第6回 スペシャリストが警告、サイバー攻撃は「1日に数十億件」発生の事実
公開:2019年3月25日
※ 本記事は2018年9月のメールマガジン配信記事です。
前回は「スペシャリストがあえて言う「80点のセキュリティを見つける!」の理由」についてお送りしました。情報セキュリティ人材の不足が問題視される中、2020年には約20万人に増え深刻化する恐れが高いことがわかりました。こうした人材不足の状況下でもサイバー攻撃は日々巧妙化。そこでセキュリティサービスを展開する株式会社セキュアスカイ・テクノロジーの乗口さんにセキュリティ担当者が備えるべき手立てについて、お話を伺いました。
6回目はスペシャリストが警告、サイバー攻撃は「1日に数十億件」発生の事実についてお送りします。 セキュリティアナリストがセキュリティログを24時間、365日監視する「QT PROマネージドセキュリティ」を運用している情報セキュリティのスペシャリストに、アナリストが実際に目にしているサイバー攻撃の現状と、企業が陥りがちなミスのパターン、企業が備えるべきポイントなどについてお聞きしました。
それでは、 お付き合いください。
1. 経産省が警鐘を鳴らす「サイバー攻撃の検知」
「あなたの会社は標的型攻撃や不正アクセス、不正ログインなどのサイバー攻撃をうけたことはありますか?」。
そう問われたら、あなたの会社は即答できるだろうか。経済産業省は2017年11月、「約半数の企業が外部からの指摘によりサイバー攻撃による被害が発覚している状況であり、サイバー攻撃を自分たちで気づけていないケースが多い」と指摘し、サイバーセキュリティ経営ガイドラインの重要10項目に「攻撃の検知に関する仕組みの構築」を追加した。
日々新たな脅威が生まれるサイバー攻撃だが、企業としてどのように対処すれば検知できるのだろうか。
QTネットが提供する「QT
PROマネージドセキュリティサービス」を運用している伊藤忠テクノソリューションズ株式会社の瀧本正人課長に聞いた。
2. これからのセキュリティは技術者に任せない
スマートフォンの普及により、個人情報漏えいやコンピューターウイルスは一般市民にとって身近すぎる脅威として定着した。市民の危機意識の高まりから企業へのサイバー攻撃がニュースとして取り上げられるようになり、情報セキュリティ対策は企業の信頼を左右するまでになった。
セキュリティ監査やコンサルティングに長年従事する瀧本氏によると、近年は、企業の経営陣から「うちの会社のセキュリティがどうなっているのか知りたい」といった相談が多く寄せられるのだという。「これまではセキュリティ製品を購入・構築することで安心し、製品に守られて当たり前という風潮だった。しかし、経産省が警鐘を鳴らしたこともあり、経営陣は自社のブランドを守るために慌てて動き出している」そうだ。
この風潮を瀧本氏は歓迎する。
サイバー攻撃の可能性があった場合、「対応の速さ」が最も重要になる。企業が陥りがちなミスが次のパターンだ。
情報システム部門からサイバー攻撃の可能性の報告が挙がった。しかしマーケティングやカスタマーサービスを担う部門は「点検のためにシステムを止めると顧客に迷惑がかかる」と対応を渋る。 もめているうちに攻撃が成功して情報漏えい、となる。
瀧本氏は「情報セキュリティを情報システム部門や技術者任せにすると、対応の判断に時間がかかり、最悪の状況に陥る」と指摘。さらに、本来はコンピューターシステムを使って業務を円滑に進める役割を担うシステム担当者がセキュリティを担うと、「セキュリティ上の安全」よりも「社内システムの効率」が優先される傾向にあり、セキュリティ有事の際の初動対応が遅れる要因にもなりかねない。
このような失敗例を防ぐためには「サイバー攻撃への対応を経営判断の一環として捉え、経営陣や社の中枢に情報セキュリティ上の重要事項を決定する人、いわゆるセキュリティオフィサーを置く体制を作っておくことが大切」と提唱する。
指揮者がいなかったために、サイバー攻撃を受けた後も組織を挙げた対策が取られず、次々と新しい情報漏えいを引き起こしてしまった組織の事例もあるのだ。
3. ビッグデータ解析がサイバー攻撃を見抜くカギ
前段では企業内での「決断の速さ」について話したが、もう一つ重要な「速さ」があるという。それは「発見までの速さ」だ。
伊藤忠テクノソリューションズが運営するセキュリティオペレーションセンター(SOC)では、セキュリティアナリストが24時間365日体制で顧客数百社分のログを監視している。そこで一日に検知される攻撃の可能性は、何と数十億件にも上るのだという。
「すべての攻撃をアナリストの目で感知することはできません。ログの解析ツールを使ってあやしい動きをするログを絞り込み、アナリストに集約。その中から本当の攻撃を見極めるのです」と瀧本氏。つまりビッグデータ解析だ。この解析によって攻撃の特徴や流行を読むことができ、早めの対策につなげられるのだという。
逆をいえば、「一企業のログだけ見ていても、何が起きているか把握できないうちに攻撃が実行されている」ともいえるだろう。
4. セキュリティ、1から構築し直しますか?それとも…
近年の特徴である標的型攻撃では、個人あてのメール一本で簡単に社内システムに侵入されてしまう。昔のようにハッカーが特定の企業を狙って攻撃、という時代ではなくなった。つまり、どの企業でも狙われるということだ。
このような情勢の変化に合わせて、セキュリティ従事者が対応すべき作業は日に日に高度化。さらに2020年の東京五輪に備えたセキュリティ対策需要の高まりで、セキュリティ従事者の人材確保も難しくなっている。
セキュリティ人材を自社で抱える企業にとっては人材育成や情報収集が追い付かず、次々に現れる新しい脅威に対応できないといった問題が浮き彫りになり始めた。
2015年、日本年金機構を狙った標的型攻撃が大々的にニュースになったのを契機に「迫りくる脅威に一刻も早く対応したい」という企業のニーズは急速に高まり、SOCへの相談、加入も増加したという。
自社の情報をクラウド上に移したり、ログの管理を外部に任せたりすることへの不安からセキュリティの改善に二の足を踏む経営者も少なくないだろう。しかし、膨大な数のサイバー攻撃の件数やセキュリティエンジニアが不足している現状を鑑みれば、手をこまねいてはいられない。
「あなたの会社の情報セキュリティ、1から構築し直しますか、それとも専門家に任せますか」
あとがき
セキュリティ対策を社内システム担当者が担当すれば「セキュリティ上の安全」よりも「社内システムの効率」に視点が向きやすい点、第5回のSST乗口さんのお話でも同じようなことをお話されていましたね。
セキュリティ対策に力を入れたい、対策する担当者が不足している企業は、システム担当者以外にも適任者がいないか社内の人材に目を向けてみるといいのかもしれません。
第6回までお読みいただきありがとうございました。