「守るもの」とそれを脅かす「脅威」を正しく知る

サイバーセキュリティはいまや重要な経営課題だ。不正アクセスや個人情報を狙ったサイバー攻撃は日常化し、大手企業のみならず中堅中小企業を含めたあらゆる組織が攻撃の対象になった。攻撃手法も高度化・複雑化し、簡単には太刀打ちできないケースが増えている。

ただ、脅威は数え切れないほどある。すべての脅威に対抗していくことを考えた場合、リソースがいくらあっても足りないだろう。さらに、困ったことに多くの組織にとって、セキュリティ対策それ自体は利益を生みだす取り組みではない。予算と人材リソースが限られているなか、組織はどうセキュリティ対策を講じていくべきか。

この課題を解決する一助となるよう、セキュリティリサーチャー辻伸弘氏への取材を実施。限られた経営資源を適切なセキュリティ対策に割り当てるうえで「知っておくべき4つのポイント」を、レポートとしてお届けする。

• SBテクノロジー株式会社
  プリンシパルセキュリティリサーチャー
  辻 伸弘 氏

「脅威にどう対抗するか」ではなく、「守るべきものをどう守るか」という視点を

脅威に対しどんなセキュリティ対策をとればよいか。こういった "攻撃起点の発想" でセキュリティ対策を考える方は多いだろう。"攻撃起点の発想" はもちろん必要なものだが、これのみで対策を考えることは得策ではない。それでは話題となっているあらゆる脅威を順に対抗していくこととなるからだ。 数え切れないほど存在し今も増え続けている脅威すべてに対策を講じることは、現実的とは言えない。

対して辻氏が提案するのは、"自分起点の発想" を加味したセキュリティ対策だ。どこにある何を守りたいのか、それが攻撃を受けると 組織はどんなダメージを受けるのか。これをまずはっきりさせる。そのうえで、対応策に優先順位を決めて取り組んでいく。守るべきものをきちんと整理できればどのような対策を講じていくかも自然と見えてくる。優先順位を付けることにより、限られた 資源を適切に割り当てられるわけだ。

マイナビが2016年より毎年開催している「情報セキュリティ事故対応アワード」の審査員や「あなたがセキュリティで困っている理由」(日経BP)などの著書でも知られる辻氏だが、さまざまな組織に対してセキュリティ調査やセキュリティ対策のアドバイスを行う際にも、今述べた発想を持つことの重要性を訴えている。

大きなセキュリティ事故が世間で話題になると、経営陣が漠然と「うちは大丈夫か」とセキュリティ担当者に問いかけるシーンがあります。ただ、発生が増えている脅威があったとして、それが「自組織で対策せねばならないこと」とイコールかというと、必ずしもそうではありません。自分たちが守るべきものがしっかり把握できていれば、経営陣は不安で右往左往することはなくなりますし、セキュリティ担当者も根拠を持って『大丈夫です』と答えられるようになります。セキュリティ対策に取り組むうえで第一に重要なのは、組織のアセンスメントなのです。

[知るべきこと①「守るもの」]
リスクを「資産×脅威×脆弱性」で評価。経営陣を巻き込んで優先順位をつける

ではどのようにして「守るもの」を判断していけばよいのか。

セキュリティに関するリスクは、「資産」「脅威」「脆弱性」という3つの要素をかけ合わせたものと考えることができる。資産は「どこにある何を守りたいか」、脅威は「どの経路からどのようにくるのか」、脆弱性は「どのくらい危ないのか、どれから対処するのか」だ。資産を明らかにし、脅威のくる経路や危険度を見る。そうすれば、自組織にダメージを与える危ないものに対して優先順位をつけていくことができる。

このプロセスは、セキュリティに限らず、自組織のリスクを算定する活動すべてが概ね同じである。セキュリティだからといって身構える必要はない。もし攻撃を受ける経路が限られていて、攻撃を受けても大きなダメージがないと考えられるなら、対策を講じないという選択もありだ。

たとえば、Webサイトをダウンさせる脅威にDDoS攻撃があるが、攻撃経路がWebだけであり攻撃対象もコーポレートページだけならば、脅威によってWebサイトが数時間ダウンしても事業に大きな影響はない。この場合、大きな予算を割いてDDoS対策を行うことの優先度は低くなる。100円のものを100万円の金庫で守るようなものだからだ。一方、攻撃対象がWebサービスやモバイルアプリなどの場合は話が変わる。サービス停止は収益、顧客からの信頼に大きな悪影響を引き起こすため、必然的に優先度は高くなるのだ。

このように、セキュリティリスクを算定する行為は、経営判断と直接関わる問題だ。攻撃に対するリアクションとして対策を講じるのではなく、自組織の問題として能動的に取り組むことが求められる。

リスト型攻撃への対策を強化したある組織の例を紹介します。リスト型攻撃でユーザー情報が漏洩すると、組織はユーザーに対してポイントなどによる補填をせねばなりません。これは "被害を受けた場合に発生するコスト" が計算しやすいということでもあるのですが、この組織は今述べたコストよりも大きな費用がかかる対策に予算を投じました。情報漏洩によるブランドの失墜がコスト以上の経営リスクであると、そう判断したのです 。このように、リスク算出にあたっては経営判断が不可欠になります。「守るもの」を知るためには、経営陣を巻き込んで取り組みを進めなくてはなりません。

[知るべきこと②「脅威」]
脅威を正しく知ることで、コストをおさえた対策が可能に

経営陣を巻き込みながら「守るもの」に優先順位を付ける。その後、どのような対策をしていくか検討することとなるが、実際にソリューションを導入しようとするとどうしても予算が必要となる。ここで、辻氏がアドバイスするのが、「脅威を正しく知る」ことだ。適切なソリューションや対応策を講じることができるだけでなく、ソリューションが必要かどうかの線引きも行うことができ、コストの最適化が可能になるという。

脅威を正しく知るというのは、メディアや報道などで伝えられる情報だけでなく、その脅威がどのような仕組みで動き、どのような影響を与えるのかを知るということである。仕組みや影響を知るといっても、セキュリティの専門家が行うような水準までは必要ない。昨年末から急増している「Emotet（エモテット）」でいえば、同攻撃が "Wordのマクロを悪用する" ということを知るだけでも、格段に対策を講じやすくなる。

具体的にいえば、まず自組織の業務のなかでWordのマクロを使うシーンがあるのかどうかを調べる。もしマクロが "使うシーンはあるが他で代替可能" ならば、これを無効化する。そうすれば、コストを抑えながらおおよその対策が済ませられるわけだ。

脅威を知る。言葉だけでなくその仕組みを正しく理解する。全ての脅威を対象にこれを行うのは現実的ではないだろう。ただ、「守るもの」に優先順位を付けることで、知るべき脅威の数は「理解できる現実的な数」となるはずだ。

Wordのマクロが業務に不可欠という組織はそれほど多くはないでしょう 。使用していたとしてもすべての部署が利用しているわけではないと思いますから、利用部門を一部に限ることで攻撃の多くを防ぐことができます。同じような考え方は、ファイルレス攻撃と呼ばれる攻撃にも有効です。ファイルレス攻撃では、Windowsのコマンドライン環境であるPowerShellを悪用するケースが多いため、一般ユーザーのPowerShellを無効にすることで有効な対策が可能になるわけです。正しく知るためにも、皆さんには脅威と自身の環境について調べ、いまできる適切な処置を行うことをおすすめします。

*　　*　　*

もちろん、実際にさまざまな脅威に対抗していく際には、ソリューションを導入すべき場面も多い。次回は知るべきこと③と題し、セキュリティ製品を選ぶ際に持つべき視点について、詳しく見ていきたい。

[PR]提供：ソフトクリエイト