昨今、自社でセキュリティ対策を講じていても、取引先がサイバー攻撃を受けて、情報漏洩の被害を受ける可能性がある。2024年、自治体や企業から印刷業務などを請け負っているイセトーがランサムウェア攻撃を受けた結果、多くの企業や自治体の情報が流出した。

企業としては三菱UFJ信託銀行やクボタが被害を公表しているほか、自治体としては愛知県豊田市が約103万件の個人情報、徳島県が約20万件の個人情報が流出したことを発表している。

したがって、企業や自治体は取引先にまで迷惑をかけないよう、セキュリティを高めることが求められている。トレンドマイクロはその際の手段の一つして、サイバーリスクの可視化を行うことを推奨している。サイバーリスクとはどのようなものなのか。同社のセキュリティエバンジェリストの岡本勝之氏に聞いた。

サイバーリスクの可視化が求められる要因とは

岡本氏は、サイバーリスクを定量的に捉える指標として「リスク指標」を紹介した。同社では、露出リスク要因、攻撃リスク要因、セキュリティ設定リスク要因の3つのカテゴリーのリスクデータからリスク指標を算出している。リスク指標の値が高ければ高いほど、リスクが高いことになる。リスク指標を算出することにより、リスクを把握して管理することが容易になる。

リスクデータからは、攻撃の可能性とその影響を左右する要因や将来起こり得る攻撃や攻撃の試みの可能性から読み取れ須。そのため、脅威の検知状況、システム設定、不正活動、アカウントとネットワークのセキュリティなど、個々の環境に存在するリスクの可視化に役立つ。

岡本氏は、サイバーリスクの可視化が求められる要因として、「巧妙化するサイバー攻撃への能動的対処」「サイバーリスクはビジネスリスク」「標準化の流れへの対応」を挙げた。

「経営陣などの意思決定層に対し、セキュリティに対する認識を高めてもらうにはサイバーリスクを定量的に表すことが大事。これにより、セキュリティ投資の優先順位がつきやすくなる。また、リスクの評価フレームワークが国際的に普及しつつあり、標準化していくことが見込まれるのでそれに従う必要がある」(岡本氏)

リスク指標が高い業種は?

同社のセキュリティプラットフォーム「Trend Vision One」 を導入している組織のデータを分析した結果、企業規模が大きいほど守るべき場所が多くなり、リスク指標が高くなる傾向が明らかになった。かといって、規模が小さな企業が安全なわけではないという。岡本氏は、自社が所属する企業の指数と自社の指数を比較することを勧める。

  • セキュリティプラットフォーム「Trend Vision One」におけるリスク指標の可視化の例

業種別では、航空宇宙と防衛のリスクが高い結果が出ている。この結果については、地政学的緊張がサイバー犯罪者・攻撃者の動機を刺激していると推測できるという。サプライチェーンの観点からは、他の業種のリスクについても注意が必要だ。

  • 業種別のリスク指標 資料:トレンドマイクロ

イベント別にみると、「リスクの高いクラウドアプリへのアクセス」が発生件数のトップだった。クラウドアプリのリスクは、「標準の準拠や法規制の順守」「セキュリティ対策の実装状況」「セキュアなヘッダーの状況」「アナリストによるインシデントの調査」の4項目から評価し、10段階でスコアリングしている。加えて、アカウント関連のイベントも検出が多かった。

  • リスクイベントトップ10(1日当たりの平均発生件数。本レポートの数値をもとに再構成) 資料:トレンドマイクロ

リスク指標を有効活用する上でのポイント

岡本氏は、リスク指標は今後起こり得る攻撃の可能性を定量的に示したものであるため、リスクが高くなった時の対応を決定する上で活用できると説明した。指標に対する目安として「自組織が属するグループの平均」を利用可能であることもリスク指標を活用する上でのポイントとなる。

加えて、「自組織で発生しているリスクイベントを把握・管理する上で、MTTPは把握しやすいリスクであり、期間の短縮と修正前の回避策を検討していくべき」と、岡本氏は述べた。

同社の調査では、リスク指標とサイバー攻撃感染の相関が明らかになっている。例えば、ランサムウェアに感染した組織のリスク指標は非感染組織の約1.3倍であることがわかった。調査では、リスク指標の全体平均が40.31であることから、平均リスク指標を目安の一つとして、アタックサーフェスリスクマネジメントを行うのも有効な一策だという。

なお、他のセキュリティベンダーもリスク指標を算出しているが、各社が持っている製品が異なるため、その数値も変わってくるという。

岡本氏は「見えてないことは評価できない。われわれは、ネットワーク ゲートウェイ クラウド、エンドポイントも評価でき、見えているものが多い」と語っていた。

さらに、岡本氏は「サイバーリスクはゼロにならない。だからこそ、管理して守ることで、サイバー攻撃を受ける可能性を抑える」と、サイバーリスクの管理の重要性を訴えていた。