Skip to content

セキュリティマガジン TREND PARK

「事故前提社会」に考えるべき情報防衛対策とは


 従来のセキュリティ対策をすり抜ける標的型サイバー攻撃や、内部犯による情報漏えい事件が頻発しています。どんなにセキュリティ対策を強化しても、リスクをゼロにすることは困難です。組織のセキュリティ対策には「事故前提社会」という認識が求められています。押し寄せる脅威と戦い続けるために、いま組織は何をなすべきか――。トレンドマイクロが実施したセキュリティ調査の結果をもとに、セキュリティエバンジェリストの染谷 征良がセキュリティ戦略の方向性を解説します。

情報漏えいの被害が深刻に
疑われる“実害予備軍”の存在

 組織に甚大なダメージを与えるセキュリティインシデントが多様化し、その深刻化さも深まっています。特定の組織や個人に狙いをつけて執拗に攻撃を仕掛ける標的型サイバー攻撃はもちろん、内部犯による情報漏えい被害も深刻です。

 トレンドマイクロが今年3月に実施した「組織におけるセキュリティ対策 実態調査 2014(※1)」によると、全体の66.2%がクライアント端末のウイルス感染からWeb改ざん、社内外システムへの不正ログインやなりすましメールといった何らかのセキュリティ事故を経験し、そのうち半数以上に相当する53.7%がデータ損失・漏えいやサービス停止といった実害を受けています(グラフ1)。顧客や取引先との関係悪化や賠償、訴訟、株価への影響などビジネスに大きな影響を及ぼす事態も発生しています。

  

  

グラフ1:セキュリティ事故による実害

 「一方で注目すべきは、セキュリティ事故を『把握できていない』(4.8%)、『実害はない』(41.5%)を併せた割合が半数近くにのぼることです」とトレンドマイクロのセキュリティエバンジェリストである染谷 征良は語ります。
 2014年6月には内部犯による情報漏えいとしては国内最大規模の事件が発生。数千万件の顧客情報が流出し、世間を賑わせたことは記憶に新しいところです。このケースは顧客からの指摘をきっかけに情報の流出が発覚しました。組織側が気付かないうちに、大量の個人情報が盗み出されていたのです。
 同調査では全体で17.8%が公開システムから、19.8%が社内システムからの情報漏えいを経験しているとの回答も得られました(グラフ2)。高い割合で情報漏えいが発生している現状を踏まえると、セキュリティ事故を経験しても「実害はない」と答える組織の中に、潜在的な“実害予備軍”が相当数含まれることが推察されます。

  

  

グラフ2:情報漏えいの発生比率

 「情報は私たちが考える以上に価値を持っており、その種類や規模・業種を問わず、常に攻撃者に狙われています。また故意や過失も含めて、情報漏えいを引き起こす内部犯候補は組織の中に必ず存在し、事故の発生に自主的に気付くことも難しいのが現状です。どんなにセキュリティ対策を強化しても、事故の発生をゼロにすることは困難です。これからは『事故前提社会』という認識に立ち、実害リスクをゼロに近づけていく継続的な取り組みが必要です」と染谷は指摘します。

体制整備とともに求められる
従業員へのセキュリティ教育

 被害を回避/最小化するためには、セキュリティ製品による技術的対策だけでなく、脅威の検知・分析・対処・保護のセキュリティライフサイクルを回しながら監視と制御を継続することが重要です。その役割の一つとして昨今注目されているのが、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)およびSOC(セキュリティー・オペレーション・センター)です。

 CSIRTはインシデントの発生に対して、有効な対策を実施する役割と責任を持つチーム。被害を最小限に食い止める“火消し役”として指揮命令系統をコントロールするほか、社内外への適切な情報収集・公開などの役割も担います。SOCはセキュリティ機器の稼働状況を24時間365日監視し、インシデントの発生を即座に検知します。高度に組織化されたSOCは、原因究明と対策の提案まで行います。SOCでインシデントを監視し、CSIRTがインシデント対応に当たるという位置づけです。早期に危険の予兆を発見し、検出した事象に迅速に対応する体制を整備し、適切に運用していくことで、組織としてのセキュリティレベルの向上が見込めるのです。

 ただし、CSIRT/SOCは手段であって目的ではありません。大切なことは、脅威やインシデントの予兆を早期に検出・対応し、被害の回避/最小化を図ることです。そのためには組織内の役割分担を明確にし、その役割を担う担当者が有事の際にきちんと機能できる権限や環境づくりも考える必要があるでしょう。それに加え、セキュリティリテラシーの向上を図る従業員教育も欠かせません。攻撃者の手口は日々刻々と進化しているからです。セキュリティポリシーを策定しても、それが組織内に浸透し順守されなければ、意味がありません。組織の情報価値や、権限に応じた情報の扱い方などについても啓発を図る必要があるでしょう。技術的対策とあわせて、こうした体制整備や従業員教育を実施することで、組織のセキュリティレベルは確実に向上します。

 2014年4月に発生したInternet Explorer(IE)のゼロデイ脆弱性問題を例に考えてみましょう。
 影響範囲も広く、この脆弱性を利用した標的型サイバー攻撃も確認されたと発表されたことから、テレビや新聞などで大きく取り上げられました。なかにはIEの利用やネットへのアクセスを制限した組織もあります。従業員へのセキュリティパッチ適用の徹底に加え、経営陣に対してリスクの説明が求められるなど“寝耳に水”の出来事に、対策に奔走したセキュリティ担当者も少なくないでしょう。

 しかし、CSIRTといった体制が整備されていれば、現状の把握、取り組むべき対策と周知、経営層や外部への状況説明などを迅速かつ効率的に行えます。万が一、ゼロデイ攻撃が発生しても、SOCのような監視部隊がいれば、その脅威を素早く検知/対応できます。機敏に効果的な対策を行えば、それだけリスクに晒される危険が少なくなります。
 「被害を最小限に抑えるためにも、技術的な対策とともに、脅威、インシデントに対応できる組織的体制を整備し、セキュリティリテラシー教育にも力を注ぐことが大切なのです」と染谷は訴えます。

  
      
  • 1
  •   
  • 2
  •   
  • Next
  •   

記事公開日 : 2015.01.28

ページの先頭へ