その後、IBM、PwC でセキュリティコンサルタントとして働き、BHPビリトン(世界最大級のグローバル資源会社)では CISO を務めた。現在、シンガポールを本社とする Antuit 社でセキュリティ事業の最高責任者の職に就く一方で、日本に引越しをするほどの親日家で、日本市場になみなみならぬ注力をしている。
リテッシュ氏は、日本のサイバーセキュリティに非常に注目しているという。その理由とは何か。さらにサイバー空間上で日本が置かれている立場について、氏に話を聞いた。
――本日は、お時間いただきありがとうございます。まず最初に Antuit という会社について簡単に説明していただけますか。
シンガポールを本社として、ビッグデータアナリティクスサービスを行っていたのが祖業になります。事業を拡げていく中、2016 年、当時のボードメンバーはアナリティクスの新しいユースケースとしてサイバーセキュリティに注目しました。理由は 2 つあり、ひとつはシンガポールでも金融機関の情報漏えいなどのインシデントが問題となってきたこと。もうひとつは、セキュリティの分析、アナリティクスが主に専門家など人力に頼っていたことです。
このとき、私自身は BHP ビリトンでCISOをしていました。自分で申し上げるのも変ですが予算的に非常に恵まれた条件下で、世界中のセキュリティ製品やソリューションを導入、評価しましたが、どこが攻撃ポイントになるのか、何が狙われているのか、誰が狙っているのか、といった情報は手動で分析するしかなかったのです。ログやトラフィックなどビッグデータはあっても、セキュリティ視点で分析するしくみやソリューションが自分でも欲しいと思っていたところAntuitからの誘いがあり、CYFIRMA(サイファーマ)という脅威インテリジェンスサービスの事業を立ち上げました。
――シンガポールを拠点にしながら、日本市場に注目していると聞きました。なぜ、日本なのでしょうか。
まず、日本はたくさんの革新技術を生み出す技術先進国です。IT 化も進んでいます。ただ、これは同時にサイバー攻撃の標的にもなるということです。そして、近年のサイバー攻撃の特徴に、国家支援型ハッカーグループ(State-Sponsored Hacker Group)による攻撃があります。日本でも、単なる犯罪者による金銭目的の攻撃から地政学的な動機や背景を持つサイバー攻撃が増えています。
日本は、IT 先進国であり地政学的な問題も抱えながら、じつは対策については未熟であるという問題があります。国家に支援された攻撃が増える中、その対策やサイバーインテリジェンスが遅れているのです。
――国家支援型攻撃について、どんな国が何を狙って攻撃をしかけているのでしょうか。
国が関与すると思われる攻撃が増えたのは2年ほど前からです。確認している攻撃元は、中国、北朝鮮、ロシア、そして韓国です。例えば、我々が把握している日本を狙った攻撃、キャンペーンが 200 ほどあるのですが、そのうち 90 ~ 95 % において国家支援型ハッカーグループの関与が確認されています。
2 年前までは、個人情報や金銭などが攻撃者の一般的な目的、ねらいでした。国が関与する攻撃の場合、政府の機密情報の他、企業の IP(知的財産)が目的となります。もちろん現在も、金銭や個人情報を狙った攻撃は確認されますが、背景を分析すると、その組織や企業の業務妨害だったり、風評のダメージを与えることがあります。
――これらの国やハッカーグループによる攻撃にはどんな特徴がありますか。
中国と北朝鮮については、ハッカーグループが日本の知財を狙っていることを半ば公言しています。知財情報なら、中国の方がいまは進んでいるという意見もあるかもしれませんが、日本は 数十年もの間、蓄積された情報資産がまだまだ豊富です。ソースコードや設計図が入手できるなら、それを使ったほうが開発スピードも上がります。
中国については、もうひとつの傾向も確認されています。日本の組織や企業に対する妨害工作です。中国で国家(人民解放軍)に支援されたハッカーグループとしては APT10/STONEPANDA が有名ですが、マリオットホテルの顧客情報の流出は、ID 情報等による金銭目的の攻撃ではないと見られています。彼らは、国から十分な予算と時間を与えられているので、情報を売る必要はありませんからね。
北朝鮮は、以前は米英、EU など西洋諸国を狙っていましたが、最近はアジアシフトが見られます。アジアの中で日本は標的として筆頭といえる存在です。
韓国からの国家支援のサイバー攻撃は、最近の傾向です。やはり風評被害や知的財産の盗取など日本政府、関連機関、企業へのダメージが目的と思われる活動を観測しています。
興味深いのはロシアです。彼らは直接日本を標的にすることはなく、最新の攻撃技術、マルウェアなどを中国や北朝鮮に提供しています。新技術を提供することで、間接的に攻撃を支援したり、新技術の実験を行ったりしています。
――さきほど日本のセキュリティ対策の未熟さを指摘していましたが、具体的にはどんな点が未熟なのでしょうか。
セキュリティには 3 つの層があると考えています。最初はファイアウォールやアンチウイルスなどのツールのレベルです。2 つ目の層はセキュリティポリシーや、業務プロセスのセキュリティ対策、施策です。3 つ目はガバナンスやコンプライアンス、経営の意思決定にかかわる層です。
日本はツールの導入や対策については非常に進んでいます。SIEM のようなソリューションも多くの企業が導入しています。しかし、組織として、セキュリティ技術を業務プロセスに組み込んだり、意思決定にセキュリティやリスク管理を統合する機能が弱いと思っています。いわゆるリスクベースのアプローチを行っている企業は多くありません。たとえば海外の例を挙げれば、世界的な投資銀行などは、攻撃ポイントの解析とリスク分析から、攻撃の 5 W 1 H を考えて対策を考えたり、ツールのチューニングを行っています。
―― 3月8日(金)に「SecurityDays Spring 2019」で、「日本企業を標的とするハッカーへの対抗策 ー CYFIRMAサイバー脅威インテリジェンスのアプローチ」と題した基調講演を予定していますね。講演の受講者や日本のセキュリティ担当者に伝えたいメッセージがあればお願いします。
3 つあります。ひとつは、サイバー脅威インテリジェンスは技術的なトレンドではないということです。よりよい意思決定に必要なプロセスであるという点を認識してください。この点を踏まえると、サイバー脅威インテリジェンスはこれからの企業のビジネスドライバのひとつであるということ。これが 2 点目です。3 つ目は、過去の事例やパターンからインシデントを予防(Proactive)するのではなく、サーフェスウェブ、ダークウェブなどのビッグデータ分析により、これから自分の会社に何が起こるのか、どんな攻撃を受けるのかの「予兆」を掴み、「予測的な」対応を行う(Predictive)ことがセキュリティの主流になっていくということです。
――ありがとうございました。
日本とシンガポール間のテレカンファレンスながら、とにかく熱かったクマール・リテッシュ氏。取材時間は2時間半を優に超える長さとなった。早く東京講演で話をしたいという(写真はテレカン経由で情熱的にろくろを回すという、ネット IT ジャーナリズム史に残る貴重な瞬間を捉えたもの)。
