サイバーセキュリティ最新動向 攻撃者に対して経営者はどう立ち向かうのか

2020.6.11

サイバー攻撃は、コンピューターを攻撃し、企業活動を混乱させたり、麻痺に陥れたりするだけではありません。金銭的損害も拡大傾向を見せています。大規模攻撃を受けて、対策の落ち度が指摘された企業は、信用を失い、苦境に立たされることが各国の例でも見られており、最新のサイバーセキュリティ対策の整備と維持は今や重要な経営課題です。

本記事は、最新の動向と攻撃に対して経営者が施しておくべき対策とそのポイントについて解説、技術開発の動きに言及し、対策の一助にしていただくことをねらいとしています。

サイバーセキュリティの現状

2020年3月に発表された「IPA情報セキュリティ10大脅威2020」の組織編によれば、企業を含む組織に対するセキュリティ上の脅威の1位として標的型攻撃による情報の漏えい、2位に内部不正による情報漏えい、3位にビジネスメール詐欺による金銭被害が並んでいます。

その他、10位までの脅威にはインターネットサービスからの個人情報の窃取、ランサムウェアの被害など、情報の窃取・金銭の詐取などが含まれており、パートナー企業や顧客などの第三者に二次被害が拡大する可能性のある脅威も挙げられています。

従業員がインターネットで調べ物をしたり、経理部員が送金・残高確認のためインターネットバンキングを利用したりする際など、日常的にどの企業においてもセキュリティリスクは皆無であるとはいえない状況です。

さらに、これらの攻撃方法には無数のパターンがあると考えられ、予防・検知をむずかしくしています。

サイバーセキュリティは経営問題

ネットバンキングのサイバー詐欺における企業の多額の被害例や、企業サイトからの個人情報漏えいの報道も相次ぎ、企業の防衛策も近時の社会的関心となっています。

経済産業省も、経営者向けにサイバーセキュリティに対する企業の取り組み方を平易に解説する「サイバーセキュリティ経営ガイドライン」(Ver 2.0)を公表しており、そのなかで、経営者の認識すべき3原則は次のとおりとしています。

  1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

つまり、サイバーリスクのリスク・マネジメントについて、経営陣が十分な手を打たないと、被害を受ける可能性が高くなるということです。

特に、自社の機器・セキュリティ体制の不備のために、自社のコンピューターが攻撃者に乗っ取られて利用されるなどして第三者に対する被害を拡大させてしまったような場合は、社会的な信用を失墜し、取引停止に追い込まれ、最悪のケースでは倒産といった結末を迎えてもおかしくはありません。

サイバー保険に加入していても社会的な信用を回復できるわけではなく、補償の対象範囲も一定の範囲に限られているので、すべての事故がカバー可能であるとは限りません。重要なことは、事故を未然に防ぐ取り組みです。

企業がとるべき具体的対策

サイバーセキュリティ対策には、技術的・人的・組織的それぞれのレベルで数多くの対策がありますが、これさえ実施すれば、100%正解、というものはありません。実際、セキュリティベンダーの開発者は、攻撃者が新たに繰り出した攻撃に対して、新しい防御策を生み出し、攻撃者がさらに新しい攻撃を加えてくる、という競争の中で開発を行っていますので、仮に有効な対策を行っていても、時の経過により、対策を破られる可能性も高いのです。

ただし、現在考えられる最新の対策をしておくことは、過失を認定されにくくなる、他の人為ミスなどの要因で過失があるとされても、技術的対策が最新のものであれば、事故に対する企業の過失の寄与度が下がることにつながるでしょう。

技術的対策は、直接サイバー攻撃に対してアプローチするという意味で特に重要となりますが、最新の対策であっても一つだけでは十分といえず、いくつもの対策を組み合わせて施しておくことが求められています。具体的には、サイバー攻撃はシナリオに沿って行われるので、技術的対策では、攻撃全体の動きを観察したうえで、次のように各段階に応じたものを施しておくことが必要です。

徹底したセキュリティ更新プログラムの適用

セキュリティ対策ソフトウェアは、過去に有った攻撃のパターンを元にして攻撃を検知します。これに対して、攻撃者側は日々新たな手法を考えており、ソフトウェアベンダーも、日々の攻撃に対応してパターンを追加しています。最新のものにアップデートしておくことは、少なくとも過去の攻撃パターンを網羅していることになりますので、プログラムを更新し、最新のものにしておくことは必須です。

初期パスワードの変更必須

不正アクセスを防ぐためには、初期パスワードを変えておくことも不可欠です。従業員が利用するPCのログインパスワード・業務システムのパスワードなどにおける初期パスワードの利用禁止については、規則・マニュアル等に文書化している企業も多いでしょうが、パスワード発行ツールの利用・定期点検等により、徹底することが必要です。

無許可機器・無許可メディアの接続禁止

無許可機器・無許可メディアからは、マルウェアの感染・情報の窃取が問題になります。

許可なく機器・メディアの接続を禁止する旨を規則に定めるだけではなく、機器の監視ツールも活用し、無許可機器やメディアの接続があったら即検知できるような仕組みを作っておくことで、より徹底した対応を行いましょう。

認証プロキシの設置

プロキシとは、社内ネットワークからインターネット接続を行う際の中継サーバです。ユーザ名・パスワードを要求し、ユーザを制限する「認証プロキシ」を設置することにより、信頼できるユーザのみをインターネットに接続させることができます。

ログが残り、万が一のネットワークの不正利用がトレース可能になることや、マルウェアなどが不正に社内ネットワークに侵入した際の通信を防ぐなどの効果もあります。

マルウェア検知対策

マルウェアは「小さなプログラム」であり、実行されると、システムや通信に障害をもたらし、不正な操作を実行するため、早めに検知して実行させない対策が必要です。タイプの違うものがあり、日々その種類は増えていると考えられます。さらに、検知法の裏をかく攻撃者も後を絶たないため、検知の仕方も複数のタイプを用いてできるだけ検知が可能であるようにする必要があります。

  • シグネチャー型
    攻撃のパターンを「シグネチャー」と呼んで、シグネチャーとの突合でマルウェアを検知します。
  • レピュテーション型
    通信経路において、通信元であるIPアドレスのレピュテーション=評判をDB照合により評価し、IPアドレスの評判が悪い時には通信を拒否することにより、マルウェアの不正な侵入を防ぐ方法です。
  • 振る舞い検知型
    • ①サンドボックス型
      攻撃されても差支えの無い環境に検査対象のプログラムを隔離し、実行させることにより、不正なプログラムであることを突き止める仕組みです。シグネチャー型やレピュテーション型が依拠するような過去のデータに頼らなくても、不正なプログラムを突き止められる仕組みであり、新しいマルウェアにも対応が可能です。また、実行すると被害をもたらす標的型メール攻撃にも有効です。
    • ②ネットワーク振る舞い検知型
      マルウェアの中には、サンドボックス内では、攻撃を開始しないものなど、サンドボックスで検知しにくいタイプのものがあります。そこで、ネットワーク実環境内での振る舞いを監視することによりマルウェアを検知する仕組みが開発されています。過去のデータに頼らず、不正なプログラムを検知できるメリットは①と同じです。
  • 機械学習型
    人工知能を使って、過去の攻撃パターン等のデータを学習、さらに予測までできるようになるため、未知の攻撃に有効です。

セキュリティログの集約と相関分析

セキュリティログを採ることは、マルウェアおよびその侵入経路の特定や、万が一企業内ネットワークに侵入した際の駆除に有効です。ログはPC・サーバ・通信と採取できるところが複数ありますが、これらのログの相関関係の正確な分析には外部専門家の起用も考えたいところです。

インターネット分離とメール無害化

万が一攻撃があっても、インターネット通信との分離ができれば、情報の流失・悪用が食い止められるので、被害が最小限で済みます。また、メールの無害化は標的型メール攻撃に有効です。

インターネット通信との分離には、仮想デスクトップを使って、PC上では仮想デスクトップの画面のみを表示させ、PCを直接インターネット通信に接続しないこと、加えて何本かの社内LANに通信系統を分けておくことなどにより、マルウェアが広がらないようにするなどの対策が有効です。

また、ホワイトリストに登録した通信以外は通信を拒否するという、通信先の制限も有効です。

メールの無害化は、添付ファイルをいったん削除し、検疫後利用可能にする方法や、HTMLタグの内容をテキストにして、実行可能なプログラムの形式にはしないこと、無害化できない内容を転送禁止にすることなどの方法によって行います。

サイバーセキュリティにはトップダウンで十全な対策を

サイバーセキュリティ対策は、攻撃者と企業の打ち手・セキュリティベンダーの開発競争とのせめぎあいにより、新しい対策が施されてきた歴史があります。こうしたせめぎあいの歴史は今後も続くことが予想されます。

したがって、サイバーセキュリティ対策は、上記にご紹介したとおり、いくつもの対策を重ねて使うことが必要となります。

一方、サイバーセキュリティは企業の社会的・法的責任を伴う問題であり、かつ、ある程度のまとまった投資や施策の優先順位づけにおける経営判断を必要とすることから、重要な経営問題のひとつといえます。このことを改めて認識し、企業トップが本腰を入れることによって、本記事でご紹介したような対策をとっていくことをおすすめいたします。

SHARE