NTTコミュニケーションズ

Bizコンパス

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ
2020.04.06

セキュリティ最前線第7回

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ

著者 すずきひろのぶ (鈴木裕信)

発表に半年要したことの意味を考える

 三菱電機が発表したメッセージに「当社が端末の不審な挙動を認識してから公表に至るまで、半年以上を要したことを反省いたします。」とあるように、この点に関してはメディアも含め多く非難を受けていた。

 では早く公開したら良いのかというとそうでもない。今回のようなスキルの高い攻撃者を相手にした場合、もし、見つけて不用意に公表していたら、あっというまにすべての証拠を消滅させ、撤退するだろう。それだけならいいが、システムを広範囲に破壊されたら目も当てられない。あくまでも慎重に事を運ばなければならいのは良く理解できる。また、利害関係者や顧客への説明などが必要となれば、単純に外に公表すれば良いというものでもない。特に今回は防衛省がらみもあるので慎重さを求められるだろう。

 同社のセキュリティ対策が問題だったのは、何よりもサイバー攻撃に対する司令塔となる組織がなかったことだ。事件後、新しく社長直轄の統括組織を作ったことからわかるように、全体をまとめるという仕組みを作ることは重要であると、同社も痛感したのだろう。

 時間がかかったことは、もちろん良いことだとは思わないが、かといって安易に情報を公開するのも筆者は反対である。むしろ、今回の報告書のようにきちんとしたものを出してくれるなら、この時間も無駄ではなかったと考える。

防御ラインが突破された時に、どれだけ早く次の一手を打つか

 今回のインシデントからいえるのは、どんなに細心の注意を払い、防御をしても、万が一は常にあり得る、ということである。防御はもちろん一番大切なことだが、しかし、そのような防御を施しても、さらにその上をいく攻撃をうければ破られてしまう。

 大切なのは、防御ラインが突破された時に、どれだけ早く次の一手を打つかである。

 1つや2つ新しい防御メカニズムを入れたとしても、障壁は高くなっても、完全な防御などを想定すべきではない。サイバーセキュリティの基本は、技術的な準備だけではなく、最悪シナリオや、事後のリカバリー・シナリオなどを事前に策定しておき、万が一の時はスムーズに予定していたシナリオに移行し実施する準備が必要なのである。

 今回の三菱電機のように、必要かつ十分なインシデント対応、フォレンジック調査、情報公開をしている国内企業は数えるほどしか知らない。また、これらの情報を早い段階でサイバーセキュリティのコミュニティに還元している点も注目すべきである。最後になるが、このような有用な情報をコミュニティにフィードバックしてくれた三菱電機に感謝したい。

SHARE

関連記事

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

2019.12.24

セキュリティの“盲点”第1回

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは