デジタルクライム対策は経営課題へ｜事業部門と経営層に求められる「セキュリティの民主化」｜ブログ

blogtop-01

デジタルサービスの普及にともない、システムの脆弱性だけでなくビジネスやサービス仕様の隙を悪用する「デジタルクライム」が新たな脅威として顕在化しています。組織の垣根を越えてサービス同士が連携し社会の利便性が高まる一方、現場の担当者だけでなく、ビジネス部門や経営層もリスクを正しく理解し意思決定に関与する「セキュリティの民主化」が不可欠な時代になりました。

その実現を支えるのが、企画・開発の上流工程からリスクを洗い出す「セキュア・バイ・デザイン」のアプローチであり、サービスリスク分析や脅威モデリングといった手法です。

本記事では、安心して利用できるデジタルサービスを企画・提供するためのポイントを、野村総合研究所の齋藤大地と、NRIセキュアテクノロジーズの関戸亮介が語ります。

齋藤大地
2012年野村総合研究所に入社、直後にNRIセキュアテクノロジーズに出向し、数多くの情報セキュリティ関連プロジェクトに従事する。1年間の北米での研修を経て、現在、社内CSIRT構想コンサルティング、社内CSIRT運営改善支援コンサルティング等、主に企業のサイバー攻撃対応を支援するセキュリティコンサルタントとして、日々の業務に邁進している。
関戸亮介
「安全なシステム」の実現を目指し、脅威モデリングや各種アセスメントを通じたセキュアな設計、ソースコードレビューなどを実施。金融・流通・報道業界のお客様をはじめとする、さまざまな開発チームと二人三脚で支援している。

「デジタルクライム」とは？｜ビジネス仕様の隙を突く新たなサイバー脅威

fig-01231 NRIセキュアテクノロジーズ株式会社　関戸亮介

Q：企業内でのDXに続き、あらゆる分野でデジタルサービスが広がり始めていますね。

関戸：

金融とデジタル技術を組み合わせるFinTech業界はもちろん、自動車業界ならば専用デバイスの代わりにスマートフォンのアプリで鍵の開閉を行ったり、コンビニならば専用アプリを用いて配達サービスを展開したりと、既存の事業と物理的なサービス、そしてデジタルを組み合わせた多角化が進んでいます。幅広い方々がスマートフォンを用いて多様なサービスを活用し、より便利で豊かな生活を享受できるようになってきました。

Q：一方サイバー脅威という面では、デジタルサービス時代ならではの課題も浮上しています。

齋藤：

おっしゃるとおりです。この数年だけでも、弱い認証を突いたフィッシングによるオンライン証券サービスにおける不正アクセス事件にはじまり、身元確認書類も含めたフィッシング攻撃による不正な銀行口座開設、クレジットカードの認証サービスに対する不正決済など、システムの問題とサービス仕様の問題の隙を突いた「デジタルクライム」が発生し、皆さまも報道等で目にされていると思います。

国内銀行口座を悪用したデジタルクライム事例（イメージ）

国内銀行口座を悪用したデジタルクライム事例

Q：デジタルクライムは、いわゆるサイバー攻撃とは違うのでしょうか？

齋藤：

いわゆる従来のサイバー攻撃は、システムに存在する「脆弱性」を突き、不正な処理を強制的に引き起こすものが主流でした。かつては自己顕示欲を動機とするものもありましたが、現在は、ランサムウェアに代表される金銭目的の攻撃にシフトしてきており、その多くが組織化された犯罪となっています。

特に近年は、システムの穴をこじ開ける高度な技術を駆使するよりも、「このサービス仕様ならばどう犯罪に悪用できるか」を考える「サイバー利用犯罪」が急増しています。デジタルコミュニケーションツールが発達し、「闇バイト」のような形で気軽に犯罪行為に手を染めやすくなった環境も相まって、その傾向はますます強まっています。

新たなデジタルサービスが次々と生まれるのは歓迎すべきことですが、過去のノウハウが十分に継承されているとはいえません。正しい振る舞いにしか見えないような挙動を取ったり、複数のサービス間の「トラスト」の隙間を狙い、不当に価値を搾取され得る隙が随所に残っており、一般利用者のリテラシーも追いついていません。この結果、犯罪者から見てデジタルサービスは「格好の標的」になってしまっています。

この状況に対し、サービスを支えるシステム面でIT統制をしっかり効かせていくだけでなく、サービス全体を見て、各仕様がどのような犯罪行為に悪用され得るかを検討し、ケアしていくことが求められる時代になりつつあります。

なぜ事業部門・経営層にセキュリティ理解が必要か｜「セキュリティの民主化」の重要性

Q：今おっしゃった問題は、リリース前に問題をチェックする脆弱性診断だけでは防ぎきれないのでしょうか。

fig-01262 株式会社野村総合研究所　齋藤大地

関戸：

そうですね。システムが高度化しサービス間の連携が広がったことにより、多様なデジタルサービスが展開できるようになりました。一方でその複雑性ゆえに、開発者自身もサービスに含まれる脆弱性に追いつけていない側面があるように思います。

またデジタルサービスは、自社内のシステム間連携に加え、組織をまたいで他の会社と連携したり、SaaSに代表される外部のサービスと連携して提供される場面も増えました。この結果、自社のシステムのみならず、相手方のシステムについても正しく理解して使わなければ、思わぬ脆弱性を作り込む可能性があります。より広い範囲で、自分たちのシステムを守るためには何が必要かを考えていかなければなりません。

齋藤：

たとえばQR決済というサービスひとつをとっても、偽のQRコードを貼って誘導するステッカー詐欺にはじまり、偽の決済完了画面を表示させる詐欺や金額の改ざん、さらには返金プロセスを逆手に取った詐欺やマネーロンダリングなど、さまざまな脆弱性があります。

サイバーセキュリティに詳しいだけでビジネスを理解していなければ、こうしたさまざまな脅威に備えるのは困難です。ビジネスを企画する側が、それを取り巻くどんな犯罪行為や脅威があり得るかを理解し、要件に組み込んでおかなければ、事故につながりかねません。

関戸：

最近では事業戦略上、短期間でのシステム開発が求められるケースもありますが、それによってひずみが生まれてしまう側面もあります。対策には時間や費用がかかるのも事実ですから、時には「重大な脅威でなければ先送りにしてもいい」という経営判断が下されることもあるでしょう。

しかしその際には、システムを作る開発者だけでなく、サービスの企画に携わるビジネス側も、対策を先送りにした場合にはどのようなリスクがあるのか、それがどのような影響を及ぼすのかを正しく理解した上で適切に判断を下していく必要があります。場合によっては、リリース期日というマイルストーンをずらす判断が求められることもあるでしょう。システムの開発や運用に携わる現場の技術者だけでなく経営層やビジネス部門もサービスリスクを正しく理解し、意思決定に関与する「セキュリティの民主化」が必要です。

齋藤：

これまで、ビジネスサイドは新しいサービスの企画を立てることが仕事で、セキュリティはセキュリティ担当者やシステム担当者がやってくれるもの、という役割分担になりがちでした。しかし、セキュリティやプライバシーに関するリスクを理解しないまま次々とサービスを作ってしまうと、技術的な脆弱性だけでなく、業務要件やビジネスロジックに密接に絡んだ穴を招きかねず、現に事故が多発しています。この部分をいかにケアし、一般的なセキュリティ要件からもう一歩踏み込んだ要件を立て、サービスを企画していくことが必要だと思います。

Q：近年、サイバーセキュリティの領域ではサプライチェーンリスクの高まりが指摘されていますが、その観点からも必要な観点ですね。

齋藤：

サプライチェーンセキュリティには、ライブラリやコンポーネントの依存関係のようなソフトウェアサプライチェーンのようなレベルもあれば、銀行口座連携やクレジットカード決済といったサービス間のサプライチェーンまで、さまざまなレベルが含まれます。そのすべてでセキュリティを考慮していかなければなりません。さまざまなサービスがつながってくる中でここを怠れば、思わぬ事故につながり、連携するサービス間で「誰が責任を取るのか」で揉め、補償を巡って争うことになりかねません。これを防ぐためには、企画段階から「どこまでを自社が守り、どこからを連携先に委ねるか」という責任範囲を明確にし、合意しておく必要があります。

関戸：

自分たちのシステムならば自分たちだけで改善できますが、別組織のシステムやサービスとなるとコントロールは困難です。有機的に相互接続しているシステムが互いに安全性と信頼性を高めていくことが、安全なデジタル社会の基盤であり、重要なポイントになります。

多様な組織・サービス・システムが連携し、豊かなデジタル社会を構成する

fig02

「ちょうどいいセキュリティ」を実現する｜セキュア・バイ・デザインと脅威モデリングの実践

Q：では、企画段階からリスクを意識し、適切な対策を打つ上で重要なポイントは何でしょうか。

齋藤：

押さえておくべきポイントは2つあります。1つは、誰にとっても自明な基本的なセキュリティ対策や機能が抜けていないか。もう1つは、過去に他社が起こしてしまったインシデントを繰り返していないかです。

自明な対策を実施していたにもかかわらず、前例のない事故に遭い、迅速かつ誠実な対応により信頼回復につなげられるケースもありますが、他社で発生したインシデントと同様の脆弱性を放置して被害に遭った場合、企業の社会的責任やレピュテーションリスクは計り知れません。

ですので、競合のサービス内容を調査・分析した上でサービスを企画していくのと同じように、セキュリティについても競合他社はどんな対策を実施済みで、自分たちはどのレベルまで行うかをきちんと考えていくプロセスが必要です。さらには、それを文化として織り込む必要があると考えています。

Q：現行のセキュリティガイドラインに準拠していても不十分なのでしょうか？

齋藤：

規制に従ってさえいれば安全なサービスかというと、そうではありません。規制というものは、状況に対して必ず後追いになるものです。何らかのガイドラインに準拠していても、新たな攻撃手法が確立されてしまえば意味をなしません。

Q：では最後にビジネスの観点から、安全なデジタルサービスを提供するに当たっての心構えを教えてください。

fig-01306

関戸：

この先の社会にデジタルサービスは不可欠です。さまざまなデジタルサービスがあってこそ社会も豊かになっていくのですが、それゆえに、デジタル社会に参加するものとして、システム単体でも、それらが連携したサービス全体でも、セキュリティ対策をしっかり実施していかなければなりません。それが、有機的につながるデジタル社会の一市民としてデジタルサービス提供者の責務を全うしていくことだと思います。

私たちはそのために必要な支援を、プロジェクトの立ち上げやサービス企画といった早い段階で支援することで、ちょうどいいセキュリティを提供していきたいと考えています。
具体的にはサービスリスク分析や脅威モデリングによって、デジタルサービスを企画し、設計し、実現していく各フェーズでどのようなセキュリティ対策を実施すべきか、あるいはしなくてもいいのかといった事柄を検討していくことが重要だと思います。これにより、ただ厳しく締め付けるのではない、最適な形の「ちょうどいいセキュリティ」が実現できると思います。

もちろん、これまで提供してきた脆弱性診断が不要になるわけではありません。たとえば建築物ならば、まず設計図を見て性能を満たしているかを確認し、建築許可を得た上で建設を進め、建物が完成した後に再度、検査を行います。設計図を見ているだけでは、施工の段階で建物に紛れた不具合を見つけ出すことはできません。これと同じことがシステムにも言えます。

齋藤：

サイバー犯罪も一種の「経済活動」であり、攻撃者は「いかに低コストで効率よく稼げるか」を見ています。

そのため、規制やガイドラインへの準拠はあくまで最低限のスタートラインであり、新たな攻撃手法の前にはすぐに形骸化してしまいかねません。リリースした瞬間を安全のピークとせず、日々進化する犯罪トレンドを常にインプットし、自社の仕様に新たな「穴」が生まれていないかを継続的に見直し続けるサイクルが不可欠です。状況の変化に合わせてこのバランスを微調整し続けることこそが、本当の意味での「ちょうどいいセキュリティ」を実現するのです。

ここで重要になるのが、防御の「投資対効果」を意識した戦略的な目線です。例えば、肉食動物は複数の獲物がいる場合、足が遅く狙いやすい個体を優先的に狙います。これはセキュリティにも通じます。

最低限の基準を満たした上で、完璧主義に陥って過剰なコストを投じるのではなく、他社や市場の動向を見据え、攻撃者に「このサービスは攻略コストが見合わない」と思わせる、他社より一歩先んじる目線を持つことが、結果として最大の防御につながります。