三菱総合研究所(三菱総研)は2011年7月12日、都内で報道メディア向けの意見交換会を開催し、ソニーをはじめ大手企業や有名企業を狙い撃ちする形で続発しているサイバー攻撃の実態や、それに対して企業がとるべき対策などについての解説を行った。
「大規模サイバー攻撃の実態と政府や企業の対策の方向性」と題された意見交換会で、講師として登壇したのは同社の情報技術研究センター クラウドセキュリティグループで主席研究員を務める村瀬一郎氏(写真)である。
村瀬氏はまず、「サイバーテロ」と「サイバー攻撃」という言葉の違いを説明するところから話を始めた。村瀬氏によれば、一般にサイバーテロとは「テロリストが政治的意図をもって、サイバー空間を介した攻撃をすること」であり、片やサイバー攻撃は「攻撃者が政治的意図の有無にかかわらず、サイバー空間を介した攻撃をすること」と定義されるという。サイバー攻撃の中にサイバーテロが包含される形になるわけだ。
この定義に基づくと、例えば2009年に発生した米国や韓国政府機関へのDDoS攻撃や2010年9月の日本政府機関へのネットワーク攻撃はサイバーテロ、2011年4月に発生したソニーのゲーム機向けネットワーク「PlayStation Network」(PSN)へのハッキング事件はサイバー攻撃ということになる。「ただし、世の中的にはかなりあいまいに使われている。例えば、日本政府が公開している文書ではサイバー攻撃全般のことをサイバーテロと呼んでいる。また、経済産業省や総務省ではサイバーテロという言葉自体を使っていない」(村瀬氏)。
次に村瀬氏は、過去7年ほどの間に世界中で起こった大規模なサイバー攻撃の事例を列挙したリストを提示し、その中から(1)2007年4月のエストニア政府機関などへのDDoS攻撃、(2)2009年7月の米国・韓国政府機関などへの大規模攻撃、(3)2009年12月の米Googleなどへの不正アクセス、(4)2010年9月のイラン原発制御システムなどに対するウイルス攻撃、(5)2011年4月のソニーへの大規模攻撃---という五つの事例を取り上げてそれぞれ解説を加えた。
五つの事例の中で、特に注目すべき事件の一つとして同氏が取り上げていたのが(5)のソニーへの大規模サイバー攻撃およびそれに伴う情報漏洩事件である。同氏によれば、この事件については「既知の脆弱性を放置していたこと」や「ハッカーグループとの抗争」など様々な背景的要因があるとしながらも、「グループ会社間で情報セキュリティ文化の共有が不足していたこと」が事件を理解するうえで重要なポイントになるという。
「ソニーという会社は、決して一部で言われるようにセキュリティを重視しない人間の集団だったり、セキュリティに関する知識や技術レベルが低い会社だったりするわけではない。例えば、デジタルテレビやDVDレコーダといった製品のセキュリティ基準に関するPDF文書をいち早くWebで公開するなど、販売する製品のセキュリティ確保については国内メーカーの中でも群を抜いて意識が高いメーカーと言える」(村瀬氏)。
では、なぜあのようにセキュリティレベルの低さを疑われるような形で事件は起こってしまったのか。「それは、グループ企業内でセキュリティに関する知識や技術、文化などを共有する仕組みや体制を構築していなかったためだろう」と村瀬氏は推測する。「ソニー本体がいくら高度なセキュリティ知識や技術を有していても、グループ会社や子会社も同じ水準になければ脆弱な部分が残ることになり、結局全体のセキュリティレベルが低下してしまう」(同氏)。このことはソニーに限った話ではなく、企業がセキュリティ対策を考えるうえで避けて通れない話であると村瀬氏は強調していた。
