開催日時:2025年7月24日木曜日 午後7時から1時間程度
開催方法:ZOOMセミナー
参加定員:100名
講演者:上原哲太郎・立命館大学情報理工学部教授
司会:山田 肇・ICPF理事長
冒頭、上原氏は次のように講演した。
- 組織内部での規定違反、例えば持ち出したUSBの紛失による情報漏洩などは依然として続いている。
- サイバー攻撃も近年増加傾向にある。2010年代当初は自らの技術を誇示する愉快犯などが多かったが、その後、思想信条からの攻撃も増えた。2014年 にソニーピクチャーズが攻撃されたのは、北朝鮮の体制をパロディにした映画の公開が理由と考えられている。諜報活動と破壊活動を担う「国家背景ハッカー」として北朝鮮のAPT38はFBIから手配されている。
- インターネット上の脆弱な端末を踏み台にしてイントラネットに侵入する。イントラネット内に基盤を構築して、目標を定め、攻撃先を特定して情報を盗み出すなどの行為を行う。こんな標的型攻撃が増加傾向にある。2015年には日本年金機構から情報が抜き出される事件が起きた。ハッカーは目的を定めると達成まで攻撃を続ける。それなりのハッカーが人海戦術で、手作業で、ありとあらゆる手法で侵入を試みる。そして、ウイルス等の機能で遠隔操作を行い、システム内部を調査し、乗っ取っていく。
- 標的型攻撃などの金銭目的の外部犯、内部犯の増加は深刻である。パソコンやサーバのデータを勝手に暗号化して、復号と引き換えに金銭を要求するのがRansom(身代金)攻撃である。広義にはシステムや端末を使用不能にするものも含む。しかし、身代金を払っても復号(システム復元)できるとは限らないし、犯罪者に支払を行うことの是非も問われる。
- 2020年にはカプコンがランサム攻撃され、二重脅迫の被害が起きた。盗まれた情報が暴露され、個人情報漏洩に発展したのである。2022年にはトヨタのサプライチェーンが攻撃され、14工場28ラインが停止した。奈良県宇陀市立病院、大阪市立東大阪医療センター、徳島県つるぎ町立半田病院、大阪急性期・総合医療センター、岡山県精神科医療センターというように、病院への攻撃も続いている。
- アクターがランサム攻撃のツールを開発して、そのツールを利用してアフェリエイトが攻撃を実行する。稼ぎはアクターに上納する。闇バイトと同様のアクター・アフェリエイト関係は、Ransom as a Serviceと呼ばれている。
- インターネットは危険であり、イントラネットは安全であるとして、その境界をゲートウェイで分離する。境界線を作り通信を制限/遮断するのが、我々が頼ってきた境界線防衛モデルである。
- しかし、遠隔保守のためにインターネットからイントラネットにVPN接続(仮想専用線接続)する、イントラネットからインターネット上のクラウドにデータを転送する、といった利用方法が普及するにつれて、境界線防衛モデルは崩壊しつつある。テレワークも境界線防衛モデルにとって脅威である。今やイントラネットへの侵入経路はいくらでもある。
- さらに、あらゆるものがネットにつながるIoT時代を迎えつつある。攻撃者が開発したウィルス(bot)はPCやIoT機器を犯罪の道具にする。
- 2021年には、フロリダ州のオールズマー浄水施設にサイバー攻撃があった。もともとTeamViewerアプリを活用して職員が遠隔操作しあえる環境にあった。それが悪用されて浄水中の水酸化ナトリウム濃度が100倍以上に引き上げられた。サポート切れソフトウェア(Windows 7)を使い、職員全員がパスワードを共有するといった、IT屋には信じがたい状況であったことが攻撃を招いた。
- IT屋は機密性を優先するが、インフラ屋は止めないこと(可用性)を優先する。そして「今はちゃんと動いている」という理由でシステムの更新を怠る。これが被害を生み出す。
- IoT化も安易に行われると脆弱性がばら撒かれる。機器が多様で一律の対策が立てられない、ソフトウェアの質が保たれていない、利用者の質も保たれていないといった問題がある。一方で、多く行われているスマートフォンアプリでの操作であれば、元々セキュリティを重視して開発されている(セキュア・バイ・デザインの)スマートフォンが防波堤として働く可能性もある。
- ソフトウェアが「正常である」ことは「正常な入力に対し正常に出力される」ことを意味する。しかし、異常な入力を正しく「エラー」にできないと脆弱性が生じる。誤入力・誤操作を正しくエラーとして処理するとともに、脆弱性を突く悪質な入力を排除するのが、これからのソフトウェア開発である。
- 境界線防衛に代わって、アクセスを試みるすべてのユーザやデバイスを常に検証する「ゼロトラストアーキテクチャ」も提案されている。しかし、普及は進んでいない。アクセス権管理がきめ細やかにできれば境界線防衛には頼らなくてよいというのだが、実際には運用コストが下がらず、ソフトウェアの脆弱性・設定ミスを潰しきれていない。
- これからのソフトウェアやシステムは、以下の方針で構築するのがよい。①最初から出来るだけ安全に設計する(セキュア・バイ・デザイン)、②それでも完璧ではないので出荷前によく検査する(侵入テスト・ファジングテスト)、③それでも完璧ではないのでシステムを更新可能にする、④サポート期限を明らかにする。
- 同時に、人材問題、すなわちシステム全体を見通せる人材の不足し、ユーザ企業側にIT人材がいないという課題を解決しなければならない。
講演終了後、以下のような質疑があった。
ゼロトラスト等について
Q(質問):ゼロトラストではアクセス権の厳密な設定が難しいとわかったが、現実的な対策はあるのか。
A(回答):運営の実績が多く、信頼できるクラウドサービスだけを使うという対応には限界がある。ゼロトラストと境界線防衛を組み合わせるのが当面の対策である。この組み合わせのうまい落としどころを決めるのはユーザ企業側の責任であるが、今はそれができていない。
Q:病院や自治体を見ると、セキュリティ人材を抱えられる大規模組織と、それができない小規模組織の格差が問題である。境界線防衛を外して、町役場がゼロトラストでシステムを運用できるのだろうか。官庁での議論も大規模組織を前提とし過ぎているのではないか。
A:小規模組織でいきなりゼロトラストは無理。だから境界線防衛との組み合わせを提案しているのである。「一人情シス」ではゼロトラストはカバーできない。
Q:情報システムを小規模組織が個々に管理するというのが無理である。小規模組織の連合体がきちんと管理するといった仕組みに移行できないのか。
A:自治体間での競争がある。たとえば児童手当額。そのたびに、連合体に入っている他の自治体にシステム改修について了解を求めるというのは困難である。APIで横出しするといった対応策も簡単ではない。
医療・介護のセキュリティ等について
Q:医療界には信じられないくらいに低レベルのSierが存在する。今後、PHRを進めるうえでアプリとのつながりは必須である。HR7FHIRの標準化も進められているがセキュリティはどのようにして実現すればよいのか。
A:データフォーマットの標準化の際に、データを守る仕組みをセットで標準化するという考え方がある。しかしPHR等では、ユースケースベースでデータを守る仕組みも標準化するというところまで進んでいない。
Q: IoTセンシングを用いて介護施設入居者をモニターする仕組みは厚生労働省も認めている。それを在宅介護に拡張すると、セキュリティ上の課題が生じる恐れがある。在宅介護の利便を向上することとのバランスはどうとるのか。
A:実装にバリエーションを作らない、セキュア・バイ・デザインのスマートフォンをベースにするなどによって、セキュリティ問題は最小化できる。また、ホームルータを用いれば、ホームルータがある種のゲートウェイとして機能する。
Q:経済安全保障法の対象を医療分野に拡張しようという俎上に載っているが、どのように考えるか。
A:病院関係のセキュリティは脆弱である。インセンティブを付けて病院のセキュリティを高めるなど、経済安全保障法改正前に手を打つ必要がある。
Q:独居高齢者の見守りでは、医療・介護から近隣の人々まで多くが関わる。その際に、それらの関係者による対象者情報へのアクセス制御はどのように進めればよいか。
A:医療・介護従事者等それぞれを、見守りに関わる「人」として認可する。そして、認可者がアクセスした際には認証する。認可の際にどこまでアクセスできるか、アクセス権の範囲を設定しておく。このアクセス権の範囲設定は人間が行う以外にない。
Q:ご近所見守りシステムの話を聞いたことがある。平時は本人と家族だけというように制限し、天災のときにはより多くの人がアクセスできるようにしたそうだが。
A:能登半島地震で実際にそのように管理したそうだ。しかし、緊急時もいつかは平時に戻る。どこでアクセス制御を切り替えるかは人間による高度な判断が求められたそうだ。