無料会員登録
システムの多様化・複雑化が進む昨今、それらの運用負荷は増大しています。サイバー攻撃に関しては、メディアなどの表面上では沈静化している印象を受けますが、実態としては標的型メール攻撃を始めとする各種攻撃は減少しておらず、また巧妙な隠蔽手段を用いているものもあり、”攻撃を受けたことに気付いていないだけ”といったケースも多いのです。
この記事の目次
攻撃者優位な現状
攻撃者は、システムのセキュリティホールをたった1つでも発見すれば攻撃が可能となるため、多様なシステムの運用・保守を行う防御側に対して「優位な立場」にあります。手軽に攻撃を繰り返し、成功すれば被害は甚大なものとなってしまうのです。
2017年11月経済産業省が発表したサイバーセキュリティ経営ガイドラインは、「侵入される前提で被害を最小化する」という考えのもと、組織が行うべき対策についてまとめられています。「100%の防御は不可能である」ということを認識し、脅威の早期発見・被害の最小化を目標に、サイバーセキュリティリスクに対応するための組織作りが求められているのです。
セキュリティリスクをめる3つのポイント
セキュリティリスクがあるのかないのか、そのリスクが高いものか低いものかを決めるポイントは3つあり、下記の3つの掛け算でセキュリティリスクの高さを決めていく必要があります。
リスク=A(守るべきもの)×T(脅威)×V(脆弱性)
| 内容 | 意味 | 例 | |
|---|---|---|---|
| A | 守るべきもの | 価値ある資産(Asset) | ネットワーク機器、端末、企業機密に関わる情報など |
| T | 脅威 | 資産を脅かす要因(Threat) | クラッカー、マルウェアなど |
| V | 脆弱性 | 壊れやすさ、欠陥(Vulnerability) | 簡易なパスワード、置き引きなど |
リスク評価の方法
まず、リスクを評価する上で基本となるものは「A(守るべきもの)」です。守るべきものが明確でない場合、リスクを特定することはできません。「A(守るべきもの)」に「T(脅威)」と「V(脆弱性)」を掛け合わせることで、リスクが明確となるのです。
そしてリスクの大きさ(高さ)は、A・T・Vそれぞれの要素の大小に比例します。守るべきパソコンが1台の時よりも、100台の時の方がリスクは大きくなるということです。
サイバー攻撃の現状
近年のサイバー攻撃の特徴を見てみましょう。
1. IoTデバイス
IoT分野は急成長しています。2020年には500億デバイスが流通すると考えられており、攻撃者にとっては格好の標的です。
最近では「WEBカメラ」が狙われており、日本国内のWEBカメラ(監視カメラ)の映像が流出してしまう事案が報告されています。これは、WEBカメラの設定を「デフォルト」のまま使用していたことが原因と考えられています。
2. 仮想通貨
仮想通貨事業者に対する攻撃も活発です。2014年に発生したマウントゴックス社における約470億円分の仮想通貨消失事件は有名ですが、日本でもコインチェック社が約580億円分の大規模流出を起こしています。
3. ランサムウェア
金銭を要求するマルウェア「ランサムウェア」の被害も後を絶ちません。爆発的に広まった「Wannacry」は既知の脆弱性を悪用し、世界150か国で20万台以上のコンピューターが感染。国内でも大手企業や地方公共団体での被害が確認されました。
セキュリティ対策が推進されていない要因
サイバー攻撃の被害に遭ってしまう組織に共通する要因は下記の3点です。
- 守るべきものが把握できていない
- 脅威や脆弱性を認知できていない
- リスクが明確になっていない
セキュリティ対策の必要性が理解されておらず、サイバー攻撃を受けることで想定外の甚大な被害を被ってしまうのです。
セキュリティ対策で重要なポイント
セキュリティ対策を行う上で重要なポイントと、具体的な方法について考えてみましょう。
| ポイント | |
|---|---|
| 1 | 守るべきものを知る |
| 2 | 脅威を知る |
| 3 | 脆弱性を知る |
| 4 | リスクを認識する |
| 5 | 有効性確認・改善を行う |
意識改革については、全社員が対象ではありますが、まずは役職者のセキュリティ意識向上が大切です。そのためには「訓練」と「教育」が必要となります。具体的方法としては、インシデント発生を想定した訓練の実施や、役職者研修・定期研修といった教育、セキュリティ担当者の育成などが挙げられます。
また、脆弱性を知るためには「セキュリティ診断」が有効です。既知の脆弱性やサイト改ざんのリスクを認識し、防御策を講じましょう。
アルファネットのサービス
アルファネットでは、セキュリティ対策の具体的な方法として挙げた「訓練」「教育」「診断」のそれぞれをカバーするサービスを提供しています。
1. 標的型メール訓練
擬似的な不審メールを対象者に送信し、不審メールへの対応を訓練するサービスです。不審メールからマルウェアへ感染してしまうリスクを低減するとともに、社員のセキュリティ意識向上を図ります。
アルファネットの標的型メール訓練サービス
2. サイバーセキュリティトレーニング
情報セキュリティ担当者向けのトレーニングです。実際にマルウェアを作成し攻撃を仕掛ける側と、防御する側に別れゲーム形式でセキュリティ対策を学んでいきます。
アルファネットのサイバーセキュリティトレーニング
3. WEBアプリケーションセキュリティトレーニング
ハッキング方法を知ることで、対策ができているのかを学ぶトレーニングです。セキュリティ人材の育成を目的としており、マルウェア感染・WEB改ざんのリスク低減につながります。
アルファネットのサイバーセキュリティトレーニング
4. セキュリティ診断
WEBアプリケーションに対する診断と、ネットワークに対する診断の2種類があります。「定期診断」「公開前診断」「スポット診断」があり、組織の必要に応じて選択が可能です。攻撃者のハッキング手法は日々進化しており、定期的に診断を行っていても、その都度脆弱性が発見されています。またスポット診断では、同業他社と同様の脆弱性を発見し、未然にインシデントを防ぐことが可能となります。
アルファネットのセキュリティ診断サービス
WEBセキュリティ診断くん
URLhttps://cybersecurity-jp.com/shindan/ 「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。 また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。 まずは無料で脆弱性の数を診断してみてはいかがでしょうか?
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
