コラム

身近にあるサイバーセキュリティを
認識することの重要性

執筆:自動車メーカーのレース開発領域におけるエンジン最適化設計経験者。
現在は、サイバーセキュリティグループ コンサルティング担当として、自動車メーカーのサイバーセキュリティプロジェクトを支援している。

身近なサイバーセキュリティに焦点を当て、認識することの重要性についてご紹介します。

「サイバーセキュリティ」と聞いて、皆さんはどのようなイメージを持たれるでしょうか。私の場合、「サイバー=電脳」の語感から、とても仰々しく、ITスキルが高い人や、プログラミングに長けた人だけが踏み込める領域で、遠い存在のものと考えていました。しかし、実際のところサイバーセキュリティはとても身近で、私たちが気づかないところでも当たり前のようにその技術が使われています。

今このWEBページを見ている間にも

たとえば、今こうしてWebページを閲覧している間にもサイバーセキュリティに関わる技術は使用されています。このページのURLは、「https://」から始まっています。これは、Webサーバとクライアント(Webページ閲覧者)間の通信を、盗聴や改ざんがされにくいTLSまたはSSLというセキュアな方法で行っていることを示しています。

さらに、使用されている端末が無線LANやBluetoothといった 無線で通信されているのであれば、端末同士の通信においてもセキュアにする処置を取っていることが多いのです。

TLSまたはSSLというセキュアな方法

この例に限らず、サイバーセキュリティ対策は身の回りにおいて当たり前のように存在しています。しかし、そのほとんどが意識しなくてもいいように設計されており、その存在に気づくことが少なく、身近に感じづらいのかもしれません。

なぜサイバーセキュリティ対策が必要か

ネットサーフィンという一般的なインターネットの利用に、なぜセキュリティ対策が必要なのでしょうか。それは悪意を持った者(=攻撃者)が利用者の油断やシステムのほころびを狙っているからです。

悪意を持った者(=攻撃者)が利用者の油断やシステムのほころびを狙う

ではなぜ狙われてしまうのでしょうか。ポイントは2点、「システムをソフトウェアで制御していること」と「システムがネットワークでつながっていること」が挙げられます。

システムをソフトウェアで制御していることで、ハードウェアで制御をするよりも自由度の高い多くの機能を持たせることができます。しかし別の見方をすると複数の手法による攻撃が可能になることを意味します。

また、システムがネットワークにつながっていることで、距離を問わず扱う情報に素早くアクセスすることができるため、多くの利便性をもたらします。これも攻撃者にとっては都合がよく、どこにいても攻撃ができて関係のない端末を利用した間接的な攻撃を可能にします。

つまり、ネットサーフィンをしているだけのつもりでも、ネットワークを介してその間に攻撃者に入り込まれる可能性があります。そこからソフトウェアで巧妙に攻撃が仕掛けられ、わずかなほころびから個人情報が盗み取られたり、端末そのものが被害を受けたりすることもあります。このことから、私たちのちょっとした油断や、システムのほころびなどが攻撃者に悪用されることは、想像に難くないでしょう。

さまざまな脅威の可能性を考慮することの重要性

私たちが日常で使用しているネットワークについて、その裏側では実際にどのようなセキュリティ対策が施されているのでしょうか。

ウイルスの実行を防ぐ対策ソフトはよく目にする対策の1つですが、さまざまな脅威の可能性を考慮すると、それだけでは完璧ではありません。たとえば「セキュリティの10大脅威[1]」で上位に入るフィッシング詐欺は、ユーザーが行動を起こすことをトリガーとして発生するものなので、昔ながらのウイルス対策ソフトの多くが持つ「攻撃プログラムの実行を遮断する」という機能だけでは防ぐことができません。フィッシング詐欺に対応した仕組みを用いて対策する必要があります。

日々、世の中は便利になっています。たとえばスマートウォッチは、歯車とゼンマイで時間を知らせるだけの道具から、多くの機能をもつ道具へと進化しました。

ものがソフトウェアによって高度な機能を持つようになり、さらにもの同士がつながるようになったことで、今まで想像もしなかった便利なサービスが提供され始めています。

もの同士がつながるようになったことで、今まで想像もしなかった便利なサービス

一方で、それらに対するサイバー攻撃の脅威は増しており、ものづくりにおける便利さや面白さの追求と合わせ、脅威の可能性を考慮する必要が出てきました。また上述したように、普段何気なく使っている機能ですら攻撃の窓口になる可能性もあり、私たちだけで守ることができる範囲は限られています。

以上のことから、製品開発に携わるエンジニアは製品を提供する前にセキュリティ対策を施す必要があると考えます。そのためにできることとして、まずは私たちがサイバーセキュリティやサイバー攻撃をより身近に認識するところから始めてみるのはいかがでしょうか。

出典:
[1] 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威」

お問い合わせ

お客さまにとって最適なご提案をさせていただきます。お気軽にお問い合わせください。