脅威の歴史に見る5つのパターン

NTTデータ シニアエキスパートの大谷尚通氏

「ジャーナルITサミット - 2011 Webセキュリティセミナー」の基調講演には、NTTデータのシニアエキスパートで、日本ネットワークセキュリティ協会の一員でもある大谷尚通氏が登壇。「Webシステムのセキュリティリスクの推定と対策投資の考え方」と題するセッションを務めた。

氏は冒頭、今年春に発生したソニーへの不正アクセス事件に触れ、約7700万人の会員情報が漏えいしたというこの事件の損害額を約140億円+αと試算した。その金額の根拠としては、個人情報の不正利用による損失補償の保険、カスタマーサポート、セキュリティ強化、法務・調査関連、売上減などといった要因を列挙。そして、「+α」の内訳には、カナダやアメリカ・アラバマ州の利用者が起こしている集団訴訟にまつわる費用が含まれているという。

さらに大谷氏は、「売上減に関する金額については、クレジットカードの不正利用が起きなかった場合を想定しており、今後の展開によっては予想金額を上回る恐れもある」との見解を示した。

続いて同氏は、これまでの不正侵入・情報漏えいのパターンを世代を追って解説。まず、第1世代と同氏が呼ぶものは、Webサーバやアプリケーションサーバの脆弱性やSQLインジェクション、DoS/DDos攻撃などのようなインターネットに公開されている入り口への攻撃を指す。これが第2世代になると、Telnetを介したサーバへの不正侵入などのように、サーバのメンテナンス用に用意された言わば「インターネットの裏口」への攻撃となる。そして第3世代では、マルウェア感染によるBot化に代表される標的型(スピア)攻撃に、続く第4世代は、昨年猛威をふるった「Stuxnet」のように、ファクトリーオートメーションなどの企業にとってきわめてミッションクリティカルなシステムに感染するマルウェアによる「APT(Advanced Persistent Threat)攻撃」と呼ばれるものへと変わってくる。

内部からの脅威に注目を

そして大谷氏が強調したのが、第5世代にあたる不正侵入・情報漏えいパターンの脅威だ。それは、企業の従業員が起こす内部からの脅威であり、業務情報の入ったUSBメモリやノートPC、携帯電話などの紛失や盗難、悪意を持った社内システムの不正利用による機密情報の漏えい、電子メールやFAXの誤送信などが含まれる。

「技術的な脅威にどうしても目が行きがちで、こうした人的な事柄に起因する脅威に対してはあまり重要視していない企業が多いのではないかと思う。だが、実はそのリスクは非常に大きいということをよく認識してほしい」と大谷氏は訴える。

これらの5つの脅威を踏まえて同氏は、「情報セキュリティ担当者は、さまざまな種類の攻撃パターンを想定して、自分の会社はどこが弱いのかを十分に把握してうえで対策を立てなければならない。最もやってはいけないのは、その場その時の単なる流行に合わせただけの対策だ」と強調した。

また、新しい脅威として、最近普及が著しいパブリッククラウドやスマートフォン、タブレットPCなどのセキュリティ侵害がある。これに対し大谷氏は、「まだまだ未知の部分が多い分野だけに、どこまでが安全か、どこに危険が潜んでいるのかをしっかりと見きわめるよう意識して使う必要があるだろう」と語った。

想定被害額を算出し、最適な対策投資を

次に大谷氏は、情報セキュリティのインシデントが発生した場合の想定被害額の算定方法について言及。それによると、年間予想被害額は、個別の情報セキュリティインシデントの予想被害額に一年間の発生確率をかけ合わせることで算出するという。被害額には、ハードウェアや情報など資産損失や通信費、人件費等の固定費損失を含めた「直接被害額」と、ビジネス上の機会損失や損害賠償、企業価値減といった「間接被害額」が含まれるのに加えて、事業継続コストやインシデント除去のための復旧コスト、ハードウェアやソフトウェアに対する事後対策をはじめとする追加予防を含めた「投資コスト」が存在する。 なかでも、資産損失と固定費損失、そしてブランドイメージや株価への影響といった企業価値減が影響額の大部分を占めるという事実は注目に値するだろう。

また、年間の発生確率については、大谷氏が日本ネットワークセキュリティ協会で実施したアンケート結果から、「一年間に電子メールを誤送信する人の確率はおよそ40%」、「会社貸与のPCを紛失しても報告しない人は、紛失しな人のおよそ3人に1人」、「ノートPCは居酒屋よりも社内での紛失例の方が多い」という驚愕すべき現実を示した。

「このような内部からの脅威と外部からの脅威を総合して把握し、想定される被害額とそれに対する対策投資額の最適なバランスを図るのが重要だ。最初のうちは難しいかと思うが、毎年自社での対策とその効果について測定を行っていけば、いずれはその会社にとっての最適なポイントを見つけられると思う」と大谷氏は述べ、今回のセッションを締めくくった。