2024年5月末、日本政府はサイバー攻撃に先手を打ち被害を未然に防ぐ「能動的サイバー防御」の導入を検討するための有識者会議のメンバーを内定し、6月7日に初会合を開いた。 能動的サイバー防御とは、政府が通信情報を活用して平時から脅威を監視し、必要に応じて攻撃元のサーバーに侵入して無害化することなどを想定している。 ようやく動き始めた日本 2022年4月の、いわゆるブレア・ショックの後、同年12月に閣議決定された国家安全保障戦略で、サイバー安保能力を「欧米主要国と同等以上に向上させる」方針が示された。 同時に、攻撃を未然に防ぐ手法である能動的サイバー防御の導入が明記されたが、それから2年を経てようやく具体的な動きが始まったというわけだ。

コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能（広告ブロック機能を持つ拡張機能等）を無効にしてページを再読み込みしてください。 ✕

コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能（広告ブロック機能を持つ拡張機能等）を無効にしてページを再読み込みしてください。 ✕

そんな中で確実に言えることは、ランサムウェア攻撃の登場により、これまで攻撃に遭遇する可能性が比較的低かった組織も標的になる可能性が高まっているということだろう。 多くのサイバー攻撃では、「攻撃者側が価値を見いだす情報」が狙われる。顧客の個人情報や知的財産、暗号資産などの窃取を目的としているため、こうした情報を保有していたり、サービスを提供している組織が“被弾しやすい”層だといえる。 すると、個人情報を大量に保有していない、先端技術のようなものも扱ってない企業は「われわれは狙われないだろう」と考える。確かに、これまでは価値のある情報を保有する組織よりは確率論的に“被弾”率は低かったと思う。 しかし、ランサムウェア攻撃は、攻撃者にとって価値があると思う情報を狙いに来るのではなく、「被害組織にとって価値があると思う情報」を人質にする戦術のため、これまでのような「狙われることがない組織」というのが

2025年度までという政府の大号令の下、全国1788の自治体が急ピッチで進める“システム大移動”。しかし今、約1割の自治体が早々に「期限までの移行は困難」と白旗宣言する事態に陥っている（詳細は記事前編「1割が白旗､『自治体システム大移動』で広がる混乱」）。 作業を担うベンダーが見つからなかったり、既存システムが個別仕様で作業に時間がかかったりすることが主な理由だ。さらに、こうした物理的な障壁に加えて、「2つのコスト問題」が多くの自治体の頭を悩ませている。 遅れても補助金はもらえるのか 1つは、システムの移行そのものにかかる費用だ。これについては政府がシステムの移行費を全額補助する基金がある。今の自治体のもっぱらの関心は、期限内に移行できなくても補助金を得られるか、という点にある。 政府は2020年度と2021年度の補正予算で計約1800億円を計上、2023年度の補正予算では約5200億円を

「移行に対応する能力がない地場ベンダーが撤退する一方、全国一斉の作業に国の制度変更への対応も重なり、大手であっても人手が足りない。既存顧客を引き受けるだけで精いっぱいだ」 全国1788自治体の3.5万近くに上る既存システムを、2025年度までに一斉に作り替える――。「令和のシステム大移動」とでも呼ぶべき、政府主導の巨大プロジェクトが国民生活の裏側で始まっている。 これまで自治体が個別に構築してきた住民記録や戸籍情報などに関する20の基幹業務システムを、政府が示した共通の仕様書（基準）に合う形で作り直す「システム標準化」を行い、政府が整備する「ガバメントクラウド」上で稼働させる。自治体のシステム運用の効率化を図る狙いで、政府はすでに7000億円規模の予算を投入して事業を推進している。 しかし、その作業は当初の想定以上に難航している情勢だ。政府は昨秋、移行が極めて難しい一部自治体については20

コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能（広告ブロック機能を持つ拡張機能等）を無効にしてページを再読み込みしてください。 ✕

「サイバー攻撃により深刻なシステム障害が発生」「不正アクセスにより大規模な情報漏洩が起きた」など、昨今はサイバーセキュリティに関連する報道がトップニュースを飾ることも珍しくはなくなった。 それゆえに経営課題の1つとして、サイバーセキュリティにおけるリスクをあげる経営層も少なくないだろう。 一方で最前線に立ち、まさにリスクと対峙している現場からは「組織運営において重要なミッションを担っているはずだが、円滑な業務遂行にあたり制約が多く、適切な対応が厳しい状況だ」と疲弊する担当者の発言を聞くこともある。 こうしてジリ貧となっている組織は珍しくはなく、背景には経営層のサイバーセキュリティに対する理解不足があることがうかがえる。 理解不足が生じるのは「現状把握」が困難だから その要因として、私たちを取り巻くサイバーセキュリティの「現状を正確に把握すること」の難しさがあげられる。 効果的な対策を打つた

数年前、「ビットコインってなんですの？」と、ある中小企業経営者のAさんが、私が所属する大阪商工会議所に相談に来た。相談員はその概要を説明したが、そもそもなぜビットコインが必要になったか聞くと、Aさんはこう答えたという。 「いきなりパソコンが動かなくなって、ビットコインで払ったら直ると出てきてん。だからどうやったら手に入るんか、知りたいんですねん」 Aさんは、身代金を要求されていることに気づいていなかった。しかし、Aさんの危機管理意識の低さが珍しいわけではない。 「中小企業は狙われない」と油断する経営者たち 中小企業の経営者とサイバー攻撃について話すと、たいてい次の3つの発言に行き着く。 「当社のような名もない中小企業は狙われない」「自分はITに疎いので部下やベンダーに任せている」「売り上げを生まないセキュリティにお金をかけられない」――いずれも、サイバー攻撃やその被害に対するリアリティの実

400万人ーー。世界のサイバーセキュリティ人材はこれだけ不足しているという。 この試算を出したのは、サイバーセキュリティに関する資格認定などを専門とするアメリカのNPO団体、ISC2（International Information Systems Security Certification Consortium、国際情報システムセキュリティ認証コンソーシアム）だ。 毎年独自に人材調査を行っており、最新となる2023年版は、北米、ヨーロッパ、アジア、ラテンアメリカ、中東、アフリカに居住する1万4865人のサイバーセキュリティ実務者を対象にオンライン調査を実施した（日本の回答者は936人）。 今回の400万人という需給ギャップは、ISC2の試算としては過去最大の規模だ。 人材需給ギャップの増加率が最も高い日本 日本も約48万1000人と前年から23.8％人材が増加した一方、需要は59万1

以前は、アメリカやヨーロッパなどの主要国で発生しているサイバー攻撃の動向は、やや遅れて日本に到来する傾向があった。そのため日本は、他国の被害事例を報道ベースで把握でき、防止策となるソリューションを検討する時間的余裕を得ることができていた。 ところがコロナ禍に、日本の社会全体で急速なデジタル化が進められたことで、遅れて到来するはずの「新たなサイバー攻撃」の発生を許してしまう領域が拡大している。 他国と日本の間で、発生時期のタイムラグが縮まり、組織的認知と事前対策（適切な予防策）が取られないまま、深刻な被害を発生させる日本企業が増え始めているのだ。 リスクに対する日本企業特有の慣行とは こうして状況が大きく変化したにもかかわらず、多くの日本企業は、いまだに「報道などで伝えられる他社の被害事例を把握した後、組織的認知に基づいて追加的対策が行われる慣習と仕組み」を維持している。 一部の「役員ではな

IoT（Internet of Things）、人工知能（AI）、ロボットが普及する中、社会のあり方が根本から変化しつつある。そこで日本政府は、デジタルデータの活用を前提とした人間中心のスマート社会として「ソサエティ5.0」という概念を提唱した。 「ソサエティ5.0」の実現に向け、今後は、個別企業にとどまらず、産業や社会全体での利益を高めるために、データ連携・共有の仕組みを変革することが重要な課題になるだろう。しかし、日本はデジタル社会の構築で世界から後れを取る。 マイナンバーでかえって負担増 日本は2016年、デジタル社会の実現に向け、マイナンバー制度を創設した。これにより行政事務や手続きを効率化し、間接コストを削減できれば、教育や医療などの直接的なサービスへ予算を振り向けられると考えられる。だが現実は、書類の郵送で紙の処理の増加を招き、個人や企業の負担を増やしている。

ランサムウエア「WannaCry」の被害が世界中に広がっています。 メールの添付ファイルやウェブサイトなどを経由し感染するウイルスですが、最新版のOSを使い、Windows Updateやウイルス対策ソフトのパターンファイル更新などを行っていれば感染は防げたという報告も上がっています。 ですが世の中は広い。今でも、Windows XPなどの古いOSを使用しているユーザーが多いのです。言うまでもなく、とうの昔にマイクロソフトのサポートが切れています。そうした脆弱性のあるOSが被害に遭っているようです。 さて、ぼへちゃんの大手顧客のシステムが、どうやら感染してしまったようです。システム納品後にも、各メーカーから提供されるセキュリティパッチ（脆弱性を修復するプログラム）や、OSの最新バージョンへの入れ替えなどを行わなければウイルス被害に遭ってしまいます。ぼへちゃんのお客さん、どうもこの納品後のメ

「教員が“生徒の情報が入ったUSBメモリ”を紛失」。こんなニュース、時々耳にしますよね。「続きは家で」と生徒の成績などをUSBメモリにコピーし、それを……というパターンです。 学校の先生方から話を聞くと、この事故、実は起きるべくして起きている、そんな事情もありまして……。今回は「なぜ先生のUSBメモリは紛失しやすいのか」というお話です。 学校でも会社でも、今どき「情報セキュリティ」に関する規則・ルールがあるのは当たり前。個人事業や小規模なチームならまだしも、ある程度の規模になれば、どんな組織でも情報セキュリティ規則を作り、運用しているものです。 筆者は仕事柄、そんな規則を「運用する立場の方」から相談を受けることも多いのですが、みなさん口をそろえて言われるのが、「ルールを守ってくれない！」というものです。 もう心からの叫び。新入社員からベテラン層まで、どの世代もルールを守らない。みなさん本当

化学プラントや医療機関で必要な産業ガスの国内最大手・大陽日酸（東京）がサイバー攻撃を受け、システム内の情報を広範囲に見られる管理者権限が奪われていたことが分かった。 社員ら約1万人分の個人情報など内部情報が盗まれた可能性があり、専門家は「インフラ企業を標的とした次のサイバー攻撃につながる恐れがある」と警告している。 同社によると、2016年3月、内部情報のあるサーバーに管理者権限を使った不審な接続があることに気づき、調査を始めた。 調べた結果、サーバーが少なくとも4種類のウイルスに感染して管理者権限が奪われ、外部からの遠隔操作で、システム内の大半にあたる6百数十台のサーバーに接続できる状態だった。同月には、サーバーの一つが2回にわたり外部と不正通信を行い、そのサーバーには、何者かが約1ギガ・バイト（A4判文書約35万枚相当）の大量のデータを複数の圧縮ファイルにまとめていた。データには、同社

「ソーシャルエンジニアリング」という言葉を聞いたことがあるだろうか。これは、高度な情報通信技術を用いることなく、人間の心理的なすきや、行動のミスにつけ込んで秘密情報を入手する方法のことだ。ネットワークに不正アクセスするために必要となるIDやパスワードなどは、ソーシャルエンジニアリングによって盗まれることが多い。 ソーシャルエンジニアリングは巧みだ。一部の不良社員が、お小遣い欲しさに会社の情報を外に売り飛ばしている例もある。 当たり前となった産業スパイのIT活用 「あなたのメールを350万円で売ってもらえませんか」 筆者のあるクライアントの研究開発部門や営業部門には、こんな電話がかかってくる。電話をかけてきているのは海外のライバル企業の社員（もしくは雇われハッカー）と推測される。おそらく、標的企業の研究開発にかかわる機密情報などが入手したいのだろう。 実際、メールのアーカイブは「秘密の宝庫」

不正アクセス禁止法違反容疑で逮捕された無職少年（17）を中心に侵入の手だてを教え合ったり、成果を自慢したりしていた「情報収集会議」。同容疑で書類送検された2年生男子を含め、同じ高校の計7人がメンバーで、ネット電話「スカイプ」でつながっていた。 このうち4人は2015年5月ごろから今年1月ごろにかけ、県立高3校に5回にわたって侵入した。少年の友人が運転する自動車で深夜に移動し、見張り役を立てて高校の敷地内に侵入し、校内無線LANへの接続を試みた。施錠されていない入り口から校舎に忍び込んだときもあった。 書類送検された生徒は、15年5月から今年5月まで、名簿や保守業者の業務日誌などを不正アクセスで集めていた。生徒は県教委の聞き取りに「ICT関連の目新しい情報がないか知るためだった」と目的を明かし、「悪いことをしているのに、日誌では『不具合に対応』とか淡々と処理されているのを面白がっていた」と話

日本は「インターネットのセキュリティ」に対しての関心が驚くほど低い国である。 最近、筆者は子供の幼稚園の父母の会で耳を疑う会話を耳にした。「卒業アルバムの写真は○○○（大手クラウドストレージサービス名）にアップロードしてね。共通のアカウントとパスワードはこれ！」「わたしの無線LANのパスワード（暗号鍵）はこれだから自由に使っていいよ！」 おそらく、これが日本における一般的な感覚なんだろう。無線LANなどはログイン情報を知る人の増加と相まって、リスクも増大するわけだが彼女らには関係のない話のようだ。 日本人のセキュリティ意識は低い むしろ、セキュリティ業界に15年以上もいる筆者の方が"非常識"な存在なのかもしれない。日本人のセキュリティ意識の低さは、セキュリティ関連調査にもしばしば現れる。例えば、Statista社のマーケット調査によれば、VPNなどの安全なネットワークを構築するためのサービ