top of page

【CSIJコラム20(2024,6,3)】

「サイバー攻撃対策の基礎を固めることの重要性」

 

CSIJ評価分科会
広瀬 真一

 1年ほど前、新型コロナが「2類相当」から季節性インフルエンザと同じ「5類」に引き下げられました。人の移動はコロナ以前にもまして活発になっていますが、サイバー攻撃脅威にはどのような変化がみられるでしょうか?

 

 実は、サイバー攻撃脅威の傾向に大きな変動はないのです。

 IPAが毎年発表する「情報セキュリティ10大脅威(組織編)」をみると、最近数年において上位にランキングされているサイバー攻撃脅威は、以下に掲げる通りです。

 1位 ランサムウェアによる被害(2016年以降9年連続9回目)

 2位 サプライチェーンの弱点を悪用した攻撃(2016年以降6年連続6回目)

 4位 標的型攻撃による機密情報の窃取(2016年以降9年連続9回目) 

  出典)独立行政法人 情報処理推進機構

  https://www.ipa.go.jp/security/10threats/10threats2024.html

  (注)「3位 内部不正による情報漏えい等の被害」は、本稿ではサイバー攻撃に含めないものとしています。

 なぜ、これらの脅威が数年にわたり上位を占めるのでしょう?

 攻撃者の立場でいえば、低コストで高報酬を得ることが一定の確度で期待できるからだと考えられます。

 ランサムウェア攻撃や標的型攻撃は、低コストでターゲット組織への侵入と攻撃を試みる攻撃です。攻撃ターゲットへの侵入の入口となる脆弱性は、管理者が気づかないところに残存していることが少なくありません。例えば、既知の脆弱性が放置されたVPN機器、強度の弱い認証情報が設定されたRDPなどです。攻撃者は、放置された脆弱性があるかどうかをインターネット上で、低コストでスキャンし、攻撃します。従業員のセキュリティリテラシーの低さを狙って、本物と見分けのつかないメールを攻撃対象に送り付け、添付ファイルや記載のリンク先にマルウェアを仕込んで攻撃するケースもあります。ランサムウェア攻撃の場合、侵入に成功すれば、情報漏洩にとどまらずシステム停止等さえも仕掛けることができ、身代金を引き出せる可能性があります。

 サプライチェーン攻撃も同様に低コストで高報酬を期待できる攻撃です。攻撃ターゲットとする組織への侵入が困難な場合であっても、その子会社や取引先は侵入が容易であることが少なくありません。中小規模の企業は基礎的なセキュリティ対策が徹底されていない傾向があります。子会社や取引先への侵入に成功すれば、攻撃ターゲットとする組織に対して多様な攻撃を仕掛けることができます。成功すれば、高報酬を得ることができます。

 ランサムウェア攻撃、サプライチェーン攻撃、標的型攻撃は、いずれも低コストで、高報酬を得ることが期待できる攻撃です。

 サイバー攻撃は一種のビジネスとみるべきでしょう。

 金銭目的であれ、政治的な目的であれ、目的とする報酬を最小のコストで確実に得られるかどうかを攻撃者は最も重視します。強固な対策で守られている組織に侵入するために多額のコストをかけるよりは、低コストで確実に侵入できる組織を狙って攻撃を仕掛けることを、重視するということです。攻撃者にとっては、既知の脆弱性を放置している企業、言い換えれば、基礎的なセキュリティ対策が徹底できない組織こそが、最も魅力的な攻撃ターゲットなのです。

 守る側、すなわち、セキュリティ対策を行う側からいえば、攻撃者に狙われやすい既知の脆弱性を放置しないこと、つまり、基礎となるセキュリティ対策を徹底することが重要ということになります。このような考え方に基づくセキュリティ対策は、感染症の予防のための衛生活動(ハイジーン)になぞらえて「サイバーハイジーン」ともよばれています。

 サイバーハイジーンにしっかり取り組むことは、企業価値を棄損することなく事業を継続するために必須の活動ともいえます。このため、金融庁の有価証券報告書のサステナビリティに関する考え方及び取組の開示記述の好事例集にもサイバーハイジーンに対する取り組みが記載されている事例が紹介されるようになっています。

 【参考】:金融庁「記述情報の開示の好事例集2023」の公表」

      https://www.fsa.go.jp/news/r5/singi/20240308/01.pdf

 コロナ感染症の脅威は和らいでいますが、サイバー攻撃の脅威は高まる一方です。攻撃ビジネスは成長を続けており、既知の脆弱性を狙った攻撃による被害を防止することの重要性は、以前にも増して重要となっています。

 既知の脆弱性を残さないようにするための基礎的な対策を行うためには、自社の基礎的なセキュリティ対策の徹底状況を把握することが必須となります。

CSIJではそのための共通フレームワークの整備を進めています。現在提供しているフレームワークのテーマは、「クラウド」、「OT」、「セキュリティ体制」の3種類です。テーマを切り分けることで、基礎的なセキュリティ対策の管理状況と課題をくっきりと浮かび上がらせることができるだけでなく、対策強化を進めやすくしています。基礎的なセキュリティ対策の標準をめざして、今後もテーマのラインアップを増やしていく予定です。無償で利用できるようにしておりますのでぜひご活用ください。

 【参考】:CSIJ活動内容 共通対策評価フレームワークの策定と提供

      https://www.csi-japan.org/active

bottom of page