活用が仕事から家庭にまで一気に普及するきっかけとなった。そして2007年頃にはアップルからスマートデバイスが発売され、パソコンからスマフォを持つ個人が増え、一人1台を保有し日々の生活インフラとなり生活に溶け込んでいる。一方、あらゆるデバイスがネットワークに接続され、セキュリティ問題が浮上する。今回は、そのセキュリティ対策の進化と歴史に注目する。
(1990年代)
1990年代よりネットワーク利用が拡大される。ネットワークとはコンピューター同士を結ぶ概念で、構内ネットワークを結ぶLAN(Local Area Network)から、拠点間を離れたコンピューター同士を結ぶWAN(Wide Area Network)へと発展した。その際に利用される通信規約がTCP/IPだ。これは世界中のコンピューターネットワークで標準的に利用される通信ルールだ。TCP/IPはWWW(World Wide Web)の発明と共にコンピュータとそのネットワークに革命をもたらした。
異なるデバイスやOSが通信する際にルールが必要だ。そこで通信規約としてTCP/IPが規定された。我々がインターネットでWebページを閲覧する時は、TCP(Transmission Control Protocol)とIP(Internet Protocol)を利用する。TCPは送ったデータが相手に届いたか、その都度確認しながら通信するルールで正確な信号を送信する通信規格だ。IPはIPアドレスと呼ばれる数値を付与し、その数字を用いて通信先の指定や呼び出し、通信を行う。
一方、TCP/IPによって構内(例えば家庭内や企業内)の内側と外側が自由に接続されるようになる。家庭や企業内には各々機密情報を保持しているが、インターネットを不正に活用すれば機密情報を盗み出すことも可能になるのだ。また、人為的なミスで機密情報を漏洩する恐れもある。このような背景からセキュリティ対策は不可欠なのだ。
そこで企業は構内の内側と外側にセキュリティの防御用に壁を設置し、悪意を持つ不審者のネットワーク侵入を阻止する。この仕組はファイアウォールと呼ばれる。ファイアウォールは、送信される通信データのかたまり(パケット)情報から接続を許可するかどうかを判断する。仮に不正アクセスの場合は、管理者に通報される。ファイアウォールには様々な付加機能がありセキュリティ対策に柔軟に対応できるようになっている。
(2000年代)
この頃より、企業は不審者の侵入防止に加えて、ウィルス対策が必要となった。当初、ウィルスはフロッピーディスクなどを介してコンピュータに忍び込み子供のいたずらをする程度の存在だった。しかしネットワークの普及と共に企業での電子メールの活用がウィルスの拡散に勢いをつけた。
記憶に残るウィルスに「I love you」がある、2000年の出来事だ。メールのタイトルが「I love you」でファイル添付がある。添付ファイルを開くとウィルスが解凍されコンピュータが感染する。このウィルスは厄介で、コンピュータに保存されたデータを破壊し、更に登録しているメールアドレスにも同様のウィルスを仕込むのだ。そのためあっという間に世界に拡散されたのだ。このようなウィルスが2000年代初頭はかなり増殖した。「コードレッド」や「ニムダ」などもその類だ。ウィルスは徐々に高度な技術が仕込まれ、最終的には身代金と同様にウィルス感染した企業や組織に、コンピューター制御を正常に戻す見返りとして金銭を要求するウィルスなども登場してきたのだ。
(情報漏えい)
2000代初頭は大規模な情報漏えいも世間を賑わせた。都内で美容サロンを運営する企業から数万人規模の個人情報が漏洩し、世間を騒がせた。この事件は、裁判で一人当たり数万円の損害賠償を言い渡され、企業に取っては情報漏えいが重大な経営リスクとして認識されはじめた。
情報漏えいによる損害賠償を企業に課した背景は、その発生要因にある。これまでの流れを考えると、外部からの不正アクセスが要因だと思うが、実際は内部要因が主たる原因だったのだ。コンピューターを外に持ち出した際に紛失してデータを漏洩させた。内部のオペレーターが誤作動を起こしてしまい情報を外部に拡散してしまった。このような要因が8割以上を占め、外部からの意図的な攻撃や内部社員の悪意ある不正持ち出しなどが残りを占める。つまり情報漏えいは人為的なミスや内部不正などが理由で、外からの脅威ではなく内部での管理に関わる問題と認識されたのだ。
情報漏えいの問題は、通信販売会社、電力会社、金融機関、小売業など、様々な業界や企業から発生した。このように多くの情報漏えい事件を背景に2003年に個人情報保護法が成立。2005年から全面的に施行された。個人情報を取り扱う一定規模の企業に取って、情報を確実に管理して安全に運用することが重要課題として認識されたのだ。
(拡大する脅威)
セキュリテイ対策はイタチごっこで、大量に迷惑メールを送り付けるスパムメールの増殖、ファイアウォールをくぐり抜け不正データを送りつける手口など、敵の技術も都度高度になってきた。そこでIDS/IPSなどが新たに実装された。IDS(Intrusion Detection System)とは、ネットワークやサーバ通信を監視する仕組みで、外部からの不正アクセスを検知し、管理者に通知する。IPS(Intrusion Prevention System)は、不正アクセス検知と通知を行いながら、該当通信を遮断するなど侵入を防ぐ機能を持つ。ネットワークの利便性が上がる一方で、このように幾重にも及ぶ防御が必要になってきたのだ。
最終的には、これらの機能をUTM(Unified Threat Management)に集約することになった。UTMはファイアウォール機能、IDS/IPS機能、アンチウィルス機能、アンチスパム機能、Webフィルタリング機能、アプリケーションコントロール機能などを備えで、これらの機能を駆使した多層的な防御を1つの装置で行うのだ。
セキュリティ対策は全ての企業が行っているわけではない。リテラシーが低い企業は、日々リスクにさらされている現実を知らない。そこで2010年頃には、標的型攻撃が増加していく。敵もランダムに攻撃を仕掛けても、防御する企業には影響を与えることができない。そこで不正組織は事前にセキュリティが弱い企業や団体を調べた上で、脆弱な組織に攻撃するのだ。標的にされた組織にはウィルスやマルウェアが仕込まれた添付ファイルやURLを送り、不正プログラムをインストールさせるのだ。2015年に起きた公的年金を扱う特殊法人を狙った不正アクセスは大変なニュースとなったので読者も記憶に留めていることだろう。
2019年12月、武漢から発症したコロナ。その後の企業は、これまで重い腰をあげて一気にデジタル化にシフトした。結果的にテレワークやクラウド型のサービスを標準としたニューノーマルな仕事のスタイルが定着し、新たな脅威にさらされるようになった。従来の構内からのアクセスと異なり、初めから外部環境からのアクセスが当たり前になる。セキュリティが効かいないエリアでの業務が発生し、そこにセキュリティの落とし穴がますます増えている。
これらの対策は、社員の情報リテラシーの向上やルールを整備した運営に加えて、クラウドや外部ネットワークでの仕事を前提としたネットワーク環境の再構築(シンクライアントやVPN等)が課題になる。そして万が一被害が出ても、早期に検知が出来て被害を最小化できるようにUTMを活用するなど、ログの取得や継続的なネットワークの監視は企業に取って新たに発生する必須業務となるのだ。
参照
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構より
(過去の記事)
過去の「新規事業の旅」はこちらをクリックして参照ください。
(著書の購入)
『コンサルの思考技術』
『実践「ジョブ理論」』
『M&A実務のプロセスとポイント』
『ドラッカーが教える実践マーケティング戦略』
『ドラッカーが教える問題解決のセオリー』