経団連は6月29日、サイバーセキュリティ委員会(遠藤信博委員長、金子眞吾委員長)をオンラインで開催し、情報セキュリティ大学院大学の後藤厚宏学長から、デジタル時代に求められるサイバーセキュリティ対策について聴いた。概要は次のとおり。
■ サプライチェーンの新たなセキュリティ課題
従来のサプライチェーンへのサイバー攻撃は、比較的セキュリティが脆弱であるサプライヤーを対象とし、営業秘密の窃取を狙うことが中心であった。最近はこれらの攻撃に加え、信頼性が担保されているはずのソフトウエアの正規更新プロセスに便乗したマルウエア(注1)攻撃が増加傾向にあり、セキュリティ維持の枠組みが危機に瀕している。企業にはこれまで安全だと思っていた部分も含め、ソフトウエアの総点検が求められる。
■ 社会・産業インフラのリスクマネジメント
従来の社会・産業インフラを狙ったサイバー攻撃は、銀行口座からの不正引き出しや暗号通貨の窃取などの金銭を目的とした攻撃と、DDoS攻撃(注2)や重要インフラ攻撃などの事業継続妨害を目的とした攻撃が主流だった。最近は、これらを組み合わせた攻撃が増加傾向にあり、重要インフラ事業を停止させたうえで、事業再開と引き換えに巨額の身代金が要求されるため、損害額や被害範囲が深刻化している。企業には、サイバー攻撃によって事業継続危機に陥ることを想定したリスクマネジメントとシミュレーションが求められている。
■ デジタル依存時代の“備え”とは
国・社会・産業・生活すべてにおいて、インターネット、クラウドなどのデジタル技術への依存が急速に高まっている。デジタル化・クラウド化を進めると同時に、技術安全保障の観点から、特定のクラウドへの過度な依存の回避、システムダウンをはじめとした非常事態への備え、グローバル連携の強化が必要である。あわせて、国産技術として保持すべきサイバー技術の研究開発についても、産学官が連携して推進しなければならない。
(注1)マルウエア=不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエアや悪質なコードの総称。コンピューターウイルス等が含まれる
(注2)DDoS(Distributed Denial of Service attack)攻撃=サーバーやウェブサイトに対して、複数のコンピューターから大量のデータを送りつける分散型サービス妨害攻撃
【産業技術本部】