サイバー攻撃の専門家が紐解く「狙われやすい組織」の特徴とは?

9月12日～15日に開催された「TECH+ EXPO for セキュリティ2023」に、サイバーセキュリティの分析官・コンサルタントを務める名和利男氏が登壇。どのような組織が攻撃の標的になってしまうのか、そこにどんな問題があり、どう対策すべきかについて解説した。

攻撃者にとって価値がある資産とは

講演冒頭で名和氏は、攻撃者は標的となる組織を、資産価値や脆弱性、可視性、成功の確率といった要素で選んでおり、その動機には個人的思考や政治的、社会的イデオロギーがあると述べた。

資産価値とは、組織や企業が有する資源や情報の重要性のことだ。ただし、中小企業であっても資産価値がないとは限らない。対象となるのはあくまでも攻撃者にとって価値のあるものであり、中小企業がその顧客となる大企業や官公庁の情報を有している場合も考えられるためである。

「ここで大事なのは、攻撃者の視点から資産の価値を見極めることです。自分たちの尺度で『盗まれるような情報を持っていないだろう』と決めつけてはいけません」（名和氏）

攻撃の対象となる資産には、「財政資源」、「価値の高いデータ」、「知的財産」の3種類がある。財政資源は、身代金目的でランサムウェア攻撃の対象になりやすい。その対策として身代金を補填する保険商品もあるが、それで安心はできない事情もある。保険料を支払う能力があることが経済的な余裕があると判断され、攻撃の対象になる恐れもあるのだ。個人情報や顧客データ、財務情報など、価値の高いデータも対象になる。そして特許や営業秘密、研究データといった知的財産は、産業スパイの対象になるだけでなく、国家単位で狙われることすら考えられる。

攻撃者から見た標的組織の情報資産

日本型の標的型攻撃メール訓練はまったく役に立たない

続いて懸念されるのが、組織やシステムの脆弱性だ。脆弱性に対する取り組みはかなり以前から世界規模で行われているが、DXが進むなどテクノロジーの利用領域が拡大しているため、脆弱性が及ぶ範囲も拡大してしまっている。

訓練不足などの人的要因のほか、上層部の理解がないために起きる不十分なモニタリングや、コストと時間がかかるためにデータのバックアップを怠るといった運用上のギャップなども脆弱性の原因になり得る。

このうち訓練について名和氏は、「日本独自の標的型攻撃メール訓練はセキュリティ対策の手段を担えていない」と指摘する。経営層が求めるのはメールの開封率であり、上司からは「不審なメールは開くな」という指示が出される。開封率が高かった部署に指導が入ることで「次から絶対に開かない」というネガティブな行動を取るだけになる。「これでは対策は強化されない」と同氏は見解を述べた。

他国で効果を上げているフィッシング意識トレーニングにおいて求められるのは開封率ではなく、フィッシングメールが届いたかどうかの報告率だ。社員はメールを識別して報告するだけなので、不審なメールを見つけようという肯定的行動になる。

情報セキュリティ対策部門は、訓練前に最新動向の提供というかたちでヒントを与えるし、開封してしまった社員には改善するための情報を与えている。また、持続可能な仕組みにするために報酬を与えることもあると言う。例えば、フィッシングメールを多数発見した部署には、ランチチケットを渡したり、ポイント制で表彰したりといったことを行い、セキュリティ対策への意識や行動がポジティブに働くようになっている。

「これによって、感度の高い社員はフィッシングメールを見つけるようになります。感度の低い社員でも、周囲のポジティブな空気に巻き込まれて行動するようになるのです」（名和氏）

組織の高い可視性もリスクになり得る

可視性とは、組織や企業がどれだけ公に目立っているか、またその特性や業務内容がどれだけ広く知られているかを指す。企業は一般に、自己の存在や商品、サービスを顧客に対して露出するために、広告を出すなど意図的に可視性を上げることもあるだろう。

これが、場合によっては、攻撃者の反発を招く恐れがあると名和氏は説明する。有名なブランドや企業はその名声を利用したフィッシング攻撃などの対象になりやすいし、メディア露出が多い企業は可視性が高いため攻撃のリスクが増す。さらに政府機関など社会的影響が高い組織は、その影響力を損なわせることを目的とした攻撃対象になる場合もある。

サイバー攻撃の成功確率が高まる要因

攻撃者は、当然ながら攻撃の成功率が高いところを狙う。組織特性としてセキュリティが弱い場合や、間違った教育で人材が育っていない場合、あるいは運用と管理の問題などによって、その確率は高まってしまう。

攻撃手法が進化する中で、日本では個々の組織ないしは国家的な対策が不十分であるとした名和氏は、「日本の対策は“なんちゃってサイバーセキュリティ”」だと警告する。

名和氏は日本の対策は不十分であると主張する

それぞれの行政各部が限られた予算とリソースで独自にリスクを見積もるため一本化されていないし、個々で動いてしまうあまり不整合も発生している。また、各団体の経営層が自ら直視せずに、網羅性の欠ける情報を鵜呑みにする傾向があることも問題だと名和氏は指摘した。

経営層のリーダーシップで攻撃者に対抗する

サイバー攻撃に遭ったとき、「被害を拡大させてしまう企業をよく見てきた」と言う同氏はその理由として、経営幹部が仕組みづくりを拒否する傾向が高いことを挙げた。実際に大企業のセキュリティ担当者が、経営層を説得する材料が欲しいという相談を受けたこともあるそうだ。

「社員に説得されて初めてサイバーセキュリティに予算を与える経営幹部は、リーダーシップを執っていると言えません」（名和氏）

これにはいくつもの理由がある。まず名和氏は、同業他社の対策を理解して同じことをしたいという、過度な横並び意識があることを挙げる。

また、事業のリスク担当部門と緊密に連携できない縦割り文化や、セキュリティの強化を戦略なしで求める上意下達も問題だと言う。「頑張れ」、「もっと強化しろ」、「なぜできないのか」といった言葉は、「典型的なダメ組織のトップが脅威を理解していないから発するのだ」と名和氏は強く非難した。

「本当に脅威を感じていれば、人やモノ、金を総動員して事業、顧客を守る強い意志が働くはずです」（名和氏）

サイバー攻撃による深刻な犠牲の増加を覚悟する

サイバー攻撃への対策は、組織のリーダーシップを執るトップが行うべきことだが、自然災害のようにすでに体感して理解し、積み上げられたスキルがあるものとはまったく違う。だからこそ、危機感を感じるためには、日々の学習努力と想像力が必要になるのだ。「組織の上層部自らが強い痛みを持続的に受け続けることで、ようやくサイバーセキュリティ対策が本格的に進展していくことになる」と名和氏は語った。