世界を脅威にさらしている WannaCry と呼ばれるランサムウェア攻撃は、企業、政府機関、医療機関等を混乱させています。 30万以上のコンピュータに影響を及ぼしたこのサイバー攻撃によって、企業組織は、ITインフラのセキュリティ保護に、やっきになっています。この攻撃によって、各企業のセキュリティプログラムの欠陥と、いかに多くの企業のサイバー攻撃対策に大きな欠陥があるのかが露呈されました。この攻撃によって、私たちは、将来の攻撃に対するよりよい対策を講じるにあたって、重要な洞察を得たと考えます。
この事態で、私たちは、典型的なサイバーセキュリティに対するアドバイスを受けました。すなわち、電子メールで送られる添付ファイル、リンク、セキュリティパッチに対する注意喚起、怪しい言語に対する従業員教育などです。これらは、不規則であいまい、あるいは不適切だったりするのですが、そうした最善のアドバイスは、もちろん重要ながら、今回のWannaCryの攻撃は、多くの組織にとっての最大の脆弱性を露呈させました――すなわち「古い技術」です。
古いバーションのOSやソフトウェア全般については、最新のパッチ提供やセキュリティ対策といったサポート継続を得られないことはよくあることです。今回、最も脆弱であるITインフラ要素であることが証明されたのは、そうしたサポートされていない、無視されてきた古い技術ソリューションでした。これらは、オフィスの隅で90年代のOS上で稼働しているプリンタサーバであったり、その昔に撤退してしまったメーカーの機器で、問題なく運用できているものだったり、配線ボックスのどこかに置かれて忘れ去られたハードウェアだったりします。実際、確かにそうしたところから侵入して、WannaCry の被害が起こっているのです。
ランサムウェアや全てのサイバー脅威についての最も効果的な対策の1つは、より新しい技術を利用することです。これらは、WannaCry に見られる攻撃タイプを防ぐために設計されたか、あるいは更新されています。これは、新車を購入することに類似します。古いソフトウェアは、今日の脅威に対応せずに設計されました。丁度 1970年代の車が、今日の車に搭載されている多くの安全機能を持っていなかったことと同じです。最新の車は、その初期設計の段階から、新しい安全機能に対応した設計になっています。エアバックだけでなく、車線から出た場合の警告、バックカメラ、運転中の眠気センサーなどは、今日の最新ソフトウェアとOSの先進技術のようなものだと思います。
この攻撃は、世界のデジタル組織が、サイバー攻撃という点で、いかに脆弱であるかということを、私たちに改めて知らしめました。そしてサイバー脅威は、大きくなり続ける訳で、安全なシステムを整備することは、これまで以上に重要になってきます。責任者は、車購入の予算だけではなく、安全のためのパーツがすでに市場で入手できなくとも、新たな方法で安全を維持し続けなければなりません。自分たちの重要なデータを守る技術は、これと同じような投資価値があるのです。
Ken Mortensen
弁護士、技術者として、20年以上の法務での経験、30年以上のITの経験をもつプライバシーとセキュリティの専門家。米国マサチューセッツ州を拠点に、インターシステムズにおいて、データ保護オフィサーとして、グローバルでの信託および情報保護を先導。グローバルでの情報保護、ガバナンス、サイバーリスクプロセスなどを推進。インターシステムズ入社以前は、PwC、CVC Health、Boston Scientific 等で、プライバシーとセキュリティの責任者として従事。また、第43代ブッシュ政権時代には、司法省副長官として勤務し、プライバシーとサイバーセキュリティの専門家として、法律の改正、海外での知財案件などに従事した。司法省以前には、国土安全保障省に務め、初代 個人情報保護担当副長官となった。それ以前は、個人法律事務所を構え、サイバー事象の専門家として、司法省を支援したほか、ヴィラノバ大学法学部で教鞭もとった。最初のキャリアでは、Burroughs 社の電子エンジニアとして、情報保証に従事した。
