LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

地理的にも心理的にも遠い中東のサイバーセキュリティ事情~中東版RSAカンファレンスに参加して~

2017年11月7日、8日の2日間にわたり、アラブ首長国連邦(UAE)の首都アブダビでサイバーセキュリティの国際イベント「RSAカンファレンス」が開催された。当社が加盟する日本ネットワークセキュリティ協会(JNSA)の代表団としてUAEを訪問した際、ラックとしてカンファレンスのほぼ全てのプログラムに参加する機会を得たので、カンファレンスの概要や、UAEを通じて垣間見た中東のサイバーセキュリティ事情についてお伝えしたい。

1.アブダビってどこ

中東と言えば、何を思い描くだろうか。
カンドゥーラ(白いアラブ装束)を身にまとうアラブの石油王?
イスラム過激派武装勢力の本拠地イコール危険エリア?
いずれも間違ってはいない。が、当然それが全てでもない。
地理的文化的に遠い国・地域である場合、どうしてもそんなステレオタイプなイメージが先行してしまうものだ。

アブダビと言われ、中東のどこ、と瞬時にイメージできる人はそう多くはないだろう。
アラビア半島の中央にある広大な国土(ほぼ砂漠)のサウジアラビア、その右隣の小さな国がUAEである。ペルシャ湾の対岸を見やるとイランが目と鼻の先にある。
外務省の海外安全情報ページを見ると、地図は軒並み、渡航危険勧告を示す黄色やオレンジ色で塗りつぶされている。着色されていない国はUAEとオマーン、カタールぐらいだ。

外務省 海外安全ホームページ 中東地域海外安全情報より筆者作成(2018/1/15現在)

外務省 海外安全ホームページ 中東地域海外安全情報より筆者作成(2018/1/15現在)
https://www.anzen.mofa.go.jp/info/pcareahazardinfo_13.html

UAEはアブダビ、ドバイなど7つの首長国からなる連邦国家で、人口のほとんどはアブダビと超高層ビルの林立するドバイに集中している。UAEの自国民は全体の1割程度に過ぎず、9割は外国人労働者。実際、町のレストランやホテルの従業員、タクシードライバーに国籍を聞けば、中東、アフリカ、アジア(特にインド、パキスタン)から出稼ぎに来ていることがわかる。公用語はアラビア語だが、諸外国から人材が集まっているため、町でも教育現場でも英語が主に使用される傾向があり、若者のアラビア語離れが深刻化しているそうだ。

2.中東版 RSAカンファレンス

RSAカンファレンスといえば、毎年米国サンフランシスコで5日間にわたり開催される世界最大のサイバーセキュリティイベントである。2017年は4万人以上が参加したとされる。米国以外ではシンガポール等でも毎年開催され、今回紹介するアブダビでのカンファレンスは、いわば「中東版RSAカンファレンス」である。

エミレーツ・パレス
エミレーツ・パレス

今回で3回目の開催となるRSAカンファレンス・アブダビ。会場は、ホテル「エミレーツ・パレス」。大統領府と同じ敷地内に建ち、格式高く贅を尽くしたたたずまいは、日本で言うところの迎賓館といった趣で、国賓を迎えることでも有名である。

参加者の総数は、メディアでは1100人と伝えられていたが、体感では約500~600人規模。政府関係者や識者、スポンサーによる基調講演のトピックには、増大する国家や重要インフラを狙う大規模サイバー攻撃の脅威に対する備えや、官民共に速やかに効率よくサイバー攻撃の被害から復旧する「サイバーレジリエンス(回復力)」の重要性、国際的な枠組みの組織横断的なコラボレーションの必要性等が挙がった。

カンファレンス基調講演
カンファレンス基調講演

基調講演以外では、IoT、AI、クラウド、ランサムウェア、ブロックチェーン等特定のテーマ別セッションや、地元企業のセキュリティ対策導入事例等のセッションが行われ、有料の聴講パス保有者のみ入場できる。ちなみにこれらのセッション以外は、基調講演も展示会も、エミレーツ・パレスの豪華ランチ・ビュッフェも両日無料という大盤振る舞いである。

参加者はUAEとGCC(注1)諸国からが半数程度。それぞれの地域で少しずつ異なるアラブ装束を着用している。いずれも多くは政府機関、及び重要インフラ事業関係者で、彼らがこのイベントのメインターゲットと思われる。基調講演のホール一列目には特等席があり、糊がパリッと利いた白いカンドゥーラ姿の政府高官や軍服姿の軍人が熱心に講演に聴き入る姿が見受けられた。

  • 注1: 湾岸協力会議に加盟する6ヶ国(サウジアラビア、UAE、カタール、バーレーン、クウェート、オマーン)。

出展企業36社のうち、大多数は欧米企業、特に米国のセキュリティベンダーで、地元UAE企業は6社、アジア企業に至っては3社に留まり、日本企業は皆無であった。

カンファレンス展示会場

カンファレンス展示会場

3.中東のサイバーセキュリティ事情

UAEのナショナルCSIRT(Computer Security Incident Response Team、コンピュータセキュリティインシデントに対応するための専門チーム)であるaeCERTによると、昨年のUAEの脅威の筆頭は、2位以下を大きく引き離して「不適切なコンテンツ」であるという。大統領に対する誹謗中傷や宗教上タブーなコンテンツをSNSに投稿する等の行為がそれにあたる。日本の十大脅威の筆頭が「標的型攻撃による情報流出」や「ランサムウェア」であることを考えると、イスラム宗教色、及び中央集権の統治色が色濃く、興味深い。

とは言え、中東圏がサイバー攻撃と無縁というわけでは、もちろんない。例えば、脅威の第2位には、標的型攻撃としての「フィッシングによる被害」が挙げられている。さらに、標的型攻撃のみならず、周辺諸国をはじめとする様々な地域から頻繁にDDoS攻撃を受けているのが現実だという。aeCERTはナショナルSOCを持ち、「不適切なコンテンツ」の検閲も行っているそうだ。

目をUAE以外の中東諸国に転じると、中東圏がサイバー攻撃の最前線であることがより明白となる。サイバーセキュリティの常識を根底から覆したといわれるマルウェアStuxnet(注2)も、世界初登場の舞台となったのは中東だった。2012年には、サウジアラビアの国営石油会社であるサウジアラムコがサイバー攻撃を受け、2週間のネットワーク停止を強いられている。中東という紛争の絶えない地域事情から、UAEではこれまで、物理的セキュリティに焦点を定め国防にあたっていたが、国境のないサイバー空間では新しいアプローチが必要となり、UAE当局も強い危機感を持っているという。

  • 注2: 2010年に発見されたイランの核施設を標的にしたマルウェア。インターネットから隔離された制御システムにUSB経由で感染を拡大させる点において画期的とされ、同国の核開発を数年遅らせたとも言われている。

ただ、法制度面では、UAEは特にサイバーセキュリティに特化した法律はなく、全首長国を対象としたUAE連邦法、及びドバイではドバイ法がサイバーセキュリティ分野にも適用される。準拠すべき基準としては、政府機関が発行するNESA(注3)という一連の基準・ガイドライン群があり、カンファレンスでもたびたびこのフレーズを耳にした。

  • 注3: NESAは National Electronic Security Authority の略で、UAEのサイバーセキュリティ水準向上の推進、保護する政府機関の名称である。が、この機関が情報セキュリティ保護に関する基準やガイドライン等を発行していることから、しばしばこれら一連の規定類を指して呼称されているようだ。RSAカンファレンスにおいても、同様に何度か後者の意味で使われていたと記憶している。

4.所感

短い期間ではあるが、地理的にも心理的にも遠かった中東は、実際に足を運ぶことにより、以前よりはるかに身近な存在になった。威圧的にさえ感じていたアラブの正装は、親日家が多く笑顔の素敵なUAE人に接するにつれ、見かけるとむしろ親しみすら覚えるようになった。自身のパラダイムシフトぶりには、我ながら驚いた。

何よりも圧倒されたのは、政府当局によるゆるぎないイニシアチブ、そしてその財力だ。UAEは、IT推進において政府機関が積極的に旗振り役を務めており、サイバーセキュリティ施策もその例に漏れない。法整備や教育を含めた包括的な取り組みが政府主導で推進され、そこに惜しみなく国家予算が注がれている。セキュリティ教育は初等教育から導入され、サイバーセキュリティ向上週間には、スーパーの店頭やATMの起動画面にも標語が掲示される徹底ぶりだ。カンファレンス会場で出展していたいくつかのセキュリティ企業に製品やソリューションの導入先を尋ねたところ、軒並みUAE政府や政府関連機関の名が挙がった。このことからも、既に政府は国防におけるサイバーセキュリティの重要性を認識しており、相当の投資を行っていることが伺える。

財源については、原油の枯渇や世界的なエネルギーシフトによる将来への懸念はあるかもしれない。だが、UAEには発展著しいドバイもある。世界の名だたるセレブの別荘地でありリゾート地のパーム・ジュメイラや金融優遇地区のドバイ国際金融センター(DIFC)(注4)には外資が集まり、貿易・金融・観光を新たな柱に飛躍的な経済成長を遂げている。

  • 注4: 50年間法人税・所得税が非課税等の優遇措置のあるドバイの金融フリーゾーン。

国家であろうと企業であろうと、組織のセキュリティ推進は、経営層の理解と参画がカギとなる。豊富な財力を伴ったトップダウンの推進体制。セキュリティ施策の推進において、これほど「鬼に金棒」なものはない。

そんなことを感じた、アブダビでの2日間だった。
中東のセキュリティ事情について、微力ながら理解の一助になれば幸いである。

UAE人は親日家が多い(写真はボールペン)

UAE人は親日家が多い(写真はボールペン)

この記事は役に立ちましたか?

はい いいえ