サイバー上の脅威は日々、高度化・巧妙化し続けていると言われています。企業もそれに合わせてセキュリティ対策をする必要があり、そのためには最新の脅威や攻撃の手口を知る必要があります。今回は『
情報セキュリティ5か条
※』をもとにした
Security Upgrade-1
のチェックポイント5「脅威や攻撃の手口に関する知識習得や教育を行っているか」について詳しく見ていきます。
※独立行政法人 情報処理推進機構(IPA)による
- Security Upgradeシリーズ(全6回)
サイバー上の脅威や攻撃の手口を知ることがなぜ重要か?
近年、サイバー攻撃の脅威はますます高まっています。かつては、サイバー攻撃というと無差別に行われ、自己顕示や嫌がらせなどが目的というものが多くありました。しかし、近年では金銭目的にサイバー攻撃が行われることが増え、特定の企業を標的にすることも増えました。もはやサイバー攻撃は「愉快犯」ではなく、「経済犯・組織犯」であり、“犯罪ビジネス”と化していると考えられています。
たとえば、最近のランサムウェアの手口では、ファイルの暗号化に加えて、情報を窃取し公開をちらつかせることで金銭を要求する「二重脅迫型」や、システムを高負荷状態にして正常に稼働させないようにする「DDoS攻撃」を組み合わせた新たな脅威が顕在化しています。
ランサム攻撃がビジネス化している例として、「RaaS(Ransomware as a Service)」と呼ばれる攻撃ツールが取り引きされていることも挙げられます。このツールがダークWebなどで提供され、攻撃が成功したら報酬を支払うというケースもあるようです。このように、サイバー攻撃はある種の経済圏(エコシステム)が形成されており、専門的な能力を要することなく、犯罪エコシステムに参加できる状況から、攻撃組織の裾野が広がっている点に注意が必要です。
また、攻撃が組織化されていることも指摘されていて、計画から攻撃を担う実行犯に至るまで役割が分かれているとも言われています。それは「プロ化した集団」であり、標的となった企業の実情を調査・研究し攻撃シナリオを用意し、試行錯誤しながら計画的に攻略してくると考えられています。
このような実情から、最新の脅威動向や手口について知ることは重要であり、その手口に備え続けることで効果的なセキュリテイ対策につながるのです。
脅威や攻撃の手口を知り、対策する際のポイント
最新のサイバー攻撃の手口や脅威の動向などを知るためのポイントについて整理します。このポイントを確認しながら運用を進めていくとよいでしょう。
ポイント①自社のIT機器の脆弱性情報の入手、対応を行う方法を取り決める
自社のIT機器やシステムの導入・運用ベンダーへの情報入手方法の確認や、セキュリティベンダーへの情報提供の依頼を行うことが考えられます。
また、脆弱性に関する情報源として、代表的なものを下記にいくつか挙げましたので参照してみてはいかがでしょうか。
- (1)脆弱性情報データベース
- ○JVN(https://jvn.jp/)
一般社団法人JPCERT コーディネーションセンターと独立行政法人情報処理推進機構(IPA)が共同で運営する脆弱性情報データベースで、国内で使用されているソフトウェアの脆弱性情報が公開されています。 - ○JVN iPedia(https://jvndb.jvn.jp/)
JVNに掲載される脆弱性対策情報のほか、国内外問わず幅広い脆弱性情報を手に入れるのに適している脆弱性対策情報のデータベースです。
- (2)最新の脅威に対する注意喚起など
- ○
重要なセキュリティ情報
IPAが掲載するもので、不正アクセスやデータが窃取などの危険性が高いセキュリティ上の問題と対策について周知するものです。 - ○ 情報セキュリティ安心相談窓口 IPAが運営する「情報セキュリティ安心相談窓口」は、一般的な情報セキュリティ(主にウイルスや不正アクセス)に関する技術的な相談を受け付ける窓口で、同窓口では、「 情報セキュリティ対策 」や「 安心相談窓口だより 」などの情報を更新しています。
ほかにも、公的なセキュリティ専門機関のWebサイト等で定期的に最新の脅威や攻撃の手口を収集することが推奨されます。
ポイント②従業員へのセキュリティ教育や、注意喚起を定期的に行う
サイバー上の脅威や攻撃の手口を学び、社内にセキュリティ対策教育を定期的に実施する体制を整備する必要があります。
現在、社内向けのセキュリティ対策教育の実施状況についてアンケート結果を見ると、「社員向けにセキュリティの講習会・勉強会・訓練を実施している」が51.6%と過半数の企業が教育を実施していることがわかります。しかし、未実施の企業も半数近くあるという結果でもあり、今後の取り組みを検討すべきでしょう。
ポイント③インシデント発生時の問い合わせ先、対応手順がルール化されている
IT機器やシステム導入・運用ベンダーが何をしてくれるのかを確認し、緊急時の問い合わせ先や、サービスについてもあらかじめ確認しておくようにしましょう。
しかし、最新のサイバー犯罪に関する被害や手口を知って対策をとることの重要性にもかかわらず、サイバーセキュリティに関して「情報も相談先もなく不安だ」という課題を持つ企業が多いのも事実です。「セキュリティ対策やインシデント発生時の対応がわからない」「セキュリティポリシーを改訂したいが、対応できる担当者がいない」「同業種の事例をもとに、セキュリティ強化を行いたい」という課題を持つ企業が増えているのです。
そこで、専門家から中長期の指南、助言を受けることも有効です。組織の目標達成に向け、コンサルティングを行う「セキュリティアドバイザリサービス」を提供するセキュリティベンダーもあります。ビジネス要件に応じ、こうしたサービスを利用することも検討するとよいでしょう。
おわりに
今回は、「脅威や攻撃の手口を知る」ためのポイントをご紹介しました。組織化、分業化が進み、ますます手口が巧妙化するサイバー攻撃に対応していくには、脅威に関する最新情報をキャッチし、従業員に周知する体制を確立していくことが重要です。
また、平時から有事の際の緊急連絡経路を確認し周知しておくことも重要なポイントです。被害に遭った場合の「事後対応」として、速やかに通報、相談できる環境を作っておくようにしましょう。
- Security Upgradeシリーズ(全6回)
- ▼関連セキュリティソリューション