News & Views コラム:みんなでサイバーセキュリティ
pr_team コラムメールマガジンで配信したインターネットに関するコラムを、このブログでもご紹介しています。2021年4月は、セキュリティの確保には事業者のみならず私たち一人一人が意識を向上させることがいかに重要かという点について、株式会社KDDIウェブコミュニケーションズの森川慶彦氏にお書きいただきました。
”(国民の努力)
第九条 国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする。”
https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
これはサイバーセキュリティ基本法の一文です。このように国民は、サイバーセキュリティを確保するために努力することが求められています。しかしながら、一体どのくらいの人がこのことを知っているのでしょうか。
昨今、サイバー攻撃による事件が話題になることが多く、それらは人目を引く大規模なものがほとんどです。そのためか、世間ではサイバー攻撃を身近に感じている人が少なく、対策があまりされていないと感じています。ただ実際は、世間で騒がれるような大規模な攻撃よりも、小規模なサイバー攻撃による被害がはるかに多く発生しています。
私はクラウドサービス事業者にてインフラの運用やabuse対応を行っており、毎日のようにサイトの改ざんやアカウントの不正利用に関する対応に追われています。それらの原因のほとんどは、CMSの設定や管理の不備、脆弱なパスワードの使用など、非常に単純なものが多数を占めます。
このような事象に対しては、サイトの管理者に英数記号を含めたパスワードの設定や、コンテンツの見直しをお願いし、対処いただいております。ただ、中には英数記号を含めたパスワードを必須にすれば「ドメイン名.1234」というパスワードにされてしまったり、改ざんされたサイトへの対応には「改ざん前のバックアップから切り戻しました」といったものも見受けられたりするなど、思いが伝わらないもどかしさを感じることもあります。
これらの小規模なサイバー攻撃は、特定の標的を狙ったものではなく、踏み台として利用できる不特定多数の脆弱なシステムを狙ったものがほとんどです。そのため、被害者が直接損害を被るわけではないことや、影響の小ささから対策が見過ごされがちです。これらの攻撃は、既知の脆弱性に対する定型的な手法や凡庸なパスワードに対する辞書攻撃などで、ソフトウェアのアップデートを実施したり、アカウントの管理をしたりといった些細なことで防げるものが大半です。サイバーセキュリティ基本法で求められる国民の努力とは、このような些細なことの積み重ねではないでしょうか。
ここ四半世紀で、誰もが容易にインターネットに接続することができるようになり、利用者も爆発的に増えたことで、インターネットが生活に必要不可欠なインフラとなりました。しかしながら、サイバーセキュリティ基本法にある“サイバーセキュリティの重要性に関する関心と理解を深め”の部分が、利用者に行き届いているかといえば、まだまだ途上のように感じています。クラウドサービス事業者として、利用者への情報発信や啓発活動も行っていますが、利用者の自助努力だけに頼るにはやはり限界があります。技術で解決できるもの、事業者として取り組めるものを考えながら、より平和で安心できるインターネットになるように日々業務に邁進していきたいところです。
最後になりますが、不正利用の検知は外部からの通報が非常に重要です。スパムメールの発信やフィッシングサイトの開設、攻撃を行っているホストなどを見かけた場合は、事業者のabuse窓口宛に通報していただければと思います。
■筆者略歴
森川 慶彦(もりかわ よしひこ)
ADSLベンチャーにてネットワークインフラの運用保守などを経験。以後紆余曲折あり、2008年に株式会社KDDIウェブコミュニケーションズ入社。現在は運用部に所属しながら、ネットワークインフラの設計・構築・運用を中心に、abuse対応なども行っている。