★☆★JNSAメールマガジン 第20号 2013.10.11.☆★☆
最近の高度なセキュリティ脅威、例えばサイバー攻撃やサイバー犯罪などの状況を 考慮すると、一昔前までの比較的平和だった時代に比べ、飛躍的にビジネスリスク は高まっており、これらを踏まえ、セキュリティ対策へのアプローチを根本的に再 考するタイミングに来ていると感じる。
セキュリティ対策を考える上で、ひとつの参考になるのがセキュリティ管理の成熟 度モデルであり、今回はこれを取り上げてみたいと思う。
企業における情報セキュリティ対策へのこれまでのアプローチは、自社に対して、
事件となるインシデントが発生した場合や、同一業界内の他社が被害にあった際に
これをきっかけとして、予防的対策を中心に取られてきている。
いわゆる成熟度の第一段階である特定の脅威に対症療法的に対策を実施し、その発
生を防ぐというアプローチである。
このアプローチでは、特定の脅威に焦点を当てて、セキュリティ対策を進めるため、
多くの連携性のないセキュリティ・コントロールが導入されている。結果として多
額の投資にも拘わらず、常に不安が残っているというお話を企業の方から伺うこと
も多い。
現在、日本の多くの企業の情報セキュリティはこれより一歩進んだ成熟度の第二段
階で、セキュリティ・ポリシーを決め、これらが順守されるように、また順守され
ているかどうかを検証していくことでセキュリティ・コントロールを運用していく
コンプライアンスの段階に移行しているのではないだろうか。
このアプローチの良いところは、対策がリアクティブではなく、セキュリティ・ポ
リシーを設定するところから始めるという主体的な取り組みになっているところで
ある。
ただし、冒頭で触れた最近のセキュリティ脅威は、これまでの常識が通じない未知の
ものが多いため、既知の脅威のみをカバーしているコンプライアンスのアプローチで
は不十分であり、ここで第三段階として初めてリスクベースのアプローチがとられる
ことになる。
第三段階のアプローチに触れる前に、改めて最近のセキュリティ脅威を振り返ってみ
よう。
金銭の窃取を目的としたサイバー犯罪は、数年前フィッシング詐欺が非常に少なかっ
た頃に比べると飛躍的に増加している。
一昔前は素人でも看破できるような稚拙なつくりのフィッシング詐欺メールや詐欺サ
イトだったものが、正規のものと間違えてもおかしくないようなつくりになってきて
いる。トロイの木馬などのマルウェアを利用したMITB(Man In the Browse)のような
高度な攻撃も一般化してきている。
また最近では、他社サイトから流出したパスワード情報をもとに実施されるパスワー
ドリスト攻撃のように、自社サイトの脆弱性対応だけでは防ぐことが困難な攻撃も出
てきており、先ほど述べた第一段階や第二段階のアプローチでは対応ができなくなっ
てきている。
さらに、APTに代表される標的型サイバー攻撃では、政府関連機関や社会インフラ事
業だけでなく、その他の企業、特に知的財産を保有している企業への攻撃が普通に発
生している。
米国では、標的型サイバー攻撃をしかける攻撃者が企業ネットワークへ侵入すること
を完全に防ぐことはできないという共通の認識がすでにできている。
日本では、まだそこまでの認識が出来上がってはいないのではないだろうか。
前述の金銭目的のサイバー犯罪では、犯罪者は窃取した情報をもとにすぐに金銭を取
得しようと試みるため、企業側が比較的短期間に被害を認知できるのに比べ、知的財
産情報の窃取を目的とした標的型サイバー攻撃の場合、攻撃者が窃取された情報を利
用していても、すぐにはそれを認知できないという決定的な違いがある。
パスワードリスト攻撃のようにパスワードが合致していたとしても、Webサイトに対 して怪しい動きはないか、サイバー攻撃においては、攻撃者がネットワークにすでに 侵入している前提にたって怪しい動きはないかを監視し、攻撃の早期検出、検出後の 対応を迅速に行えるようなしくみや体制を整備することがリスクを最小化することに つながり、これが第3段階のリスクベースのアプローチと呼ぶものである。
成熟度の第四段階であるビジネス指向のアプローチは、さらに一歩進んだものになり、
複数のセキュリティ・インシデントが同時に発生したような場合に、どのインシデン
トに最初に対応すべきかをビジネスへの影響度、すなわちビジネスリスクの大きさで
判断し、対処することである。
たとえば重要情報を重点的に扱っているIT資産や事業継続の観点から止めることので
きないビジネスプロセスと関わっているようなIT資産への攻撃は、重大なビジネスリ
スクを生じるインシデントとして最優先で対応されるべきである。
自社が成熟度のどの段階にあるか、一度セキュリティへのアプローチを再点検し、 リスクベースの考えを取り入れて今後対応を検討してみてはいかがだろうか。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第20号
発信日:2013年10月11日
発行: JNSA事務局
*************************************