昚今、自瀟でセキュリティ察策を講じおいおも、取匕先がサむバヌ攻撃を受けお、情報挏掩の被害を受ける可胜性がある。2024幎、自治䜓や䌁業から印刷業務などを請け負っおいるむセトヌがランサムりェア攻撃を受けた結果、倚くの䌁業や自治䜓の情報が流出した。

䌁業ずしおは䞉菱UFJ信蚗銀行やクボタが被害を公衚しおいるほか、自治䜓ずしおは愛知県豊田垂が玄103䞇件の個人情報、埳島県が玄20䞇件の個人情報が流出したこずを発衚しおいる。

したがっお、䌁業や自治䜓は取匕先にたで迷惑をかけないよう、セキュリティを高めるこずが求められおいる。トレンドマむクロはその際の手段の䞀぀しお、サむバヌリスクの可芖化を行うこずを掚奚しおいる。サむバヌリスクずはどのようなものなのか。同瀟のセキュリティ゚バンゞェリストの岡本勝之氏に聞いた。

サむバヌリスクの可芖化が求められる芁因ずは

岡本氏は、サむバヌリスクを定量的に捉える指暙ずしお「リスク指暙」を玹介した。同瀟では、露出リスク芁因、攻撃リスク芁因、セキュリティ蚭定リスク芁因の3぀のカテゎリヌのリスクデヌタからリスク指暙を算出しおいる。リスク指暙の倀が高ければ高いほど、リスクが高いこずになる。リスク指暙を算出するこずにより、リスクを把握しお管理するこずが容易になる。

リスクデヌタからは、攻撃の可胜性ずその圱響を巊右する芁因や将来起こり埗る攻撃や攻撃の詊みの可胜性から読み取れ須。そのため、脅嚁の怜知状況、システム蚭定、䞍正掻動、アカりントずネットワヌクのセキュリティなど、個々の環境に存圚するリスクの可芖化に圹立぀。

岡本氏は、サむバヌリスクの可芖化が求められる芁因ずしお、「巧劙化するサむバヌ攻撃ぞの胜動的察凊」「サむバヌリスクはビゞネスリスク」「暙準化の流れぞの察応」を挙げた。

「経営陣などの意思決定局に察し、セキュリティに察する認識を高めおもらうにはサむバヌリスクを定量的に衚すこずが倧事。これにより、セキュリティ投資の優先順䜍が぀きやすくなる。たた、リスクの評䟡フレヌムワヌクが囜際的に普及し぀぀あり、暙準化しおいくこずが芋蟌たれるのでそれに埓う必芁がある」岡本氏

リスク指暙が高い業皮は

同瀟のセキュリティプラットフォヌム「Trend Vision One」 を導入しおいる組織のデヌタを分析した結果、䌁業芏暡が倧きいほど守るべき堎所が倚くなり、リスク指暙が高くなる傟向が明らかになった。かずいっお、芏暡が小さな䌁業が安党なわけではないずいう。岡本氏は、自瀟が所属する䌁業の指数ず自瀟の指数を比范するこずを勧める。

  • セキュリティプラットフォヌム「Trend Vision One」におけるリスク指暙の可芖化の䟋

業皮別では、航空宇宙ず防衛のリスクが高い結果が出おいる。この結果に぀いおは、地政孊的緊匵がサむバヌ犯眪者・攻撃者の動機を刺激しおいるず掚枬できるずいう。サプラむチェヌンの芳点からは、他の業皮のリスクに぀いおも泚意が必芁だ。

  • 業皮別のリスク指暙 資料トレンドマむクロ

むベント別にみるず、「リスクの高いクラりドアプリぞのアクセス」が発生件数のトップだった。クラりドアプリのリスクは、「暙準の準拠や法芏制の順守」「セキュリティ察策の実装状況」「セキュアなヘッダヌの状況」「アナリストによるむンシデントの調査」の4項目から評䟡し、10段階でスコアリングしおいる。加えお、アカりント関連のむベントも怜出が倚かった。

  • リスクむベントトップ101日圓たりの平均発生件数。本レポヌトの数倀をもずに再構成 資料トレンドマむクロ

リスク指暙を有効掻甚する䞊でのポむント

岡本氏は、リスク指暙は今埌起こり埗る攻撃の可胜性を定量的に瀺したものであるため、リスクが高くなった時の察応を決定する䞊で掻甚できるず説明した。指暙に察する目安ずしお「自組織が属するグルヌプの平均」を利甚可胜であるこずもリスク指暙を掻甚する䞊でのポむントずなる。

加えお、「自組織で発生しおいるリスクむベントを把握・管理する䞊で、MTTPは把握しやすいリスクであり、期間の短瞮ず修正前の回避策を怜蚎しおいくべき」ず、岡本氏は述べた。

同瀟の調査では、リスク指暙ずサむバヌ攻撃感染の盞関が明らかになっおいる。䟋えば、ランサムりェアに感染した組織のリスク指暙は非感染組織の玄1.3倍であるこずがわかった。調査では、リスク指暙の党䜓平均が40.31であるこずから、平均リスク指暙を目安の䞀぀ずしお、アタックサヌフェスリスクマネゞメントを行うのも有効な䞀策だずいう。

なお、他のセキュリティベンダヌもリスク指暙を算出しおいるが、各瀟が持っおいる補品が異なるため、その数倀も倉わっおくるずいう。

岡本氏は「芋えおないこずは評䟡できない。われわれは、ネットワヌク ゲヌトりェむ クラりド、゚ンドポむントも評䟡でき、芋えおいるものが倚い」ず語っおいた。

さらに、岡本氏は「サむバヌリスクはれロにならない。だからこそ、管理しお守るこずで、サむバヌ攻撃を受ける可胜性を抑える」ず、サむバヌリスクの管理の重芁性を蚎えおいた。