かつて、コンピュータ犯罪といえば、暗い部屋でモニターの光に照らされながら黒いパーカーを着たハッカーが作業している姿が思い浮かべられていました。しかし時代は変わり、脅威も変化しました。単純な侵入の試みから、サイバー攻撃は、娯楽や名声のために行われるだけではなく、国家システムを明確に狙う複雑で連携した作戦へと進化しています。
今日、政府機関を標的としたサイバー攻撃はさまざまな理由で発生しています。政治的圧力を動機とし、立法判断に影響を与えたり当局の信用を失墜させたりしようとする攻撃者もいます。別の者はサイバー犯罪者の世界での承認を求め、名声や評判を当てにします。第三のカテゴリーは純粋に商業的利益を狙います。しかし、最も一般的な動機は、国家の登録簿に保管されている市民の個人データの窃取です。医療記録、登録書類、所得データなどが該当します。こうしたデータはダークウェブで売買され、その過程で数百万ドルが生み出されています。
まさにこの理由から、公共部門のサイバーセキュリティはミスを許容できません。イノベーションのために一定のリスクを取れる民間企業とは異なり、公共部門は検証済みで、テストされ、最大限に安全なソリューションを選びます。結局のところ、医療システムの侵害は人命に関わり、交通システムの障害は道路の混乱を招き、市民登録簿の侵害は何百万人もの人々を詐欺の危険にさらします。
過去数年で、国家機関に対するサイバー攻撃の件数は40%以上増加しました。この数字がすべてを物語っています。公共部門のサイバーセキュリティを「後で対処すればよい二次的課題」として捉えることは、もはや不可能です。これは国家安全保障と市民の信頼に関わる問題です。そして公共部門のデジタル化が進むことで、この緊急性はさらに高まっています。
ドラマ「ブラック・ミラー」や「Mr. Robot」を観たことがあるなら、国家レベルのサイバー攻撃がもたらし得る恐ろしいシナリオをご存じでしょう。残念ながら現実は時にフィクション以上に深刻ですが、当該セクター自体は確かに非常に保守的です。
そのため、過度に未検証で革新的すぎるアイデアはここでは導入されません。国家が統合するものはすべて、弱点を特定するために、何十回、時には何百回もの検証、テスト、管理された攻撃(演習)を経ます。
なぜ政府はハッカーの主要標的になるのか
- 国家および自治体の組織がサイバー攻撃者の注目を集める理由は同時に複数あります。第一に、個人データの量が膨大です。国家の登録簿には、すべての市民に関する情報(文書番号、住所、連絡先、医療データ、納税記録)が含まれています。侵害に一度成功すれば、数千万件の記録へのアクセスが開かれます。闇市場では、こうしたデータベースは高値で取引されます。
- 第二に、多くの政府システムは旧式の技術で構築されています。「レガシーシステム」は過去への窓であり、現代のハッカーが容易に侵入できる入口になり得ます。これらのシステムはしばしば数十年前に書かれており、今日私たちが理解するようなインターネットセキュリティなど誰も考えていなかった時代のものです。更新には何百万ドルもの費用がかかり、官僚的な手続きを通じてゆっくり進みます。
- 第三に、政府機関であることの多い国家機関は、サイバーセキュリティ脅威の予防に関して資金不足になりがちです。予算は病院、学校、道路に配分され、ITセキュリティにはわずかな取り分しか回りません。その結果、専門家不足、統一された防御戦略の欠如、老朽化した機器が生じます。
- 第四に、名誉(ステータス)です。大規模な政府ポータルを破ったハッカーは、自動的にサイバー犯罪者の「ランキング」に名を連ねます。これが新たなメンバーの参加、資金、機会を呼び込みます。
実例は問題の規模を示しています。2021年にはハッカーが米国の医療システムを攻撃し、病院が機能停止に追い込まれました。2022年にはポルトガルの税務当局が侵害され、数百万人分の市民データが盗まれました。2019年には米国でボルチモア市のシステムが強力な攻撃を受け、住民が書類を取得するのが困難になりました。
「Anonymous」のようなグループは特筆に値します。こうした高度に組織化されたサイバー犯罪者は、金銭的利益だけを動機としているわけではありません。彼らは、不安定化させたい、あるいは批判したいシステムの象徴として国家機関を攻撃します。この種の攻撃は、原動力が単なる金銭ではなくイデオロギーであるため、予測がより困難です。こうした組織化グループによる政府へのサイバーセキュリティ脅威は、前例のない課題となっています。
まさにこうした脅威があるため、国家はもはや内部リソースだけに頼ることはできません。政府機関のIT部門には、組織化されたサイバー犯罪グループと戦うためのリソースと専門性が単純に不足しています。これにより、サイバーセキュリティに特化した民間企業とのパートナーシップが必要となりました。
公共部門のサイバーセキュリティ分野で活動する民間企業には多くの利点があります。彼らは世界的な脅威を常時監視し、国際的な専門家ネットワークを維持し、最先端技術に投資しています。
こうした企業は、世界70か国の政府機関と協働してきた数十年の経験を持ち、官僚制や国家行政の特性に触れたことのない人々よりも、公共部門の事情をはるかによく理解しています。詳細は次をご覧ください:https://dxc.com/industries/public-sector。
これらの企業は、国家が攻撃に単に反応するのではなく、先回りした防御を構築するのを支援します。最新技術を統合し、セキュリティセンターを設置し、公務員を訓練し、各国や各政府機関の特性を踏まえた戦略を策定します。こうしたパートナーシップがなければ、公共部門のサイバーセキュリティは、攻撃者が常に優位に立つ消耗戦のままでしょう。
公共部門におけるサイバーセキュリティの主要課題
第一の、そして最も明白な課題は資金不足です。たとえばITセキュリティの予算が100万ドルあるとします。しかし守るべき対象は、何千台ものコンピュータ、サーバー、データベース、Webポータルです。民間企業なら柔軟に解決できることでも、公共部門は長期にわたる入札や調達手続きを通じて対応しなければなりません。
第二の課題は専門家不足です。労働市場における有能なサイバーセキュリティ専門家は高額で、民間企業の労働条件は政府機関より魅力的であることが多いのです。若い才能はどこで働くことを選ぶでしょうか。給与が2倍、3倍の快適なオフィスか、それとも平均的な賃金の政府機関か。結果は明らかで、国家機関には、技術進歩のスピードに遅れがちなベテラン中心のチームが残ります。
第三の課題はレガシーシステムです。過去へ引きずる錨のように足かせとなります。これらのシステムは、もはや必要とされないプログラミング言語で書かれていることが多く、旧式の機器で動作し、現代のパッチや更新に適応しないアーキテクチャを持っています。それでも、重要データを含み、停止が壊滅的な結果を招くため、全面的な書き換えは不可能なままです。
第四の課題はヒューマンファクターです。成功するサイバー攻撃の多くは技術的脆弱性からではなく、単純な「間違った場所をクリックする」ことから始まります。ある公務員が「人事管理システム」からパスワード更新を求めるメールを受け取ります。リンクを踏み、認証情報を入力すると、ハッカーはそのアカウントにアクセスできるようになります。そこから組織内へ拡散していきます。こうして最も複雑な攻撃が始まるのです。
第五の課題は、攻撃がもたらし得る影響の大きさです。ハッカーが関心を持つのは、まさに大規模で重要なシステムです。小さな企業ならトップクラスのサイバーセキュリティ専門家がいなくても何とかなるかもしれませんが、何百万人もの人々にサービスを提供する政府組織にはその余裕がありません。攻撃者にとっても防御側にとっても賭け金が非常に大きいため、攻撃の磁石となります。
火消しから予測へ:強力なサイバー防御の構築
過去10〜15年の公共部門で何が起きたかを考えてみてください。以前はすべてが事後対応でした。何かが起きるのを待ち、火消しをし、誰かを処分し、二度と起こらないと約束する。今は状況が変わり、予防的思考へ移行した組織が勝っています。
- 第一歩は集中監視システムです。原子力発電所の制御室で、あらゆるセンサーがリアルタイムで追跡されている状況を想像してください。サイバーセキュリティでも同様に機能します。すべてのシステムが情報を一つの監視センターに送信し、アナリストはそれを一つの画面で確認できます。誰かが通常の範囲を逸脱しようとすると、システムが警告します。これにより、問題が本格的な攻撃へ発展する前に捉えることができます。
- 第二の要素はサイバー教育です。IT部門が自分たちを守る方法を理解するだけでなく、組織を守る方法も理解していなければなりません。事務員から大臣まで、すべての公務員がサイバー衛生の基本ルールを知る必要があります。フィッシングの見分け方、パスワードを付箋に書いてはいけない理由、何か怪しいと感じたときに何をすべきか。チェコの一部都市は実験を行いました。訓練目的で偽の攻撃が行われることを全機関に通知しましたが、実施時期は伝えませんでした。結果は衝撃的でした。第一波では60%の人が不正リンクを「クリック」しました。6か月の訓練後、この数字は15%まで低下しました。
- 第三の要因は、人工知能(AI)と機械学習の統合です。現代のシステムは、毎秒何百万ものイベントを分析することで、リアルタイムに脅威を検知できます。AIは過去の攻撃データから「学習」し、人間の目では見落とすパターンを認識します。これは、徒歩で地区を巡回する警察官と、指名手配者データベースと照合しながらすべての顔を分析する顔認識カメラシステムの違いのようなものです。
成功事例はEUや米国に見られます。たとえばエストニアは、世界でも最も安全な部類とされる電子政府システムを構築しました。暗号技術、多要素認証、継続的監視を活用しています。すべての操作は検証可能な痕跡を残します。たとえ数年後に不正アクセスが検知されても、システムは復旧し、それを立証できます。
デンマークは、すべての政府機関向けに集中型のインシデント管理システムを開発しました。どこかで攻撃が発生すると即座にセンターへ伝達され、現地の専門家は支援を受けられ、他の機関には潜在的脅威に関する警告が送られます。
安全なデジタル国家のためのベストプラクティス
政府システムを本気で守りたいなら、検証済みの実践に従う必要があります。第一は定期監査です。年に一度ではなく、継続的に行います。四半期ごと、月ごとなど、システムの重要度に応じて実施します。
第二の実践は、ソフトウェアの定期更新です。簡単に聞こえますが、現実には深刻な課題です。各パッチは、何千台ものコンピュータやサーバーでテストが必要です。テストの結果、古いソフトウェアが新しい更新で動かなくなることもあります。しかし更新を実装しないことは、攻撃に対して扉を開け放つことを意味します。
第三は最小権限の原則です。簡単に言えば、各人は業務に必要なものにのみアクセスできるべきです。登録業務を扱う職員が、何百万人分の医療データにアクセスできてはなりません。バス運転手がデータベース管理者であるべきでもありません。ハッカーが一般職員の認証情報を盗んでも、アクセスは限定されます。
実際の事例は、これが現場でどう機能するかを示しています。英国では、労働年金省(DWP)が脆弱性テストを専門とする企業と複数年契約を結びました。彼らは定期的に包括的なシステムレビューを実施し、実質的にハッカーの役割を担います。その結果、システムは年に数百回の攻撃に耐え、侵害されずに済んでいます。オランダでは、雇用サービスがインフラをクラウドソリューションへ近代化し、より迅速かつ効率的にセキュリティ更新を行えるようになりました。
かつて古代都市が敵に備えて城壁を築いたように、現代の政府はデジタル要塞を、層を重ね、障壁を重ねて築いています。攻撃には技術だけでなく、莫大な資源、時間、そして運が必要になるようにするためです。
未来を守る:公共部門のサイバーセキュリティは長期的ミッション
サイバーセキュリティは、適応、学習、改善を絶えず続ける、継続的なプロセスです
技術は助けになりますが、ヒューマンファクターは依然として重要です。技術面と組織面の両方を理解する専門家が必要です
第二の要素は、セクター間の継続的な協力です。民間企業には専門性とリソースがあり、政府機関には重要インフラへのアクセスと実際の脅威に関する情報があります。政府は知見を蓄積し、特定の問題を解決するために民間の専門家を雇うべきですが、外部コンサルタントに全面的に依存してはなりません
第三の要素は投資です。セキュリティ構築は安くありません。しかし、最初から構築する方が、壊れたシステムの廃墟から後になって掘り起こすよりはるかに安上がりです
第四の要素は法制度の枠組みです。規制、標準、規範は明確で一貫していなければなりません。組織が特定の基準への適合性をチェックされると分かっていれば、より真剣に取り組みます。欧州一般データ保護規則(GDPR)が革命的だったのは、明確なルールと違反に対する厳格な罰則を定めたからです。
最後に、しばしば忘れられがちな考えを一つ述べて締めくくりましょう。デジタル国家への市民の信頼は、美しいポータルデザインや迅速な申請処理から始まるのではありません。クリックのたびに感じる、たった一つのシンプルな感覚から始まります。それは「安心感」です。人が政府のウェブサイトに個人データを入力するとき、そのデータが最大限に保護されていると確信できなければなりません
(写真:UnsplashのAyrus Hill)
翻訳元: https://hackread.com/cybersecurity-public-sector-challenges-strategies-practices/
