3 分 2019.03.28
owl power pole industrial landscape

サイバー攻撃への防御を固めるには

執筆者

Paul van Kessel

Former EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

3 分 2019.03.28

サイバーセキュリティ脅威の範囲の広さと複雑さが組織の大きな悩みに

官民の組織は引き続きサイバーセキュリティを最優先し、脆弱性の発見と解決に関して大きな進展を見ましたが、一方で脅威の範囲の広さと複雑さにますます悩まされています。

私たちが実施した「Global Information Security Survey(グローバル情報セキュリティサーベイ)」は、今、官民の組織が直面する最も重大なサイバーセキュリティ問題を調査したものです。このサーベイでは、全世界からご参加いただいた20以上のセクターの方々約1,200名の回答を分析しました。私たちは、そこで得られた知見と、サイバーセキュリティ・プログラムの改善に関して全世界でクライアントの皆さまをサポートしてきた幅広い経験をもとに所見と結論を作成しました。

収束する世界で失われるサイバーレジリエンス

今日のようなオンラインの世界では、あらゆる組織がデジタル化されており、インターネット時代の職場環境、テクノロジー、プロセスのもとで業務を行っています。さらに、モノのインターネット(IoT)がもたらした、全てがつながり、収束する世界においてデジタル環境は広大で、組織が所有・使用する全ての資産がネットワークの中のもう一つのノードとして機能します。官民の組織にとって、それぞれが活動するデジタル環境のマッピングがこれほど難しかったことはいまだかつてありません。

サイバー攻撃者はカムフラージュが上手:攻撃者をあぶり出すためには、脅威が周囲の環境の色に同化していても発見できるようなサイバーセキュリティ防御策が必要

サイバー攻撃者はこの環境の中で自由に動き回ります。サイバー攻撃は無差別の場合もあれば、標的を絞り込んでいる場合もあります。サイバー攻撃者はカムフラージュが上手:攻撃者をあぶり出すためには、脅威が周囲の環境の色に同化していても発見できるようなサイバーセキュリティ防御策が必要です。

組織がこうした状況に対処するためには、次のようなさまざまなカテゴリーの脅威の中でそれぞれのレジリエンスを考えなければなりません。

  • 一般的な攻撃:これは、知識の浅い攻撃者でも実行できる攻撃です。既知の脆弱性を突き、自由に入手できるハッキングツールを利用します。成功させるために専門知識はほとんどいりません。
  • 高度な攻撃:高度な攻撃は、一般に深い知識を持った攻撃者が、複雑な、場合によっては未知の(ゼロデイ)脆弱性を突き、高度なツールとメソドロジーを使って実行します。
  • 新型の攻撃:これらの攻撃は、最先端のテクノロジーを利用し、新しい攻撃ベクターと脆弱性を集中的に狙います。これを実行するのは一般に、脆弱性を発見し、利用するための研究を自分自身で行う、高度な知識を持つ攻撃者です。

目的に合った防御策を構築

官民の組織は、精巧さのレベルもさまざまな攻撃者から次々と攻撃を受ける傾向にありますが、これらの攻撃は応戦が可能であり、応戦しなければなりません。対応は多層型でなければなりません。最もありふれた攻撃を撃退することに重点を置くと同時に、高度な攻撃と新型の攻撃にも対処できるように、よりきめ細かなアプローチを導入します。これらの攻撃の中には組織の防御を破って侵入してくるものが必ずあります。したがって、それらを短時間で検出する方法と有効な対処方法に重点を置く必要があります。

  • 一般的な攻撃を防ぐということは、最もよくあるタイプの攻撃に対して扉を閉じることを意味します。このレベルの脅威では、ポイントソリューションがサイバーセキュリティ・レジリエンスの主たる要素です。ツールには、アンチウイルスソフト、侵入検知システム(IDS)と侵入防止システム(IPS)、恒常的パッチ管、攻理撃者がたとえデータにアクセスしても、データの完全性を守る暗号化技術などがあります。社員・職員の意識向上もまた、重要な最前線の防御として、組織全体でサイバーセキュリティ意識とパスワードに関する規律を形成します。
  • 高度な攻撃に対する防御は、攻撃者の侵入があり得ることを認めながら、侵入をできる限り速やかに発見することを意味します。組織のサイバー脅威防御能力の柱となるセキュリティ・オペレーション・センター(SOC)は優れた出発点として、あらゆるサイバーセキュリティ活動のための、体系的で調整の行き届いた集中型ハブを提供します。SOCは、受動的なサイバーセキュリティ活動から能動的防御へと次第に移行しつつあります。それは、隠れた攻撃者を発見して排除し、組織の最も重要なアセットを標的にした、起こり得る脅威のシナリオを打ち破ることを目標として慎重に計画され、継続的に実行される活動です。
  • 脅威の中には未知の性質を持つものがあります。新型の攻撃への防御は、その点を認識することを意味します。起こり得る未来の脅威の性質を想像できる、進取の機運に富んだ組織は、いざその時が到来したときに素早く動けるように、サイバーセキュリティ対策の中に敏しょう性を構築することができます。経営手法のどだいとして優れたガバナンスプロセスを持つ組織は、セキュリティ・バイ・デザイン(情報セキュリティを企画・設計段階から確保するための方策)を実践することができます。すなわち、想定外のリスクと新型の危険に対応できるようなシステムとプロセスを構築するということです。

サイバー侵害時対応計画を立てる

組織は、攻撃を受け、防御をまんまと破られるのは時間の問題だという前提のもとで行動したほうが賢明です。侵入を発見したときに自動的に発動されるサイバー侵害時対応計画(CBRP)を立てることは、組織がサイバー攻撃の影響を最小限に抑える最大の機会です。ただし、CBRPは組織全体を網羅しなければなりません。また、組織の業務上の対応と戦略的対応を管理できるだけの十分な経験と知識を持つ人が計画を主導しなければなりません。

サマリー

官民の組織は、精巧さのレベルもさまざまな攻撃者から次々と攻撃を受ける傾向にありますが、これらの攻撃は応戦が可能であり、応戦しなければなりません。対応は多層型でなければなりません。最もありふれた攻撃を撃退することに重点を置くと同時に、高度な攻撃と新型の攻撃にも対処できるように、よりきめ細かなアプローチを導入します。

この記事について

執筆者

Paul van Kessel

Former EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.