2023/11/22サイバー攻撃

情報セキュリティ10大脅威への対策

twitter

Linkedin

情報セキュリティ10大脅威への対策

CISO事業部 武田 美鈴

要旨

本記事では、独立行政法人情報処理推進機構(以下、IPA)が決定した「情報セキュリティ10大脅威 2023」(図1)をもとに、情報セキュリティに潜む脅威とその脅威に対する対策を言及します。「情報セキュリティ10大脅威 2023」は、IPA2022年に発生したセキュリティ事故や攻撃から社会的に影響が大きかったとされる脅威を選定し、情報セキュリティ分野の専門家や研究者によって決定されたものです。「個人」と「組織」の2つの視点から10大脅威が決定されていますが、本記事では「組織」向け10大脅威のうちの4つとその対策について考えていきます。また、言及している4つのセキュリティ脅威と対策だけでなく、幅広く対応している弊社のサービスも併せて紹介します。

1. 情報セキュリティ 10 大脅威 2023 「個人」および「組織」向けの脅威の順位

 

ランサムウェアによる被害

「ランサムウェア」とは、悪意を持ったソフトウェアであるマルウェアの一種です。端末やサーバが感染すると、端末が操作不能な状態になりデータの暗号化や機密情報の窃取が行われ、復旧や窃取した情報の公開と引き換えに金銭(身代金、英語で「Ransome」(ランサム))を要求するものを指します。感染経路は多種多様で、メールに添付されたファイルやリンク、脆弱性利用によって改ざんされたウェブサイトの閲覧や公開サーバへの不正アクセス等があります。ランサムウェアへの対策において、まずはメールの添付ファイル開封やリンク、URLのクリックを容易に行わず、サーバやネットワークに適切なセキュリティ対策を行うことが重要です。

サプライチェーンの弱点を悪用した攻撃

サプライチェーンとは、商品の企画・開発から販売までの一連のプロセスと関連のある組織を指します。また、ソフトウェア開発のライフサイクルに関連するモノ(コードやライブラリ等)や人(開発者等)全てを指す「ソフトウェアサプライチェーン」も近年では攻撃の対象となっています。このプロセスや組織それぞれの中には、セキュリティ対策が十分に行われていない部分もあり、これが最初の標的となり踏み台として狙われ、本命の顧客や関連組織が攻撃されてしまいます。様々な組織やプロセスが組み合わさって1つのサプライチェーンとなるため、セキュリティ対策レベルのばらつきが弱点になってしまいます。このサプライチェーンの弱点を悪用した攻撃への対策としては、情報管理規則の徹底や納品物に含まれるソフトウェアの脆弱性把握があります。また、米国を中心に普及・導入が進んでいるSBOMSoftware Bills of Material、ソフトウェア成分表)を使用し、どこで作られたソフトウェアのどの部分に脆弱性が存在するかを把握、対応することもこの攻撃への対策となります。

脆弱性対策情報の公開に伴う悪用増加

脆弱性対策情報は、ソフトウェアやハードウェア等の利用者に脆弱性の脅威や対策方法を呼びかけるために公開されています。しかし、同時にこの公開されている情報を悪用し脆弱性対策未実施のソフトウェアを狙った攻撃が増加しています。近年では攻撃コードが流出し攻撃が本格化するまでの時間が短くなっていることから、利用者側の早急な対応が求められています。この公開情報の悪用した攻撃に対する対策は、継続的な脆弱性情報の収集・対応、攻撃時の対応手順の策定(パッチ適応や一時的なサーバの停止等)や製品に組み込まれているソフトウェアの把握・管理の徹底があります。新しい脆弱性情報が公開されれば、新しい攻撃も生まれる、といった状態であるため、迅速な対策と脆弱性対応が必要になります。

 犯罪のビジネス化(アンダーグラウンドサービス)

「犯罪のビジネス化」とは、攻撃を目的としたサービスやツール、個人情報等がアンダーグラウンド(通常のブラウザからは検索が困難なダークウェブ等)で取引されているということを指します。商用化されているサービスやツールの中には、前述したランサムウェアをサービスとして販売するビジネスモデルや、攻撃代行サービスなどがあります。犯罪がビジネス化することによって、攻撃に対する知識が浅い犯罪者でも容易に攻撃を行うことが可能になり、被害拡大の恐れがあります。これに対するセキュリティ対策の中でも、組織としてインシデント対応体制の整備を行い、端末利用者としては情報リテラシーの向上や多要素認証等の使用、ログイン履歴を確認し被害の早期発見等を行うことで、攻撃回避と被害抑制が可能になります。

 以上の4つに限らず、継続的なセキュリティ対策の実施レベルの維持が様々な攻撃への対策としてとても重要です。中でも、キーワードとして多く出てくるのが脆弱性対策です。脆弱性は攻撃の入口として最も悪用されやすく、すべてを把握し対応するには費用対効果が低いと認識されてしまいがちですが、脆弱性の優先順位をつけて自社にとって重要度(予想される攻撃がされた場合の被害規模)の高いものから対応を実施していくことが、結果としてセキュリティ対策やセキュリティレベルの維持・向上につながります。

弊社では、セキュリティ対策の基盤となるセキュリティ教育のサービスを提供しています。従業員等ステークホルダーへの正しいセキュリティ教育を行いリテラシーを向上させることが重要な対策であり、被害の人的要因を低減し結果としてリスクを格段に削減することが可能です。しかし、セキュリティ教育をどんなに行っていても被害が生じてしまうこともあります。その場合、犯罪のビジネス化への対策にも挙がっていたインシデント発生を前提とした組織としての迅速な対応が重要であり、弊社ではSOC(セキュリティ・オペレーション・センター)を通して、インシデント発生時の対応体制を提供しています。中小企業では自前で保持することが難しいとされていますが、弊社のサービスをご利用いただくことで迅速なインシデント対応が可能になります。また、ランサムウェア被害を防止するためのフィルタリングソリューション(不審なウェブサイトへのアクセスを制限するi-Filter、電子メールの送受信を制御するm-Filter)も併せて提供しています。

また、弊社ではセキュリティにおけるコンサルティングやソリューションの導入支援を全てワンストップでサポートします。競合他社では、セキュリティコンサルティングを通した顧客の問題提起や解決策の提案、または問題解決のためのソリューション導入がワンストップではなく複数社にまたがる場合がほとんどです。しかし、弊社の場合はパートナーシップ等ソリューションメーカーとの連携が強く、グローバル案件にも対応可能なセキュリティコンサルタントが在籍しているため、上流から下流すべてのプロセスを弊社のみで行うことが可能です。よってコストを削減し複数社にまたがることによって起こりうる認識齟齬等の煩わしさを軽減します。

昨今組織が保有するシステムがいつ攻撃されるかわからない状態になる中で、従業員のリテラシー向上やインシデント発生を前提としたセキュリティ対策の必要性はさらに高くなります。また、対策以外にもセキュリティ規格の改定や環境の変化への対応も同時に必要とされるため、継続的な分析と対応が重要です。上流から下流すべてのプロセスをワンストップで行う弊社ではコストを抑えると同時に様々なセキュリティリスクを低減し、インシデントが発生した場合にも速やかに対処できる体制の提供が可能となります。

 【引用】

  • IPA 独立行政法人 情報処理推進機構. (2023, January 25). 情報セキュリティ10大脅威 2023: 情報セキュリティ. 情報セキュリティ10大脅威 https://www.ipa.go.jp/security/10threats/10threats2023.html
  • IPA 独立行政法人 情報処理推進機構 セキュリティセンター. (2023, March). 情報セキュリティ 10 大脅威 https://www.ipa.go.jp/security/10threats/ps6vr70000009r2f-att/kaisetsu_2023.pdf
  • NTTPCコミュニケーションズ. (2021, April 22). ランサムウェアとは?対策・対処方法とおすすめツールを紹介. ICT Digital Column. https://www.nttpc.co.jp/column/security/ransomware.html

 【プロフィール】

武田 美鈴(たけだ みすず)

2022年4月~ デジタルアーツコンサルティング
4年間の留学経験を活かし、世界規模のSIerをクライアントとしたグローバル案件でソフトウェアサプライチェーンセキュリティ等のサービス企画・推進や、セキュリティビジネスの領域拡大とグローバル展開に向けたベンダーとの新規パートナーシップ締結に係る支援を行っている。挑戦を恐れず顧客が求めていることを一番に考え、チームの一員として成果を上げることを目標にクライアントが求めている以上を提供できるよう努めている。

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。DACにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

twitter

Linkedin

コラム一覧に戻る