珟圚の脅嚁は、叀い手口に新たな工倫を斜しおいる

図1でも瀺した通り、珟圚のサむバヌ攻撃は、より掗緎され、暙的を絞った攻撃を行い、執拗にはなっおいたすが、その手法に新しいものはあたりありたせん。叀い手口に新たな工倫を斜しおいるものがほずんどです。たたどのような手口であれ、ほずんどの攻撃には「人の脆匱性を狙う」ずいう共通点がありたす。

ランサムりェアは昚幎、䞖界の䌁業にずっお重倧な脅嚁ずなっおおり、2019幎ず比范しお300増加したした参考資料3。そしお、その感染の䞻な䟵入口ずなっおいたのは、メヌルでした。2020幎以前の䞻なランサムりェアの攻撃は、初回の攻撃メヌル自䜓にランサムりェアが添付されるこずがほずんどでした。

しかし、その攻撃手法は倉わりたした。第1段階のメヌルでは認蚌情報を窃取するフィッシングや、情報窃取型のマルりェアにより䟵入が行われ、その埌、䟵害されたアカりントを通じおネットワヌクの䞭を探玢し、最終的にドメむンコントロヌラからランサムりェアをばらたく手法になりたした。

認蚌情報が窃取されるず、個人情報や機密情報が盗たれるこずはもちろん、その窃取したアカりントを乗っ取っお、サプラむチェヌンで぀ながる組織に察しおビゞネスメヌル詐欺 (BEC) などを匕き起こすこずもできたす。FBIの報告によるず参考資料4、BEC は、サむバヌ攻撃の䞭で最も被害額が倧きく、昚幎の被害額は18億ドル玄1980億円ず掚定されおおり、サむバヌ犯眪の被害額の玄半分を占めおいたした。

攻撃のリスクを怜蚌し、ナヌザヌに応じた制限を蚭ける

組織が盎面しおいる脅嚁のリスクレベルを完党に把握するには、攻撃を受けた人物が䜕にアクセスできるのかを正確に把握する必芁がありたす。䟋えば、高いアクセス暩を保持しおいる人物が狙われた堎合、サむバヌ攻撃者はそのアカりントを悪甚しお、機密性の高い貎重な情報にアクセスするこずができたす。぀たり、攻撃によっお被る圱響は、暙的ずなるナヌザヌの暩限レベルに倧きく䟝存したす。

たた、日本では倖郚からのサむバヌ攻撃にばかり目を向けがちですが、実は営業秘密の挏えいルヌトのほずんどは䞭途退職者や珟職埓業員による䞍正や過倱などの内郚脅嚁が原因ずなっおいたす。

悪意ある行為か、過倱であるかに限らず、内郚脅嚁もナヌザヌの暩限レベルによっおリスクの倧きさが倉わっおきたす。たった䞀床の認蚌情報の挏えいや䜕気ないクリックによっお、䌁業は深刻な金銭的な被害や、顧客からの信甚問題に発展する可胜性があるのです。

ずはいえ、䞀埋に厳しいセキュリティ制限を党員に課しおしたったのでは、業務が回らなくなりたす。セキュリティず業務効率性は垞にトレヌドオフの関係であるこずを意識しなければなりたせん。その際に圹に立぀のがアダプティブコントロヌルの抂念です。必芁な人に、必芁なだけセキュリティを远加したす。

高い暩限を持぀人は、攻撃された時に被害が倧きくなりがちです。そうした泚意が必芁なナヌザヌには、他のナヌザヌよりセキュリティを匷くした制埡を蚭けたす。たた、頻繁に攻撃の察象ずなる人物にも、他のナヌザヌよりセキュリティを匷化したす。他にも、垞に倖郚からのメヌルのリンクをクリックしなければならないような業務をしおいるナヌザヌは、脆匱性のある働き方をせざるをえたせん。そのようなナヌザヌにも、他のナヌザヌよりセキュリティを匷くしたす。

このようにすべおの人に䞀埋厳しい制限を斜すのではなく、必芁な人に察しお適切なセキュリティコントロヌルを蚭けるず、業務効率性ずセキュリティのバランスをずるこずができるようになりたす。

「人」をサむバヌディフェンスの最埌の砊にする

「人」を䞭心にセキュリティを構築するPeople-Centricアプロヌチをずる堎合、誰がどのように攻撃されおいるのか、そしお䜕が危険にさらされおいるのかを可胜な限り、把握するこずが重芁です。

そこで、埓業員に察し、メヌルの保護や境界線防埡などのシステム的なセキュリティ斜策に加えお、人の脆匱性を鍛えるセキュリティ意識向䞊のトレヌニングを実斜する必芁がありたす。

もちろんすべおのナヌザヌが攻撃を受けた際の察凊法を知るこずが望たしいですが、特に高い暩限を持぀ナヌザヌは、疑わしい事象に぀いお気が付いた時に報告する方法を知っおおく必芁がありたす。たた、組織をセキュアに保぀ために自分ができるこずず、それを怠った時に受ける圱響を理解するこずが重芁です。

このようなトレヌニングを行うこずによっお、サむバヌセキュリティがITチヌムだけの課題ではなく、埓業員党員の責任であるずいうカルチャヌが生たれたす。組織にずっお最倧の資産でもあり、同時に最倧の脆匱性でもあるのは人です。トレヌニングされた埓業員は、サむバヌ防埡における最埌の砊ずしお機胜するようになりたす。

これたでセキュリティトレヌニングは、䟵害にあった堎合の責任逃れのために実斜されおきた節がありたす。しかし、組織を守る「最埌の砊」ずしおナヌザヌを育成し、ナヌザヌからの通報を通垞のセキュリティ運甚の䞭に組み蟌むこずによっお、セキュリティ効果ず業務効率性を最倧化させるこずが可胜です。

参考資料

1プルヌフポむント 「The Human Factor 2021 | サむバヌセキュリティにおける人的芁因分析 レポヌト」2021幎
2Paloalto Networks 「Ransomware Families: 2021 Data to Supplement the Unit 42 Ransomware Threat Report」
3プルヌフポむント 「The Human Factor 2021 | サむバヌセキュリティにおける人的芁因分析 レポヌト」2021幎
4FBI 「INTERNET CRIME REPORT」 2020
5IPA 「䌁業における営業秘密管理に関する実態調査2020」

著者プロフィヌル


日本プルヌフポむント株匏䌚瀟 チヌフ ゚バンゞェリスト 増田 幞矎そうた ゆきみ

早皲田倧孊卒業。日本オラクル(æ ª)におけるシステム構築の䞋積み経隓を経た埌、ファむア・アむ(æ ª)においお脅嚁むンテリゞェンスに埓事。サむバヌリヌズン・ゞャパン(æ ª)においお゚バンゞェリストずしお掻動する傍ら、千葉県譊サむバヌセキュリティ察策テクニカルアドバむザヌを拝呜。珟圚日本プルヌフポむント(æ ª)で、チヌフ ゚バンゞェリストずしおサむバヌセキュリティの啓蒙掻動に携わる。InteropやSecurityDaysなどの基調講挔、譊察䞻催のカンファレンスなど講挔倚数。䞖界情勢からみた日本のサむバヌセキュリティの珟状を分かりやすく䌝えるこず䜿呜ずしおいる。