増え続けるサイバー攻撃の被害

組織を狙ったサイバー攻撃が頻発しています。またか…と思ってしまうぐらい発生頻度は高く、最近では標的型メール攻撃やランサムウェアなど企業規模関係なく様々な手口を使い攻撃を仕掛けてきます。

図1のように昨年度から非常に多くの企業が被害を受けていますが、昨年度の日本年金機構の標的型攻撃被害を始め、今年に入ってからは6月には大手旅行店の被害も発生し、これらは氷山の一角に過ぎません。

警察庁が公表した2015年度のサイバー攻撃相談件数は12万件にも上り、サイバー攻撃の被害がますます深刻化しているのが分かります。(出典:「平成27年におけるサイバー空間をめぐる脅威の情勢について」警察庁)

図1:最近起きたセキュリティインシデント(一部抜粋)

このような状況を踏まえて、昨年政府より公表された「サイバーセキュリティ経営ガイドライン」。経営者や現場の担当責任者が意識すべきセキュリティ対策について記載されています。

いざという時の保険のようなセキュリティ投資を行うにも、いまだに経営層の理解を得られにくい企業がほとんどではないでしょうか。

しかし昨今の標的型攻撃の被害事例をみてみると、セキュリティ対策は企業の経営課題として取り組まなければ、多大な損失を招くことになり兼ねません。情報漏えいによる損害賠償金の発生や企業イメージのダウン、最悪の場合保有資格の喪失など、今後のビジネスへの影響は計り知れません。

攻撃者に隙をあたえる「脆弱性」

外部からの攻撃はソフトウェアなどの脆弱性を悪用したものがほとんどだと言われています。ある調査データでも、外部からの攻撃に悪用されるのは一般的なソフトウェアの脆弱性が9割以上などという数値も出ているため、サイバー攻撃対策としてパッチ管理は必要不可欠であるといえます。

定期的にメーカーなどから発表されている月例パッチ情報を見る限りでも、かなりの頻度で脆弱性が発見されているのが分かります。Windowsの更新プログラム、Adobe ReaderやAdobe Flash Playerなど、私たちが普段利用している一般的なソフトウェアの脆弱性から公表される情報をよく目にするかと思います。

さらには、発見された脆弱性を修復するための「修正パッチ」の適用も必要となるため、パッチ管理の工数は管理対象の端末分負担がかかります。PC管理ツールなどを活用することで、その端末の情報収集や台帳作成などをシステマチックに行うことはできますが、セキュリティパッチの情報はやはり管理者自らが情報収集するしかありません。しかし業務で使用しているPCにインストールされているソフトウェアのパッチ情報全てを、1つずつ手作業で確認するのは非現実的です。

また最近の標的型攻撃はウイルス対策ソフトでは検知できないものもあり、従来の脆弱性対策だけでは対応しきれないものも数多く存在します。入口をすり抜けて社内ネットワークに侵入してくるマルウェアには、脆弱性対策だけでは不十分。一体どんな対策が有効なのでしょうか?