本年1月から本誌は毎月、月初(第 2 営業日頃)に Scan PREMIUM 会員に向け「 Scan PREMIUM Monthly Executive Summary 」を配信しています。 「大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門など現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に」と趣旨は記されています。 要はセキュリティに関わるビジネスパーソンに向けて月次資料作成のネタ元として利用いただく前提の連載ですが、今回は「 Scan PREMIUM Monthly Executive Summary 」を執筆する、株式会社サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏ご本人に、情報選定や執筆の方針について話を聞きました。―― Monthly Executive Summary の情報ピックアップの基準はありますか? 基本は脅威情報が中心なんですが、どういう経緯があって、日本にどういう影響があるのか、まず最初はそこを見ています。 ただ、米国とか日本の同盟国の情報だけに偏ると、見えるものが見えなくなってしまうことがあるので、できる限り米国で出てるならロシアでも出てるよねとか、いろんな国で出てるものを可能な限り選んでいるというのはありますね。 後は、たとえば脆弱性の情報なら、これもできる限りその脆弱性の発表の意図を考えて選んでいます。 単純にリサーチャーが見つけて発表したってものならいいんですが、そうじゃないものもあるんではないか、脆弱性情報が各国の経済・政治の駆け引きに使われるようになってきた以上、各国から出てくるひとつひとつの情報に対して、その背景の部分も推測しながら読まないといけないと思います。 何が真実か結局わからないこともありますが、そういう観点で見ないといけない。――「背景」とは具体的にいえばどんな状況ですか? 2018 年は中国のセキュリティベンダーさんが「脆弱性管理の強化」ってことを盛んに言っていました。それは、ゼロデイの扱いというか、国力を増すためにどう脆弱性を管理していくのかという話です。 ちょっと穿った見方をすると、ゼロデイを積極的に見つけて、諸外国には積極的に出さないという方針にすれば、ひとつの武器になりますよね。 脆弱性管理は本当に難しくて、ゼロデイっていうのは誰かが見つけて誰かが報告したからゼロデイになる。誰も報告しなかったらゼロデイにもならない。 今まさにそういう時代になりそうで。 セキュリティの情報は国としてコントロールする方向に向かっていて、そうした背景を意識しながら新しく出てきた脆弱性を見れば、かなり前から悪用されていたのでは、と推測できることもあります。 じつは 2 月配信の「 Scan PREMIUM Monthly Executive Summary 」に書きましたが、直近では、チェックポイントさんが WinRAR を調べていたら見つけたという「 CVE-2018-20250 」です。 これって 19 年間放置されてたやつなんですよ。なんか不自然ですよね。 19 年見つからないっていうのも不自然ですし、発表があった数日後に TI 360 がブログを書いてるのも不自然です。「知ってたんでしょう」って。 このように、中国以外の国が見つけるまでは放置されている可能性がある。――脅威分析をしていて、新しい傾向はありますか? 面白いのは、ずっと脅威を見ていると、最近はサイバーだけじゃなく、もっと広く見ているので、サイバー攻撃が観測されたのは裏側に過ぎないという気がしていて。実社会で注目されるような報道がされると、その裏にはサイバー攻撃がある、そういう関係性になっているような気がします。 たとえば有名なところでいうと、米朝首脳会談っていうキーワードが出ると、やっぱり水面下で、たとえば北朝鮮から韓国に対して APT 37 がサイバー攻撃をしたと観測されたり。 また、中国でサイバー攻撃以外のところではフェイクニュースが話題になりますが、フェイクニュースは世論操作のためじゃないですか。台湾の地方統一選挙時に与党のネガティブキャンペーンが一斉に行われたり、まあメディア戦とかインターネット戦と言われるところですけども。それにプラスして同時に行われたのがやっぱり APT なんです。やっぱり複合的にすごく行われてる。――ハイブリッド戦ですね そうですね。そういう証跡が出始めているので、管理層や経営層の目線で、「こんなこと起きてますよ」っていうのを伝えられればいいかなと。 諸外国の、とくに共産主義圏などはわかりやすいですけど、国の方針が出ればそれにつれてサイバーも動く可能性があって、国営の方針が出ればそれに紐づいてサイバーは動く可能性が高いので、ビジネスする上でこういうリスクがあるよっていうことを経営陣に知っていただきたいとこです。 中国の全人代の話なんかを ScanNetSecurity ですると、あまりにもテクニカルなところから離れてしまいますが、そういうところから落としていくと見えるものがあると思っています。――ありがとうございました。
