ある日突然、交通整理の警官がでたらめな道案内を始めた。ある日、泥棒が会社の警備員にすり替わっていて、重要資産が盗まれてしまった。いつも信頼感と安心感を与えてくれる人が不正や悪事を働くとは――。
なぜ、このような話を持ち出したか。警官をネットワーク機器に、警備員をセキュリティ機器に置き換えてみてほしい。すると、ネットワークインフラを構成するこれらの機器が、悪意のある第三者に乗っ取られた時の例え話になるからだ。ネットワークインフラの場合、内部のネットワークにどこまでも深く侵入されたり、勝手な通信を行われたり、あるいは本来は守る側の機器がサイバー攻撃に加担したりする。
これは今や、可能性レベルの話ではない。例えばルーター最大手の米シスコシステムズは2015年8月11日、同社製のルーター(Cisco IOS Software Platform)を狙う攻撃についての注意喚起を公開した(同社Webサイトの当該ページ)。また標的型攻撃対策ツール大手の米ファイア・アイの場合は2015年9月、同社製サンドボックス型MPS(マルウエア防御システム)の未公開(ゼロデイ)の脆弱性が明らかになった(同社Webサイトの当該ページ)。いずれも“氷山の一角”であり、例えばセキュリティ機器では「影響度の大きな攻撃コードが毎年公開されているのが実情」という(日本生活問題研究所 サイバーセキュリティ支援センター 専門研究員の岩井博樹氏)。
こうした事実を目の当たりにすると、果たしてネットワーク機器やセキュリティ機器のセキュリティ対策は大丈夫か――という疑問が頭をもたげてくる。そして日経コミュニケーションが取り組んだのが、2015年12月号の特集「狙われるネットワークインフラ」である。その取材を通して浮かび上がってきたのが、ネットワーク機器やセキュリティ機器に対するセキュリティの意識は総じて低く、実際の対策はサーバーや端末に比べて後回しになっていることだった。多くの企業の担当者がネットワーク機器やセキュリティ機器を自社の資産と考えていない。すなわち、守るべき対象であるという認識が希薄なのだ。
守らなくてもよかった2つの理由
なぜネットワーク機器やセキュリティ機器は守られてこなかったのか。理由の一つは、「深刻な実害が発生していない」ことだ。
2015年5月に発覚した日本年金機構の大規模な情報漏洩事件は今年一番の大事件といっていいだろう。日経コミュニケーションでは毎年、その年の重大ニュースを読者モニターに尋ねている(2014年の重大ニュースは何でしたか?)。本調査は2015年も実施する予定であり、この事件は2015年のランキング上位になる可能性が極めて高いと踏んでいる。
かたやネットワーク機器に対するサイバー攻撃はこれまで、今年の日本年金機構や2011年の三菱重工業といった世間の耳目を大いに集めるような事件は起こっていなかった。法人向けにセキュリティサービスを提供するNTTコミュニケーションズも「(企業ネットワークに対する)攻撃は常にあるが、被害は発生していない」と話す。
