大手新聞社や通信社は2016年11月28日、防衛省と自衛隊の情報基盤がサイバー攻撃を受け、陸上自衛隊の内部情報が流出した可能性があると報じた。防衛省は「報道にあったような事実はない」(大臣官房広報課)と否定するが、「防衛医科大のPCから学術情報ネットワーク経由で侵入が試みられ、情報の流出は確認されていない」といった報道も出ている(関連記事:サイバー攻撃で陸自の内部情報が流出か、防衛省は全面否定)。今回の一連の報道を受け、ラックでCTO(最高技術責任者)兼CISO(最高情報セキュリティ責任者)を務める西本逸郎・取締役専務執行役員に見解を聞いた。
これまでの報道を総合すると、防衛省のネットワークと接続している防衛医科大のPCが最初に不正アクセスを受けた可能性が高い。同PCが「標的型攻撃を受けた、あるいは標的型攻撃を受けて既に遠隔操作されているPCから攻撃を受けて遠隔操作されるようになったと推測される」(西本取締役)。
たまたま同パソコンにたどり着いたという可能性はあるが、「最初から防衛省を狙って学術情報ネットワーク経由で侵入を試みた」、あるいは「学術情報ネットワークの中でも特に医療・化学関係の研究機関は標的にされる傾向が見られるため、その一環で狙われた」可能性が高いと見ている。
一部報道によると、防衛省と自衛隊の「防衛情報通信基盤(DII)」はインターネットに接続できる「オープン系」と、外部との通信を遮断してセキュリティレベルを高めた「クローズ系」に分かれているとされる。防衛医科大のPCはオープン系に接続したときに遠隔操作され、「オープン系のネットワーク上にある情報を奪取したり、遠隔操作の対象を他のPCに広げたりした可能性がある」(同)という。
ただ、一部報道にある通り、セキュリティ対策がうまく機能してクローズ系のネットワークに侵入できなかったのであれば、「さほど重大な事件ではない」(同)。オープン系はそもそもインターネットに接続できるため、「侵入前提の(侵入を受けてもやむを得ない)ネットワーク」(同)と言えるからだ。
オープン系なので対策が緩くて構わないというわけではない。一定のセキュリティレベルは必要で、対策はコスト見合いの面が大きいが、重要なのは「事件が起こり得るという緊張感を持って運用することだ」(同)。「内部ネットワークは守られているので安心」と考えてしまうことが一番危険。そもそも危ないものとして理解しておく必要がある。
ネットを利用する限り、100%の安全はあり得ない。侵入されることを前提とした防御策が求められる。例えば、内部のWebアクセスや外部からのDNSの問い合わせを内部で制御する。さらに「踏切事故や交通渋滞を減らすために鉄道と道路を立体交差させるといった取り組みがあるように、仕組みでセキュリティを担保する方法もある。(ファイルやメールなどの)無害化/無毒化ソリューションや仮想環境の導入などが挙げられる」(同)。
