Interview

特集 2| 情報セキュリティ技術のゆくえ株式会社テリロジーに聞く 「サイバーセキュリティの変遷と未来」

株式会社テリロジー 取締役

宮村信男

2018年初に発生したコインチェック事件など、サイバー空間でのビジネスが伸びる一方で、必然的に増えるサイバー犯罪。
様々な法人や行政にデジタル世界でのセキュリティを提供し続けてきた、株式会社テリロジーの宮村信男取締役に、サイバーセキュリティの今をうかがった。

宮村信男 Profile
2002年に米国南カリフォルニア大学にてMBA取得。2004 ~ 2007年、シスコシステムズ合同会社インダストリーソリューションマネージャー。米国本社直轄のプロジェクトとして、製造業の工場ネットワークシステムのIP化を推進。2007年より株式会社テリロジーにて、自社開発製品の立ち上げ及び海外市場の開拓や、証券取引所、外資系証券会社向けHFTアルゴリズムトレーディングモニタリングビジネスのアジア展開などを手がけている。
また、2008年6月には、株式会社テリロジーの取締役に就任する。
2016年からは、サイバースレットインテリジェンスビジネスの立ち上げ・展開に携わるほか、ネットワークインフラ構築事業からサイバーセキュリティ対策への事業ポートフォリオの転換を推進。
2017年には、株式会社テリロジー取締役執行役員副社長に就任し、2018年4月からは、株式会社テリロジーワークス代表取締役社長兼任となる。

テリロジー社では多彩なセキュリティソリューションを提供されているとのことですが、具体的にはどういったものをご提供されているのでしょうか?

当社が提供しているサービスは多岐に渡るのですが、中でもネットワークセキュリティに強みを持っております。ネットワークを外部からの攻撃から守るといった仕事を、かなり長く手掛けてきております。

かなり長く手掛けてきた、とのことですが具体的にはいつ頃から始められたのでしょうか?

どこからを「セキュリティ」と捉えるかにもよりますが、2000年頃からでしょうか。テリロジーの歴史を見ると、創業時から10年程度は企業内ネットワークを構築する仕事が中心、その後NTT東西様のフレッツサービスが始まった際に、そのフレッツ接続ツールを弊社でカスタマイズして提供したのが2000年の始めで一気にビジネスのフォーカスが通信事業者市場にシフトしました。固定網からモバイル網に主役が移っていく時期に、セキュリティの重要さが認識されるようになりました。結果として2005年頃からセキュリティのビジネスが徐々に増えてきて、現在ではセキュリティに何らかの形で関わる仕事が約7割に達しています。

当初は「セキュリティ」とはいっても、専門的な知識を持っている人が面白半分に手掛けていて、比較的単純なファイアウォールで防げていたような時代でした。ところがこの数年でしょうか、攻撃する側の状況が大きく変わってきています。

状況が変わってきたというと?

昔は攻撃する側も、技術を持った人が自己顕示のためにおこなっていた面もあったように思います。それが現在では、サイバーセキュリティは攻撃者側から見てもビジネスになってきています。以前は、攻撃をする人は自分でツールを作り、自分でいろいろな攻撃手法を学んで、適当に相手を選んで攻撃をしていました。ところが現在では、分業化がものすごく進んでいるのです。

分業化というのは、たとえばマルウェアを作る人は、昔は自分で作って自分で使わなくてはいけなかったのですが、今ではダークウェブ(闇サイト)で作ったマルウェアを販売することができるので、作ることに専念すればよくなっています。

攻撃をする人も、たとえば攻撃を実際に想定した場合、基本的には3つの要素があるといわれています。1つは「攻撃者のモチベーション=攻撃する意志」、もう1つが「攻撃される側の脆弱性」があるかどうか、最後の1つが「その脆弱性に有効なツール」があるかどうかです。この3つが揃うと、攻撃が成立することとなります。

昔はこの3つの要素を1人でおこなっていたのですが、今では攻撃をしたいという人は犯罪者を含めて数多く存在しています。脆弱性については、脆弱性についてだけをスキャンする専門業者的な人が存在しています。つまり自分でマルウェアを作るのではなく、24時間365日、多くのネットワークやシステムに対してスキャニングをする。そうして集めた情報をまとめてパッケージにして売ったりするのです。

その次に、そうした脆弱性をずっと見ていて、その脆弱性に対して有効なツールを作る人がいます。ひたすら悪意のあるツールを作っている人たちです。さらにそうした3つのカテゴリーの人たちが情報交換する場所、つまりインフラが出来ているのです。

1人で3つのカテゴリーをカバーせず、得意な分野にだけ特化することができるため、技術は非常に専門化・高度化してきています。さらにビットコインのような仮想通貨の登場で決済も楽になっています。以前はお金を動かすには銀行を使わざるを得ず、そこからトラッキングされたりしたのですが、仮想通貨であれば匿名で簡単に送金ができるので、決済が非常に簡単になったといえます。

そうした匿名での決済が可能であることが、金融庁がテロ資金やマネーロンダリング対策を重視していることにつながっているのでしょうか?

そうだと思います。セキュリティインシデント(事業運営や情報セキュリティを脅かす事象)について考える時にはテクノロジーの話になりがちですが、そもそも論としては、セキュリティインシデントとは、攻撃する人がいなければ起こり得ません。その攻撃する人のメンタリティを考えてみると、要は「お金が儲かればいい」という金銭目的が多いのです。さらにいうと、攻撃者には3つのパターンがあるといわれ、ひとつが「ハクティビスト」、アノニマスといったタイプの人たちです。政治的な信条を持っていて、それを広く知らしめたい、仲間を募りたい人たちです。つい最近も、日本の電力会社を攻撃するキャンペーンが2月にあったばかりで、弊社はそうした動きを検知して顧客に報告したりもするのですが、こうしたパターンが1つ。

2つ目が、犯罪組織です。犯罪組織の場合には、サイバー空間をつかった詐欺が多いです。金銭目的の詐欺です。

3つ目が国家レベル、日本や欧米諸国と敵対関係にある国(例えば北朝鮮など)が防衛技術を盗み取るために高度な攻撃を仕掛けるとか、そういったレベルのサイバーテロというものがあります。この3つの中で犯罪組織や犯罪者について考えてみると、いろいろな種類の犯罪がある中で、サイバー犯罪というものは、罪を犯す側にとってリスクが低いものとなっています。何故かというと、通常の犯罪であれば、犯罪を行う場所の警察権や逮捕権を持っている法執行機関の存在があります。

ところがサイバーの場合、たとえば日本を攻撃するとしても、日本にいる必要がありません。海外から日本のユーザーをハッキングして情報を盗んだり詐欺行為を行ったとしても、そもそも日本国内にいないので、日本の警察には逮捕権がないことになります。

つまり海外とも簡単につながることのできる便利さがマイナスに作用することもあると?

攻撃する人たち、特に犯罪者からすると会う必要もなく、クリック1つで簡単にできてしまいます。これが薬物であれば受け渡しが絶対必要になるのでそこで捕まるリスクがあるのですが、デジタルの場合そうしたリスクが非常に少なく、そもそも海外にいれば日本の警察が逮捕することができません。犯罪者もそうしたことは当然わかっています。

こうしたことからサイバー空間の犯罪というものは割が良いと認知され、結果としてどんどん人が入ってくる状況があります。もう1つがダークウェブの存在でしょう。ダークウェブとは特殊なツールなどを使って入る領域で、グーグルなどではインデクシング(情報作成、登録)ができない世界ですが、匿名性、暗号化、仮想通貨による決済という特性により、闇空間のインターネット通販サイトのようなマーケットが乱立している状況があります。こうした場所では何でも売ったり買ったりできるので、たとえば入手した個人情報を簡単に売ることもできます。

こうした場がなければ、情報を入手しても相手を現実世界で探さないといけないのですが、簡単に売買できる場があれば、クレジットカード情報を一生懸命集める人が出てきます。サプライチェーンのサプライの部分で、情報収集に特化した人がいて、それを換金できる環境が出来てきていることになります。

しかもそれがグローバルにひろがっているので、犯罪者にとっては非常にやりやすくなったといえます。加えて、ツールなども最初から用意されているため、かつては非常にスキルの高い人でなければ実現できないような攻撃が、今や数万円相当の仮想通貨で最先端の攻撃ツールを簡単に入手し、自分で攻撃を実行することも容易です。あるいはレンタルハッカーというものまで存在しているので、自分でやらなくても人に頼めばいい。攻撃者からすると、攻撃するための環境が整備されています。

それに対して守る側はどうかというと、企業の情報システムなどは携わる人の数がほとんど増えていません。日本の場合は少子高齢化もあります。IT企業ならともかく、多くの企業では苦労して採用した新卒をわざわざIT部門に入れるかという問題も、現実にあります。なかなか人も増えないしレベルも上がっていかない一方で、攻撃者側の攻撃手法や量といったものが急激に増えていく、アンバランスな面がみられます。

もう1つの大きな問題として、2020年の東京オリンピックがあります。ロンドンやリオ、直近の平昌もそうですが、オリンピックにあわせてサイバー攻撃が指数関数的に増えるというのは周知の事実です。日本に対しても2020年の東京オリンピックに向けて、様々な攻撃が増えていくものと考えられます。そこに対する対策が求められます。また、地政学リスクの高まりもあります。前述の敵対関係にある国家に対するリスクです。さらにもう1つ気になるのが5Gの導入です。前倒しされるとの観測もありますが、導入されてIoTが本格化するということになれば、今まで以上に様々なデバイスがネットに接続されるわけで、そこがまた新しいリスクとなることが予想されます。

攻撃技術が発達したこと、仮想通貨というインフラができたこと、それに加えて守る側の意識や技術があまり上がっていないことがあり、今は圧倒的に攻撃する側が有利な状況にあります。だからこそ、セキュリティに対する投資を強化しなければならないと考えている企業も増えていますし、重要インフラに指定されている業種では国からの指導もあって取り組みの強化が加速されるでしょう。ただ全体的な取り組みはまだまだですね。

重要インフラとは電力や交通などのことかと思いますが、こうした業種のセキュリティへの取り組みについて、国とそれぞれの企業とで温度差のようなものを感じられることはありますか?

業種や会社によってまちまちな部分もありますし、当社の顧客には電力業界の企業もおられますが、同じ電力とはいっても地域によって感度がかなり異なる印象もあります。ただ電力の場合は重要な社会インフラであり、何らかのサイバー攻撃で電力の供給に影響がでたりすれば人命に関わることも予想されます。そのリスクについてはかなり真剣に考えていらっしゃると感じています。

また、大きなプラントを持っているような企業のケースも注意が必要です。サイバー攻撃といっても、金銭目的のものもあればテロ目的のものもあります。テロ目的であれば、制御システムにより運営されているプラントを持っている企業のリスクは高いといえます。操業中のプラントの制御システムが攻撃されれば、人命に関わるような事故になる可能性もありえます。日本では少ないのですが海外では、ウクライナでの電力の事件などもありました。その点ではこういった領域の方々も、国からの指導がある側面もありますが、セキュリティについて考えるようになってきています。

ただ、1つ問題なのは、サイバーセキュリティは基本的にITの領域で、ITの人たちがやるものという意識がある一方で、プラントに関わる人たちはOT=オペレーションテクノロジー、いわゆる生産管理などをずっとおこなってこられた方であることです。この方たちがセキュリティ対策を講じることになるのですが、セキュリティの意識が必ずしも高くないことがあります。もともと隔離された環境で、外乱要因がないことを前提にすべてを動かしてこられたので、そうしたITとOTの温度差というものを埋めていくことも、これからやっていくべきことかと思います。

■セキュリティを取り巻く状況
セキュリティを取り巻く状況「日本」と「海外」

セキュリティについて考えるのであれば、まず状況がどうであるか、環境がどうであるかを把握することが重要になります。外的な要因としてオリンピックがあること、5Gが始まるということ、地政学的にいま緊張があること、IoTのさらなる普及が日本についての状況になります。

海外については攻撃する側の人数が増えていること、攻撃者を支援するためのインフラが整備されていること、マネタイズするためのバリューチェーンが出来上がっていることがあります。これを踏まえて次に何をするかを考える必要があります。

サイバー攻撃の増加に果たしたダークウェブと仮想通貨による決済の影響は非常に大きかったと理解して良いのでしょうか?

それは間違いないと思います。ダークウェブと仮想通貨が存在することで、攻撃にかかるコストが非常に下がったということではないでしょうか。今までは、自分でツールを作って相手を探して攻撃をして何か盗んでそれを自分で売るとなると、ものすごく大変……大きな犯罪組織でもなければ、ほとんど「できない」と思うのです。ところが今では個人でもそういったことができてしまう、そのことが怖いのです。

昨年、日経新聞で報道されたのですが、ロシアのハッカーが日本の金融機関を狙うフィッシングのツールを作って20ドルくらいで売っていたとのことです。そのロシアのハッカーを調べてみると、年齢はほんの22、3歳。経験もさほどある訳でない。ただちょっとコンピューターに詳しい人が、日本の金融機関を狙ったツールを作ってダークウェブで売ってしまう現実を、非常に怖いと感じました。

米国で銃による事件が起こりますが、それは銃が「簡単に買える」から起こるのだと思います。日本では銃をどこでも「買える」わけではないので、銃についての事件は少ない。サイバーといっても事情は一緒で、ダークウェブとはいっても、トーアというツールを使えば誰でも入れる世界です。そしてそこに入ると、マルウェアもマルウェアのチュートリアルも攻撃対象のリストも売っていて、しかも決して高価でもなくて、数万円レベルで入手できるとなると、やってみようかという人が出てきても不思議ではないと思います。

つまりは攻撃者側のインフラというものがすごい勢いで整備されたということが、今のいろいろなサイバーの事件の要因となっていると思います。

あとは国レベルの攻撃というものがあります。表だって攻撃すると全面戦争になるリスクもあるため、まずはサイバー空間で相手の情報を盗んだり、あるいはサイバー攻撃で相手のオペレーションを妨害する手法を開発することに多くの資金と人材を米国 、北朝鮮 、中国、ロシア、イランなど各国が投入しています。そういう国家レベルで鍛えられた専門家がサイバーセキュリティについての技術レベルをどんどん高め、そこで開発されたツールや手法が最終的にダークウェブや闇マーケットに流れていく。要はソ連が崩壊して、殺傷力の高いライフルやミサイルといったものが闇市場に流れていって事件が起こる、少しニュアンスは違いますが本質的には国家レベルで開発された攻撃ツールが民間への攻撃に使用されるという点では同じような話と思います。

暗号化技術の負の側面がダークウェブだとすると、その存在が無くなることはないようにも思います。ダークウェブが脅威の発信源となる状況は変わらないのでしょうか?

そうした技術がどんどん進展していることを考えると、ダークウェブを凌駕する世界が出てくるのはないでしょうか。今はダークウェブをたくさんの人が使用していますが、何年か後にはもっと匿名性の高い、トレース不可能な強固なネットワークができるのかも知れません。

攻撃者側のレベルの急速な向上があるとのことですが、たとえばこの5年間で、セキュリティシステムを構築・運用するにあたっての変化などあったのでしょうか?

やはり大きな流れとして、これは我々が思っていることですが、お客様もリアクティブな対応ではいけないと段々わかってきているかと思います。リアクティブとは、とにかく攻撃が来ても全部対応できるような製品を並べておいて、もし侵入者がいたらそこで対応するという考え方です。そうした考え方ではなく、そもそも自分たちのシステムに攻撃者がつけいる脆弱性がないかどうかをしっかり確認して、あれば潰しておく考え方に変わってきています。

つまりサイバー攻撃を構成する3つの要素、攻撃者の意図と、システムの脆弱性と、攻撃のためのツールのうち、攻撃者の意図はコントロールできないですし、ツールは自分たちが作っているわけではないのでこれもコントロールできない。しかし脆弱性についてはコントロールができるので、まずその脆弱性を潰しておこうという考えです。

攻撃者の視点から見ると、攻撃しやすい相手と攻撃しにくい相手というのは当然異なっています。どこかの電力会社に対する恨みがあって、どうしてもそこを攻撃したいというケースではなく、お金が目的であれば、攻撃しやすい穴の多い対象の方が楽なのです。

戸締りがいい加減な家を狙う空き巣と一緒ですね?

まったく同じメンタリティです。ですから、穴が多ければ狙われることは、誰もが分かっていることなのです。いかに穴を減らすか、そこのところの意識は結構高まってきていると思います。顧客の意識の変化としては、セキュリティ対策としてテクノロジーを導入するというフェーズはこれからもずっとありうるものですが、ある程度は一巡している感もあります。そのテクノロジーに対する定期的なアップデートなどのニーズもあるでしょうが、それよりもこれからセキュリティサービスとして伸びるのは、システムの脆弱性を明確にチェックして事前に潰していくことであるとか、さらには脅威情報の収集と提供ではないかと感じています。

脆弱性のチェックとは自社のシステムのチェックだけになりますが、そもそも世の中にはどういった攻撃者がいて、攻撃者はどういった攻撃をしているとか、まさか自社を狙っているのではないか……こうしたことを事前に調査・分析することが重要になっています。

どういう攻撃ツールが流通しているのか、そのツールは自分たちのインフラやシステムに対して脅威となりうるのかの確認、そういった部分に徐々に、大手企業や官公庁、13の重要社会インフラ分野に該当する企業は向かっていっているようです。

守るべき部分、つまり要塞的にブロックするインフラは既にできていて、これから先は、一応ちゃんと作っているつもりだけれども穴がないかを定常的に確認するプロセス、そしてインテリジェンスの活用により攻撃者側の情報を探って、それをもとに戦略を立案し実行するというフェーズになっていくのだと思います。

セキュリティは壁を作ることだけではなく、メンテナンスと敵を知ることへ意識が移り変わってきているということでしょうか?

そうした理解で間違いないと思います。そこに適応した製品・サービスを、当社として提供していく戦略をとっています。

サイバーセキュリティを提供していく中で、外部からの接続を許容するか隔絶するかの考え方がありますが、これから許容と隔絶はどのように進むとお考えですか?

ネットワークに接続されていないことを私たちは「エアギャップ」、つまり間には空気しかないからエアギャップというのですが、セキュリティを優先して「エアギャップ」を選択するという考え方もあります。この点については各業界、それぞれの事業者が置かれている競争環境が方向性を決めていくと思います。各企業は世の中のニーズに応えようと熾烈な競争を展開している訳です。顧客ニーズがより高い利便性を求めるのであれば、IoTのような技術を駆使した新たなサービスの需要が高まっていくでしょう。そうなれば否応なしにすべてが接続される世界になるのは間違いありません。

たとえば自動車産業においては新興のテスラモーターズはITの活用、ネットとの融合に積極的です。テスラがネットワーク化されたインフラを前提に様々な新しい利便性の高いサービスを展開し、そしてそれが消費者に受け入れられるのであれば、結局他社も追随するのではないでしょうか。それぞれの会社ごとに考えはあるでしょうが、最終的には業界のリーディングカンパニー、あるいは既存勢力を駆逐する新興勢力が方向性を定めるのだと思います。つまり「外部からの接続を許容するか隔絶するか」についてはセキュリティ技術の観点で決まるのではなく、世の中の流れが決めていくということです。そして今の状況を見る限り、隔絶を選択することは限りなく難しい。

なお「エアギャップ」の安全性ですが、物理的に離れていても内部犯罪があれば情報は簡単に漏れてしまいますし、残念ながら世の中には会社に不満を持っている人が多数いますので、物理的に切れているから安全と単純に言い切れるものではありません。人間系の問題こそが本質的な課題であり、セキュリティを技術の面だけで語っても足りないと思います。攻撃してくる人も人間ですし、守る側も人間ですから、そもそも人間に対する洞察といったものが、これからのセキュリティ対策では重要と考えています。

セキュリティ対策へのAIの影響はどのように出てくるのでしょうか?

セキュリティ業界としては、今後のテーマとして脅威情報とAIが重要になるということは、ここ数年来ずっといわれてきています。AIがセキュリティ業界に与える影響はいろいろと考えられますが、現実的なところでは、人の判断を支援することにAIを使うのが現実的かと思います。全てがAIで出来てしまうというのは少し行き過ぎた議論でしょう。

私たちが日々入手する様々な情報はもう人間が処理できる量をはるかに超えており、人間がすべてを見るということは不可能なのですが、一方で人間が最終的にジャッジをするということにはやはり価値があって、そのジャッジを正しいものとするためにいかに事前に情報量を絞り込むことこそが重要です 。たとえば1000の情報があって、そこに様々な相関関係があって、1000×1000のケースを見るとなると、人間ではもう無理だと思います。そういった部分はAIに任せて、ある程度学習したAIがフィルタリングしてくれた情報を人間が見て、対処するようになれば、現時点では理想的な形ではないでしょうか。

AIがセキュリティ技術に与える影響は大きなものがあると思いますが、おそらくですが、攻撃者側もAIを活用してきます。結局は同じ武器で撃ち合うことになるので、キリがない。最後はその技術を用いる人間が大切で、その訓練が重要になってきます。

最近米国の企業、特に大手であるとか金融機関では、内部のサイバーセキュリティの担当者が、元軍人とか元警察とか諜報機関出身者という人が多くなっています。去年当社で、元イギリス軍にてサイバー空間の諜報活動を担当し、その後ブリティッシュテレコムなどの民間企業でロンドンオリンピックのサイバーセキュリティを守る仕事をされていた専門家を招聘いたしました。当社が注力しているサイバーインテリジェンスの活用についてのトレーニングを企業や法執行機関関係者に行うのが目的でしたが、法執行機関だけでも40名以上の方が参加されました。企業側は電力などの社会インフラ、大手金融機関、放送関係、オリンピック関係といった方々が中心で総数は120名を超えました。人材の育成が重要であることの証左であると思います。

繰り返しになってしまいますが、これからのセキュリティにとって、テクノロジーという部分も大切ですが、最終的には「人間系の強化」ということが非常に重要です。先進国で諜報機関がないのは日本くらいといいますし、法執行機関でも防衛でも、そうした人材は全く足りていないようです。そういった部分で、外国の先進的なノウハウを取り入れること、そこには技術だけではなく人間系の様々なノウハウといったものを導入していくことが、日本の企業や官公庁にとって重要になっていくと思います。

セキュリティにとって、単純なテクノロジーを越えた、脅威情報の収集や脆弱性のチェック、情報をどう整理して活用するかが求められているのです。そうしたことを提供できる会社が日本ではまだ少ない現状なのですが、それこそが私どものミッションであり、またビジネスチャンスになっているように思います。

セキュリティを守るものとして技術、情報、人材をあげていらっしゃいますが、こと人材については国レベルでの取り組みが必要になってくるのでしょうか?

当社でも人材のトレーニングをおこなっていますが、絶対数が少ないので、人材が一番の問題となってくるように思います。

諸外国と比べて、日本のセキュリティというのはどれほど遅れているのでしょうか?

セキュリティの先進国というのは、結局それだけ攻撃されている国ということになります。やはり米国は圧倒的に強いですし、技術でいえばイスラエルは非常に高い、インテリジェンスという意味においてはイギリスも大したものです。

ロシアや中国、北朝鮮もレベルはかなり高いでしょう。あまり大きな声では言いたくないのですが、どちらかというとダークな部分でより強みがあるような印象です。こうした国々と比べると、日本は周回遅れもいいところで、3年から5年の遅れではないでしょうか。

テクノロジーは、買うことができます。米国で使っているテクノロジーもお金を出せばすぐ買えますし、高いコンサルティング会社にお願いすれば、プロセスも導入できると思います。ただ人材の部分は、お金では解決できず、そこの所が他国と比べて何年も遅れている、と言うよりむしろ、日本と日本人は、もともとそうした機能を持ってこなかったと言えるかも知れません。であるからこそ、セキュリティに関わる人材というものが、これから重要なテーマとなってくるのでしょう。