ニュース

「セキュア・バイ・デザイン/デフォルト」の実現がカギに――、ISRが2024年の“セキュリティのポイント”について説明

  • 唐沢 正和

2024年2月21日 11:08

 株式会社インターナショナルシステムリサーチ(以下、ISR)は20日、「2024年、サイバー攻撃にどう立ち向かうか?~ユーザーの安全性を確保するために、政府やサービス提供企業が取り組むべきサイバーセキュリティ~」と題した説明会を開催した。今回の説明会では、昨年の米国・日本におけるサイバー攻撃の被害状況を振り返りつつ、そうした状況に対する政府の動きや、2024年に向けてサービス提供企業に求められる取り組みなどについて解説した。

 まず、同社が独自に調査した日本国内におけるランサムウェア被害公表件数によると、昨年は毎月途絶えることなくランサムウェア被害が発生しており、被害企業・団体の内訳は非上場企業が最多で43.6%、上場企業も36.4%を占めていたという。代表的な被害事例としては、港運協会と大手上場企業(精密機器)の事例を紹介した。また、こうしたランサムウェア被害の拡大を受けて、日本政府では、経済安全保障推進法に関する施策の一つとして、「基幹インフラ役務の安定的な提供の確保」に関する基本方針を昨年4月に閣議決定。国外から行われる妨害行為の手段として使用されないよう、対象となる基幹インフラ事業者が設備の導入などを行う前に、政府への届け出・審査を義務付ける制度が今年5月から運用開始される予定となっている。

日本国内におけるランサムウェア被害公表件数

 一方、米国における昨年のランサムウェア被害事例を見ると、クロロックス社やMGMリゾート、ボーイング社などの大企業や病院、政府機関といった、被害や影響の大きい標的を狙ったランサムウェア攻撃が相次いだ。クロロックス社ではクリーニング製品の大量欠品が発生、MGMリゾートではホテルのオンライン予約システムやスロットマシンがダウン、ボーイング社ではサービスのWebサイトがオフラインとなり、身代金の支払いを拒否したため機密データが流出するといった被害が出ているという。

2023年の米国ランサムウェア被害事例

 こうした状況に対して、米国サイバーセキュリティ・インフラセキュリティ庁(以下、CISA)は、昨年10月、バイデン米政権の国家サイバーセキュリティ戦略の裏付けとなる「セキュア・バイ・デザイン」原則のガイダンスのアップデート版を発表。このガイダンスには、日本の内閣サイバーセキュリティセンター(NISC)と日本コンピュータ緊急対応センター(JPCERT/CC)も国際パートナーとして名を連ねている。

 なお、「セキュア・バイ・デザイン」とは、ソフトウェアの設計段階で、セキュリティが基本要素として統合されていることを原則とするもの。これには、「セキュア・バイ・デフォルト」の原則も含まれており、ソフトウェアやアプリケーションが出荷された時点から追加のセキュリティ設定を必要とせず、安全な状態にされていることを意味する。これにより、ユーザーが行う変更を最小限に抑え、セキュリティの負担や責任をベンダー側が負うことを推奨している。

「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」

 昨年のランサムウェア被害状況および政府の対応を踏まえたうえで、ISR 代表取締役のメンデス・ラウル氏は、2024年のサイバーセキュリティのポイントについて、「2024年は、CISAが示したガイダンスにある通り、『セキュア・バイ・デザイン/デフォルト』の原則を各ITベンダーが実現していくことが重要になる」と指摘する。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

 「ユーザーは、使用する製品がセキュリティ被害を受けた場合、メーカーやベンダーに責任を負わせる必要がある。『セキュア・バイ・デザイン』では、ベンダーが開発する製品は設計上セキュアでなければならず、開発終了後にセキュリティを追加することはできないとしている。これにより、ベンダーにとっては初期投資が必要となるが、ユーザーにとってはメンテナンスやパッチ適用コストが少なくなる。現在、ベンダーの多くはセキュリティの責任をユーザーに課しているが、今後はユーザーのセキュリティ被害に対してベンダーがオーナーシップを持つべきである」と強調した。

 「アプリケーションの観点では、アプリケーションの機能を優先してさまざまなシステムとの統合を行うと、セキュリティの脆弱性を生み出す可能性があるとしている。また、『セキュア・バイ・デフォルト』の原則として、アプリケーションのデフォルト設定を安全にすることはベンダーの責任であり、例えば、デフォルトで用意しているパスワードはなくす必要がある。さらにベンダーは、セキュリティ問題が発生した際のロギング機能を無償で提供し、セキュリティのためにユーザーを課金させてはならない」という。

 「一方で、ユーザー側は、システムを調達する際に、ベンダーのセキュリティに関する考え方を確認しておくことが重要だ。ユーザーが責任を負わないよう、『セキュア・バイ・デザイン/デフォルト』の原則についてベンダーの経営者はどう考えているのかなど、ユーザーがベンダーを見極めていく必要がある」との見解を述べた。

 「当社では、設立当初からSecurity Firstで製品の設計・開発を行っており、サイバー攻撃されることを前提に、これまでも『セキュア・バイ・デザイン/デフォルト』に基づいた認証サービスを提供してきた。今後は、パスワードを使わないパスキー認証サービス『CloudGate MURO』とセキュリティキーのSaaSサービスを5月にリリースする予定で、ユーザーにとって、より安全かつ便利な認証サービスを提供していく」と、同社の今後の取り組みを説明した。