サイバーセキュリティなきDXは“災害の元”になる　デジタル時代を生きる今、重要なのは国同士の「横のつながり」

日本のサイバーセキュリティをより安全にするためには？

ルディ・ルマント氏：こんにちは。「Security BLAZE」にご参加いただきありがとうございます。私はidNSA（インドネシアネットワークセキュリティ協会）の創設者であり、アドバイザーです。

私の講演テーマは、「より安全なサイバースペースのための友好的で安全な近隣関係の構築。インドネシアとASEAN諸国を例に」です。このトピックは技術的な話ではありませんが、特に安全なサイバー空間環境を作ることに関心がある人にとっては、非常に重要だと思います。

私たちのサイバー空間はますます大きく、ハイパーコネクトになり、よりスマートになっています。ある場所のセキュリティは、その周辺地域のセキュリティ状況の要因を多く受けるようになりました。

つまり、日本の安全は周辺地域の安全にも依存しているということです。逆に言えば、日本が力を出して、周辺地域に対して友好的で安全な環境を構築すれば、日本のサイバースペースもより強くなる。

ここでは2023年の日本ASEAN友好協力50周年に向けて、ASEAN、特にインドネシアにおいての現在のサイバーセキュリティの状況や、セキュリティ地域コミュニティの構築を取り上げます。

私の話の内容ですが、この5つの項目に基づいて進めます。

まずは、私とidNSAについて。その後、安全なサイバー空間の原動力、サイバー脅威の傾向、課題、最も弱いリンクとの戦い、最後にまとめについてお話ししたいと思います。

デジタル時代を生きる今、すべての国が直面する課題

（1つ目のテーマである）「私とidNSA」から始めます。私はID-SIRTIIと呼ばれるインドネシアの国家CSIRTの元会長で、ID-SIRTIIで10年以上働いていました。その間、私はサイバースペースのすべての関係者が懸念事項を表明し共有しない限り、国家のサイバーセキュリティを達成できないと学び、今でもそれを信じています。

これはミッションインポッシブルのようなものですが、私たちはデジタル時代に生きており、サイバーセキュリティを担当するすべての国・組織が直面している課題です。

そのため私は、2011年にテルコム大学の非常に意欲的な若い学生たちと一緒にidNSAを設立し、サイバーセキュリティを正しく学び、社会にどのように貢献できるかを考えるコミュニティを立ち上げました。

idNSAに関する主な内容は以下の通りです。セキュリティは共同責任であると意識すること。それから、非営利のコミュニティベースの組織であること。

そして3つの目的を持っています。1つ目は世界で最も急速に成長しているネットワークセキュリティの開発について知り、学び、関与をすること。2つ目は、コミュニティのセキュリティ意識を高めること。3つ目は、ボトムアップのアプローチを通じて最も脆弱なリンクを強化することに貢献し、安全でセキュアなネットワーク環境を構築し、参加することです。

コロナ禍でも進化を続けるサイバー脅威

次に、安全なサイバー空間の原動力について説明します。なぜ私たちには、ますます安全なサイバー空間が必要なのか。サイバー空間は、ボーダレスでグローバルスペースでもあり、現在世界の人口の約60パーセントがサイバー空間を利用しています。

したがってサイバーセキュリティは不可欠な部分であり、私たちの周りに存在しなければならないはずです。しかし残念ながら、常に（安全なサイバー空間が）存在しているわけではありません。

これを安全なサイバーセキュリティへ矯正するための原動力が、次の4つです。「グローバル状況」「技術開発とその革新」「デジタルトランスフォーメーション」「現在のサイバー脅威の特徴」。サイバーセキュリティは継続的な活動であり、毎回更新する必要があります。

グローバル状況を見てみましょう。私たちはみな、新型コロナウイルスの世界的なパンデミックの影響を受けています。「サイバー脅威は減速する」と考える人もいますが、コロナ禍でも脅威は進化し続けています。

コロナ禍で人々は家にいることを余儀なくされているため、ほとんどの人がリモートで働き始め、RDPの使用が大幅に増加し、ハッカーはこの状況を利用して企業のリソースを盗んでいます。

カスペルスキーの報告によると、2020年3月以降のRDP攻撃の回数は地球全体で急増しています。2020年3月末までには、1日あたり100万件に達しました。また、2月の9,310万件から、3月には2億7,740万件に急増しています。これは197パーセントの増加です。

グローバル企業の約3割が、毎日サイバー攻撃を受けている

このスライドは、グローバルな状況がどのようにサイバー攻撃を誘発するかを示しています。2020年には、グローバル企業の31パーセントが少なくとも1日に1回は犯罪者による攻撃を受けました。

また、2020年の8月から2021年の8月の間には、ランサムウェア攻撃は64パーセント増加し、ますます注目を集めています。2021年3月には、AcerはREvilランサムウェアの被害者として5,000万ドルを要求されました。

第2の原動力は「技術開発とその革新」です。私たちには多くの技術革新があり、製品化されたサービスが私たちの周りを取り囲んでいます。例えば物のインターネット（IoT）、自動化、ロボット、人工知能、ナノテクノロジーなどです。イノベーションは生活を改善し、ビジネスのやり方を変えていますが、技術が進歩するにつれてハッキングの領域も進歩します。

新たなテクノロジーにより攻撃対象領域も拡大し、サイバー保護が複雑になり、悪意のある脅威の可能性が高まった結果、新たなリスクが発生します。これらの技術開発とその革新は、私たちの周りを取り囲み続けています。

Malwarebytesのラボは、私たちの身の回りにある日常のテクノロジーについて調査を行っており、サイバー攻撃に対して脆弱となりうる8つの日常的なテクノロジーを指摘しました。

そして恐ろしいのは、これらのテクノロジーのほとんどが必要なセキュリティを強要されずに使用されていることです。

サイバーセキュリティのないDXは“災害の元”になる

サイバーセキュリティを真剣に実装するための3つ目の原動力は、デジタルトランスフォーメーションです。この産業革命4.0の時代では、デジタルトランスフォーメーションを経なければ取り残されるリスクがあると、誰もが理解しています。ただし、それによりサイバー固有犯罪のリスクも高まります。

実際、RSMのグローバルリポートはいくつかの事実を示しています。ヨーロッパの主要企業の21パーセントは、デジタル技術に投資したにも関わらず、サイバーセキュリティ戦略を実施できていません。適切な制御が実装されていない場合、よりサイバー攻撃のリスクにさらされやすくなることに、（ヨーロッパの主要企業の）50パーセントが同意します。

これに関してダニー・パーマーからは、「サイバーセキュリティのないデジタルトランスフォーメーションは災害の元です」とアドバイスがありました。

デジタルトランスフォーメーションに関しては、サイバーセキュリティへの懸念やサイバーセキュリティ環境を強化するためのASEANと日本の会議も行われています。いくつかのASEAN会議では、デジタルトランスフォーメーションの重要性とサイバーセキュリティの役割の強化を示しています。

例えば、2020年11月のASEAN包括的フレームワークはデジタルトランスフォーメーションの加速を求めています。

2021年3月のデジタルトランスフォーメーションに関するASEANリーダー声明では、サイバーセキュリティ協力とキャパシティビルディングを強化し、デジタルトランスフォーメーションの重要な要素として、安全で回復力があり、相互運用可能でルールに基づいたサイバースペースの継続的な開発を進めます。

ASEAN Japanサイバーセキュリティ活動は、2009年からASEAN加盟国と日本の間でサイバーセキュリティに関する国際協力を強化することを目的としています。

以前とは劇的に変化した、現在のサイバー脅威の特徴とは

サイバーセキュリティを真剣に実装するための4つ目の原動力は、現在のサイバー脅威の特徴です。現在の脅威の状況は劇的に変化しており、以前とは異なります。

現在の脅威には3つの特徴があります。速度、パワー、そして数。「速度」は急速に変化する脅威的な状況を意味し、「パワー」は自動化とより複雑で洗練された脅威を意味し、「数」は非常に多くの脅威ベクトルと攻撃を意味します。

これらは以下の現象に示されています。例えば、インターネット上のすべてのIPは毎日次のことを受けます。3,000の未承諾ping（ネットワークが正常かを調べるためのコマンド）、また14秒ごとにランサムウェア攻撃の標的にされ、ハッカーの攻撃を39秒ごとに受けています。

次の特性は、サイバーキルチェーン（サイバー攻撃を理解し阻止するための7つのステップモデル）にも変化をもたらします。サイバーキルチェーンはより強力で大きな影響を与えます。いくつかのメソッドを保持し、それにスキルを追加します。

例えばハッカーはほとんどの場合、ターゲットの脆弱性を見つけて攻撃ようとしますが、その攻撃対象は1つだけではなく、多数になってきています。

これは、最近よく見られるサイバー脅威の実態です。世界的に、特にインドネシアでも現在のサイバー脅威の傾向は次のように見られます。

依然として脆弱性、フィッシング、マルウェア、データ侵害が膨大な数で発生し続けています。Defenderは、依然としてギャップを埋めようと懸命に努力しています。

ASEAN諸国でよく見られる「脆弱性」の分布

これは世界上位の脆弱性の脅威を示しています。2020年5月、米国サイバーセキュリティおよびインフラストラクチャーセキュリティエージェンシーと連邦捜査局は、2016年から2019年の間に最も一般的に悪用された、上位の脆弱性を記述した共同アラートを発行しました。

このアラートでは、2020年に多く悪用されたいくつかの脆弱性が強調されています。ご覧の通り、脆弱性は2016年、2017年にはすでに公開されていますが、2019年、2020年になってもまだ発見されています。攻撃者はこれをターゲットに侵害しやすくなります。

同様に、これはASEAN加盟国の（上位50の）脆弱性の脅威を示しています。非常に古い脆弱性がまだ多く分布しており、私たちがどれほど危険で脆弱であるかを示しています。2013年、2014年、2015年の脆弱性がいまだに見つかっているのが現状です。

これはインドネシアだけの脆弱性の分布です。この現象も同じように、例えば2016年に発見された古い脆弱性が、まだ現在の設定で使用されています。

その他の現在のサーバー脅威の傾向は「フィッシング」です。フィッシングは国内だけではなく、近隣諸国への攻撃対象にも使用されます。直接攻撃だけではなく、近隣のネットワークやサプライチェーンを標的とするサイバー攻撃が増加しています。

アンチフィッシングワーキンググループによると、2020年初頭以降フィッシング攻撃の数は3倍以上に増加し、1ヶ月あたり6万8,000～9万4,000件から、2022年の第1四半期の平均は34万1,000件になりました。

2021年のデータ侵害の35パーセントがフィッシングに関係していました。また2020年と比較して、フィッシングの攻撃は2021年には29パーセント増加しました。さらに米国FBIでは、フィッシングは2020年最も多くの被害者を出したと報告しています。

リスクを最小限に抑えるためのポイント

ASEAN地域では、フィッシング攻撃は減速、または減少の兆しを見せてはいません。2021年と比較して、ASEANでのフィッシング攻撃は増加しています。また、下の右の図は日本のユーザーを狙ったASEAN地域でのフィッシングサイトの数です。

これらの現在の脅威の波により、私たちの課題はますます難しくなっています。私たちはハイリスクな状況に生きており、リスクをゼロにすることはできません。非常にリスクの高い状態にあるサイバーライフを、リスクの低い状態にすべく、その方法を常に考えなければなりません。

この図は、リスクを証明する1つの代替方法として基本的なサイバーセキュリティチェーンを示しています。それぞれ3つのリンクを持つ2つの主要なチェーン、主要な基盤と主要な実装を使用します。鍵となる土台には、人・プロセス・技術があります。主要な実装には、計画・保護・応答のリングがあります。

これらの2つのキーを最適に組み合わせることで、リスクを最小限に抑え、デジタルライフにより大きなメリットをもたらすことができます。

私たちの課題は、どうやって強いチェーンを作るかです。強いチェーンとは、最も力のあるチェーンです。一つひとつのチェーンの力は、最も弱い鎖と同じぐらいの力しかありません。ハイパーコネクトの世界では、チェーンはテクノロジー、人・物・プロセスの中にあります。さらにチェーンの規模も見なければなりません。

例えば、ローカル・地域・グローバルとチェーンの規模が大きくなると、最も弱い鎖を修正するのが難しくなります。特にそれが地域やグローバルの外側に存在する場合、どのように基本的なサイバーセキュリティチェーンを適用し、便利なセキュリティ軸を構築するかがこのトピックのメイン課題です。

セキュリティ意識を高めるためには？

ここでは次のステップが挙げられます。1つ目は「焦点を当てる」。どの部分に一番弱い鎖があるか、焦点を当てて理解する。例えばこのトピックの場合は、人に焦点を当てます。

2つ目は「強くなるメカニズムを実装する」。3つ目は「近隣の支援を得て協力する」。継続的かつ枢軸的なサポートを得る方法を理解する。例えば、自己参加、共通言語を使う。

最も弱い鎖に対抗する方法は、今日のサイバーセキュリティで常に使用されている方法です。すべてのチェーンに大きく影響するため、常にそれを見つける最善の策を見つけようと努力する必要があります。

弱い鎖は「人」にあることがほとんどだと私たちは認識していましたが、セキュリティ意識があまり効果的ではないこともよく知られています。そしてそれを行うには、習慣を作り、文化を作り、セキュリティ意識を構築することが重要になります。セキュリティ意識とは、理解を意味するだけではなく、関与・コミットメントを持つことです。

セキュリティ意識構築の成功は、この3つの要因が達成された時です。まずは、ロジックを見て理解できる。ここでは、サイバーセキュリティで共通の言語を使用する必要があります。次に、ビジュアライゼーションを見て、機能を実装できること。3つ目は、直接感じて実生活に適用すること。

ここで私が「共通言語」と呼んでいるものは、誰もがそれをわかり、それが非常に重要であると理解するものです。例えば、サイバーセキュリティの法律、原則、知恵です。

「脆弱性があれば悪用がされる」という、NE法1。NE法2は「すべてが何かのかたちで脆弱である」。次に「絶対に安全なシステムは存在しない」という、シャミール教授法。（共通言語の2つ目は）「コラボレーションと協力」で、3つ目は「分かち合いの習慣」です。

サイバー攻撃に対する扉は大きく開かれている

「近隣の支援を得て協力すること」に関して、特に日本の隣国としてのASEANは大事です。これは経済的な面ももちろんですが、サイバーセキュリティの面もあります。ASEANは、世界トップのデジタル経済を確立する準備ができている地域です。

しかし、サイバー攻撃に対する扉は大きく開かれています。ASEANにおけるサイバー攻撃は、ASEANにおける日本の経済的利益に影響を与えるだけではなく、日本への直接攻撃の扉を開く可能性もあります。

ASEANには、適切に処理されていないサーバーセキュリティの問題がまだたくさんあります。例えば、地域のポリシーガバナンスおよびサイバーセキュリティ機能が比較的低いことです。業界の細分化とスキルの増殖により、この国では能力と専門知識がますます不足しています。

さらに、日ASEANセキュリティプログラムの強化が必要です。日本政府は2009年から政府ベースの日ASEANサイバーセキュリティ政策会議を作成し、ASEANのサイバーセキュリティの強化に大きな影響を与えてきました。

ただし前のスライドの説明からもわかるように、脅威レベルが高まっている状況の中では、サイバーセキュリティ、特にコミュニティとビジネスパーソンの参加を強化する必要が出てきています。

idNSAはどんな活動をしているのか

近隣の支援を経て協力することに関して、日本の隣国としてのインドネシアを見てみましょう。ASEANの中でも、インドネシアは日本にとって大事な国です。これは経済的な面ももちろんですが、サイバーセキュリティの面でも同様です。

インドネシアでは、ASEAN創設当時からのパイオニア（1967年の原加盟国はタイ、インドネシア、シンガポール、フィリピン、マレーシアの5ヶ国）として、国家レベルの開発は地域レベルでの安全で安定した条件に基づいている必要があるのですが、残念ながら他のASEANメンバーと同様に、適切に対処されていないサイバーセキュリティの問題がインドネシアにもまだたくさんあります。

そのため、日インドネシアセキュリティプログラム強化が必要です。日本政府は、これまでも政府プログラムの一環でインドネシアサイバーセキュリティの強化に大きな影響を与えてきましたが、これをもっと強化する必要があります。

次は、インドネシアのサイバーセキュリティコミュニティの1つであるidNSAを取り上げます。idNSAは2011年に設立し、サイバーセキュリティ対策を学び、社会にどのように貢献できるかを考えるコミュニティです。

idNSAの主な活動は4つあります。1つ目はコラボレーションと協力。例えばコードバリ委員会、JNSA、ブラックハットアジア、コミュニック・アジア、ビッグデータとAIアジア、サイバーセキュリティインドネシアなどへの協力です。

2つ目は、セミナーセキュリティ意識。要するに、セキュリティ意識を向上するセミナーの開催です。これはホワイトセミナーシリーズの活動で、例えば「Everybody Hacking」や、リスク管理とセキュリティソリューションという2つのタイプのセミナーがあります。

3つ目は国際サーバーセキュリティイベントの共催です。例えばグローバル国際会議（Global Conference on Cyberspace）、Black Hat Asia、CYBER JAWARA、Cyber SEA Game、サイバーセキュリティインドネシア、軍事貿易デジタルシンポジウムなど。

最後に4つ目が、オンライン出版とサービスです。idNSAのウェブサイトや、いろんなコミュニティ関連のツール。例えば実行評価デジタルリテラシーインデックス、あとは安全なオンラインビデオ会議。これは、パンデミックによるオンラインビデオ会議の高い需要に対応するためのサービスです。

複雑化するサイバー脅威に対応するために大切なこと

最後にまとめです。サイバー脅威は以前より複雑になっているため、1つの国または政府だけでは、すべてのセキュリティを処理し保証することはできません。

サイバー攻撃が我が国にやってくるのは、近隣諸国からかもしれません。国の連携だけでなく、特に地域コミュニティとの連携を図り、攻撃の足元への対策ができれば、国外からのサイバー攻撃へ容易にかつ急速に対応できるようになります。

政府間のつながりだけではなく、近隣諸国の地域コミュニティが積極的に連携することで、国の防御レイヤーは強化されます。またJNSA（NPO日本ネットワークセキュリティ協会）とidNSAの例で言えば、国際社会間の協力は活動を実施する上で多くの利益を得るだけではなく、ネットワークとセキュリティの意識向上にもつながります。

最後に、大事なことをもう1つ言わせていただきます。かつてバラク・オバマ元米国大統領は、今日のトピックに関連する重要なことを述べました。「サイバーセキュリティを困難にしているのは、政府だけの問題ではない。これは民間部門と政府の問題です。そして、もっと多くの協力が必要です」と。