知っておくべき企業が取り組む
新しいセキュリティマネジメント
近年、サイバー攻撃が日常化するのに伴い、サイバー・セキュリティは情報システム部門だけの問題ではなく、経営におけるリスク管理問題として、企業が負う責任が大きくなってきています。
その背景に存在するのは、防御側が追随できないほどの速さで攻撃側が進化している、という事実です。今後は、サイバー攻撃の発生自体を完全に防御するのは難しいものという前提に立った、より本格的で実効的な対応が必要とされているといえるでしょう。
以上のような環境を理解して、企業では常に最新のセキュリティリスクの発生に備えておかなければなりません。そのためには、ネットワークや各種システムを常時モニタリングして、セキュリティリスクの兆候がないかどうかを監視する必要があります。また、サイバー攻撃発生時の対応手順をまとめた詳細なインシデント・レスポンス計画を策定し、あらかじめ内容を精査することも不可欠です。この点については、JPCERT/CCのサイトなどに詳しく書かれていますのでそちらを参照してください。 ただしその計画をしっかり作成したとしても、気の遠くなるほどのネットワーク・トラフィックの内容をすべて読み取るのは、管理者の負荷が甚大です。 そのため、重要なデータの所在を明確にし、アクセス権の制限や重要度に応じた秘密指定を的確に行うほうが効果的といわれるようになりました。過去10年を振り返って見ても、さまざまな組織でネットワーク上にあるすべてのものを常に守ろうとしていました。つまり、すべてを守りましょう、いつも守りましょう、というようなポイントレスな方向性で、結果としてフラットなネットワークを作成していました。これは、すべてのものがひとつのバスケットの中に並べられて入っている状態です。そのため、一度攻撃者に侵入されてしまうと、すべてのものが盗まれてしまうということになります。これを避けるためには、10個の卵があったら10個のバスケットを用意して、攻撃者がすべて盗むためにはそれぞれ別個に侵入しなければならないようにする、セグメンテーションを適用します。また、特に重要な卵は一番取りにくいところに置かなければなりません。つまり、セグメンテーションで効果的にリスク分散をして、侵害をなるべく困難に、かつ侵害された場合の影響を最小限に減らす必要があります。
この記事に関連するおすすめの製品
サイバー攻撃対策ソリューション
資料ダウンロード
ダウンロード2016年1月の300社を対象としたセキュリティ侵害の報告では、企業はスピアフィッシングをほとんど検知できていないといわれています。攻撃者は、スピアフィッシングでひとりのユーザーのアカウントを獲得できれば、そこからどんどん侵入して意図するデータを盗み出しています。 このときの課題とは、ほとんどがユーザーIDとパスワードを使う単一要素認証であるということです。しかし、これを二要素認証に替えれば、攻撃者側にとってこれを破ることは簡単ではなくなります。そのうえ、この二要素認証は侵入された場合のコストに対して非常に安い投資なので、取り入れるべき対策といえるでしょう。
ペネトレーションテストからレッドチームへ
過去においては、システムの脆弱性を見つけるために、専門家に依頼してペネトレーションテスト、というのを行うのが一般的でした。ホワイト・ハッカーと呼ばれる、システムを熟知しただれかにネットワークに侵入するよう依頼し、セキュリティホールの存在を見つけてもらっていました。これで脆弱性が見つけられなければ、あとはアンチウイルスソフトウェアも入っているためそこで安心していたのです。しかし、ここ数年は、こうした措置をしのぐ高度な知識と技術を持った、組織的なサイバー犯罪が、新たな手法で暗躍しだしました。 そのため、単にハッキングをかけてネットワーク侵入を試みるだけでは十分ではなくなりました。そこで次に登場したのが、レッドチームという方法です。これは、ブルーチームは味方、レッドチームは敵、というアメリカの考え方から名づけられたものです。レッドチーム、つまり敵として行動すべきチームは、ITシステムについて高度な知識を持ったメンバーで構成します。そして、攻撃者の意図を介して自分たちなりに方法を考え、データ搾取をシミュレーションしてもらいます。例えば、ネットワークに侵入して役員のEメールを盗むといった課題を与え、それをレッドチームに実行してもらうことでシステムの堅固度を検証します。また、レッドチームは世界のセキュリティ事故について常にアンテナを張り、たゆみなく学習しつづけて高度な検証能力を保持するようにします。 重要なことは、システムが今侵害されているかどうかを知ることです。過去のデータでは、侵害が起きてからそれに気づくのに数カ月、数年かかったケースがたくさん見られます。そのため、新たな対策のトレンドとして、エンドポイント診断をできるだけ高い頻度で行うことが進められています。
最悪の事態に備えてベストなシナリオを
ここまで、セキュリティ事故を未然に防ぐための手段を説明してきましたが、万が一、セキュリティ事故が起こってしまった場合の対応方法を考えておくことも重要です。特に近年セキュリティ事故が起こったときの対応として、企業にとって重大な問題となるのが、どのように開示するかです。メディアがセキュリティ事故の開示を先行してしまうと、対策を協議する時間的余裕がない場合もあるので、先行的にセキュリティ事故を開示する企業が増えています。
まとめ
ますます高度化・組織化するサイバー攻撃に対抗するには、会社がITの問題とだけとらえず、全社的リスク管理の問題として対策に本腰を入れる必要があります。最近の攻撃を分析・検証するなかで、セグメンテーション、二要素認証、レッドチーム、エンドポイント診断などは、即効が期待できる注目すべき対策です。さらに、万が一セキュリティ事故が起こってしまった場合に備えて、開示のタイミングや方法について、ベストなシナリオを用意しておくことも重要となります。
サイバー攻撃対策ソリューション
従来のセキュリティ対策では防ぎきることができない、最新のサイバー攻撃に有効な対策を複合的に組み合わた最適なソリューションを提供します。
サイバー攻撃から企業を守る「ホワイトハッカー」とは?仕事内容や役割を徹底解説
