組織としてセキュリティ脅威と戦うための3つのポイント〜訓練・教育・診断は万全ですか!?〜

システムの多様化・複雑化が進む昨今、それらの運用負荷は増大しています。サイバー攻撃に関しては、メディアなどの表面上では沈静化している印象を受けますが、実態としては標的型メール攻撃を始めとする各種攻撃は減少しておらず、また巧妙な隠蔽手段を用いているものもあり、”攻撃を受けたことに気付いていないだけ”といったケースも多いのです。

攻撃者優位な現状

攻撃者は、システムのセキュリティホールをたった1つでも発見すれば攻撃が可能となるため、多様なシステムの運用・保守を行う防御側に対して「優位な立場」にあります。手軽に攻撃を繰り返し、成功すれば被害は甚大なものとなってしまうのです。

2017年11月経済産業省が発表したサイバーセキュリティ経営ガイドラインは、「侵入される前提で被害を最小化する」という考えのもと、組織が行うべき対策についてまとめられています。「100%の防御は不可能である」ということを認識し、脅威の早期発見・被害の最小化を目標に、サイバーセキュリティリスクに対応するための組織作りが求められているのです。

セキュリティリスクを決める3つのポイント

セキュリティリスクがあるのかないのか、そのリスクが高いものか低いものかを決めるポイントは3つあり、下記の3つの掛け算でセキュリティリスクの高さを決めていく必要があります。

リスク=A(守るべきもの)×T(脅威)×V(脆弱性)

内容 意味
A 守るべきもの 価値ある資産(Asset) ネットワーク機器、端末、企業機密に関わる情報など
T 脅威 資産を脅かす要因(Threat) クラッカー、マルウェアなど
V 脆弱性 壊れやすさ、欠陥(Vulnerability) 簡易なパスワード、置き引きなど

リスク評価の方法

まず、リスクを評価する上で基本となるものは「A(守るべきもの)」です。守るべきものが明確でない場合、リスクを特定することはできません。「A(守るべきもの)」に「T(脅威)」と「V(脆弱性)」を掛け合わせることで、リスクが明確となるのです。

そしてリスクの大きさ(高さ)は、A・T・Vそれぞれの要素の大小に比例します。守るべきパソコンが1台の時よりも、100台の時の方がリスクは大きくなるということです。

サイバー攻撃の現状

近年のサイバー攻撃の特徴を見てみましょう。

1. IoTデバイス

IoT分野は急成長しています。2020年には500億デバイスが流通すると考えられており、攻撃者にとっては格好の標的です。

最近では「WEBカメラ」が狙われており、日本国内のWEBカメラ(監視カメラ)の映像が流出してしまう事案が報告されています。これは、WEBカメラの設定を「デフォルト」のまま使用していたことが原因と考えられています。

2. 仮想通貨

仮想通貨事業者に対する攻撃も活発です。2014年に発生したマウントゴックス社における約470億円分の仮想通貨消失事件は有名ですが、日本でもコインチェック社が約580億円分の大規模流出を起こしています。

3. ランサムウェア

金銭を要求するマルウェア「ランサムウェア」の被害も後を絶ちません。爆発的に広まった「Wannacry」は既知の脆弱性を悪用し、世界150か国で20万台以上のコンピューターが感染。国内でも大手企業や地方公共団体での被害が確認されました。

セキュリティ対策が推進されていない要因

サイバー攻撃の被害に遭ってしまう組織に共通する要因は下記の3点です。

  • 守るべきものが把握できていない
  • 脅威や脆弱性を認知できていない
  • リスクが明確になっていない

セキュリティ対策の必要性が理解されておらず、サイバー攻撃を受けることで想定外の甚大な被害を被ってしまうのです。

セキュリティ対策で重要なポイント

セキュリティ対策を行う上で重要なポイントと、具体的な方法について考えてみましょう。

ポイント
1守るべきものを知る
2脅威を知る
3脆弱性を知る
4リスクを認識する
5有効性確認・改善を行う

意識改革については、全社員が対象ではありますが、まずは役職者のセキュリティ意識向上が大切です。そのためには「訓練」と「教育」が必要となります。具体的方法としては、インシデント発生を想定した訓練の実施や、役職者研修・定期研修といった教育、セキュリティ担当者の育成などが挙げられます。

また、脆弱性を知るためには「セキュリティ診断」が有効です。既知の脆弱性やサイト改ざんのリスクを認識し、防御策を講じましょう。

アルファネットのサービス

アルファネットでは、セキュリティ対策の具体的な方法として挙げた「訓練」「教育」「診断」のそれぞれをカバーするサービスを提供しています。

1. 標的型メール訓練

擬似的な不審メールを対象者に送信し、不審メールへの対応を訓練するサービスです。不審メールからマルウェアへ感染してしまうリスクを低減するとともに、社員のセキュリティ意識向上を図ります。

2. サイバーセキュリティトレーニング

情報セキュリティ担当者向けのトレーニングです。実際にマルウェアを作成し攻撃を仕掛ける側と、防御する側に別れゲーム形式でセキュリティ対策を学んでいきます。

3. WEBアプリケーションセキュリティトレーニング

ハッキング方法を知ることで、対策ができているのかを学ぶトレーニングです。セキュリティ人材の育成を目的としており、マルウェア感染・WEB改ざんのリスク低減につながります。

4. セキュリティ診断

WEBアプリケーションに対する診断と、ネットワークに対する診断の2種類があります。「定期診断」「公開前診断」「スポット診断」があり、組織の必要に応じて選択が可能です。攻撃者のハッキング手法は日々進化しており、定期的に診断を行っていても、その都度脆弱性が発見されています。またスポット診断では、同業他社と同様の脆弱性を発見し、未然にインシデントを防ぐことが可能となります。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?