“産業化”するサイバー攻撃をどう防ぐ？ サイバーセキュリティの基礎から解説：セキュリティのWhy（2）

セキュリティの素朴な疑問を、話題のトピックスを交えて解説する本連載。第2回は、「サイバー攻撃のHow」をテーマに、セキュリティの基礎を紹介する。

[星野靖，ニュートン・コンサルティング]

　今回はまず「5W1H」の観点で紹介したサイバー攻撃（連載第1回を参照）の「How」（どうやって）について掘り下げます。2022年9月、日本政府のWebサイトなどが親ロシア派のハッカー集団「キルネット」からサイバー攻撃を受けたという報道がありましたが、その手口はWebサイトやサーバーに大量のデータを送りつけて機能不全にする「DDoS攻撃」でした。近頃はサイバー攻撃側も組織化され分業体制になっているといわれています。記事後半ではサイバーセキュリティの脅威動向と今すぐ着手できる対応策の検討についても紹介します。

サイバー空間の未来はディストピア？

　ITが登場して半世紀あまり。私たちの生活やビジネスはもはやITなくしては成り立たなくなりました。半面、それに法制度や体制が追い付いていない面があります。その端的な例がサイバーセキュリティです。サイバー攻撃を受けても、ITのさらなる進化でそれを止められると良いのに……と思ってしまいますが、実際はITの進化とともにサイバー攻撃が巧妙化し、対策となるITソリューションが普及するころにはまた別の攻撃が活発になるという、いたちごっこが続いています。

　また将来、超高速で計算ができる量子コンピュータが実用化すれば、今の暗号化は通用しなくなり、サイバー攻撃の脅威はさらに高まるといわれています。つまり、どれだけコンピュータやITが進化しようとも、悪意のあるハッカーが存在する限りは、サイバーセキュリティ対策が不可欠なのです。

サイバー攻撃のHow（どうやって）

　下表は情報処理推進機構（IPA）が毎年公開している「情報セキュリティ10大脅威」の2022年版です。左右に個人、組織の立場を並べて、特に注意したいセキュリティの脅威をランキング形式で並べています。これを基にしながら、どのようにサイバー攻撃を受けるのかを見ていきましょう。その際、表にあるサイバー攻撃を系統立てて理解できるよう、（1）標的、（2）経路、（3）手段の3つの観点から説明します。