2017年2月20日
2017年2月20日
2017年2月20日(月)
巧妙化するサイバー犯罪対応には人材育成だけでなく、セキュリティ人材が働く場所の増加も必要
NRIセキュアテクノロジーズ株式会社
事業推進部 担当部長 与儀大輔 , CISSP
私が「セキュリティ」に出会ったのは2000年である。当時は「情報セキュリティ」と言われていたが、オバマ前アメリカ合衆国大統領が陸海空・宇宙に続き、サイバー空間を「第五の戦場」と位置付けたことから、昨今では「サイバーセキュリティ」と呼ばれるようになった。
私は、2014年にNISCの情報セキュリティ有識者コラムにおいて「育てろ!情報セキュリティ人財」を執筆した。その際、とにかくセキュリティ人材が足りない現状を変え、人材を増加させることの重要性を指摘した。しかしながら、今日もセキュリティ人材の不足は続き、攻撃者との戦いは熾烈を極めている。
最近のサイバー攻撃はますます巧妙になるとともに、サイバー犯罪特有の無痕跡性と非地域性・拡散性を背景にますますエスカレートしている状況である。例えば、現実社会の強盗は刃物などで相手を脅し、自らが危害を加える可能性がある事を誇示し、言う事を聞かなければ身の危険があることを被害者に示唆し金品を奪取する。サイバー犯罪者は、自ら「私は犯罪者だぞ」と名乗ることは少ないが、ランサムウエアなどは、大切な情報を人質にとった誘拐犯に似ているのではないだろうか。「身代金を払わなければ、お前の大事な情報には二度とアクセス出来なくなるぞ」と脅して、身代金を取るのである。
詐欺はどうであろうか。「オレオレ詐欺」に代表される特殊詐欺は、巧妙に被害者の近親者(息子・娘)になりすまし、その大事な息子や娘が危機にあり、それを助けられるのは親であるあなたしかいないと被害者の判断力を奪いだますのである。サイバー犯罪者は、SNSやメッセージアプリのアカウントを乗っ取り、知人や親せきになりすまし、「すみません、助けてくれませんか」とスマホ越しにWebマネーを手に入れようとしてくるのである。犯罪者の視点になって考えてみると、例えば詐欺師がサイバー犯罪の領域に浸食し、メッセージアプリのアカウントを乗っ取ることが出来れば、最初に登録されている可能性の高い正規アカウント保有者のお父さんまたはお母さんを検索するだろう。そして本人になりすまし、そのお父さん、お母さんに「スマホ(スマートフォン)の番号とメアド(メールアドレス)を変えたから登録変更しておいて。前の番号やメアドはもう他の人が使っているから、忘れずに削除してね」とメッセージを送信するのである。自身の子供の写真付きアカウントから来たメッセージを疑うことなく、登録情報を変更してしまう親は多いのではないだろうか。そして犯罪者は、登録変更後を狙い、攻撃するのである。子供の名前が親の着信画面に出て「オレオレ詐欺」を仕掛けられたらと思うとぞっとする。当然犯罪者は、変更登録させたアカウントから送信するメッセージアプリも巧みに利用するだろう。この様な犯罪被害に合わないように私は親と他人が知りえない合言葉を決めて、私や私の関係者を名乗る人物から金銭の要求があった場合は合言葉で本人確認を行うことにしている。
マルウェアというサイバー空間特有の『凶器』を用いた金銭の盗取や、DoSというネットワーク特性を悪用した脅迫が行われ、サイバー(目に見えない)空間と、リテラシーの不足を悪用した犯罪=詐欺が横行しているのが現状である。
その様な現状を打破すべく産学官が連携しサイバー犯罪に立ち向かう新たな取り組みである「日本サイバー犯罪対策センター(通称JC3)」の活動にはエールを送りたい。
現実社会とサイバー犯罪が近接してきた今こそ、対応する人材は欠かせない。政府機関や民間による調査結果の多くから「セキュリティ人材不足」「2020までに19.3万人不足」と我が国の深刻な人材不足が指摘されているが、私は働く場所も同様に増加させる必要があると感じる。人が増加しても、働く場所が少なければ意味が無い。人材と同じく働く場所の増加はサイバーセキュリティ対策強化にとって車軸の両輪であると言えるのではないだろうか。セキュリティ業界各社では毎年、年度末に脆弱性診断業務が溢れ処理できない業務量に増加する。一つのアイデアだが、セキュリティ教育などを受講したが実務が足りない基礎人材を更に実践的な人材へとステップアップさせる取組が必要ではないだろうか。例えば私の故郷でもある沖縄県にサイバーセキュリティ特区を新設しセキュリティ人材の育成を積極的に行い、基礎人材を確保する。更に県内に教育を終えた基礎人材を雇用するセキュリティ会社を政府機関の支援を得ながら民間企業が合弁で設立する。新会社ではOJTを行いながら都市部で溢れる仕事を吸収すると共に新会社で働く人材のさらなるスキルアップを目指すのである。脆弱性診断業務などを実務としてスキルを高め、その実務を経て不足しているSOCアナリストやインシデント発生時に対応する人材や国産セキュリティ製品開発者などへステップアップしてゆくのである。セキュリティ教育も実務も段階的に高度にしていかなければ身に付かない。人は高すぎる目標には達成意欲を失い、高すぎる階段は登れないと考えるからだ。セキュリティキャンプや学校などでセキュリティ教育を受けた人材を積極的に受け入れ、基礎セキュリティ人材が脆弱性診断業務などの実務をすることによりお金を稼げるセキュリティ人材になる。さらにそこから専門性を磨き、実践的な高度セキュリティ人材としてキャリアアップし、活躍していくStep by Stepモデルが出来るのではないだろうか。このアイデアが実現すれば沖縄県に新たな産業と雇用が生まれると共に、我が国のセキュリティ人材の増加と働く場所が確保されることになる。
「人は城、人は石垣、人は堀」という言葉があるが、私は、セキュリティ人材とはセキュリティを構成する材料ではなく、かけがえのない財産である「人財」と考えている。是非とも経営者の皆様にはサイバーセキュリティへの理解を深めて頂き、必要な教育予算の確保をお願いしたい。
日々見えざる脅威から、自組織の、国家のサイバーセキュリティ対策強化に奮闘する同志と諸先輩の皆様に敬意を表して筆を置く。
文責
2017年1月19日
NRIセキュアテクノロジーズ株式会社
事業推進部 担当部長
上級セキュリティコンサルタント
与儀 大輔 , CISSP
兼務
日本ネットワークセキュリティ協会 幹事
情報セキュリティ大学院大学 客員研究員
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。