サイバーセキュリティのトレンド
最近のセキュリティインシデントの傾向と対応策のまとめ
- 連載記事/コラム
企業にとって IT 技術はなくてはならないものになっている一方で、サイバー攻撃やシステムの設定ミスなどによるセキュリティインシデント(情報セキュリティに関する事故や攻撃)が、ニュースに取り上げられることも多くなりました。
新型コロナウイルス感染症問題によってテレワークの導入が進む一方で、オフィス外に持ち出されたノートブックPC などのエンドポイントを狙ったサイバー攻撃も増えています。
この記事では、最近のセキュリティインシデントの傾向とその対応についてまとめて解説します。
新人「情報漏えいなどのニュースは、規模も含めて年々大きくなっている気がします。」
先輩「実際のニュースとしても増えているし、ニュースにならないセキュリティインシデントはもっと多くなっているだろうね。サイバー犯罪の高度化もあって、対策も難しくなってきているからね。」
新人「ニュースになるような重大な事故を防ぐのは当然として、企業としては小さな事故も見過ごせないですよね。」
先輩「そうだね、まずは最近のセキュリティインシデントの傾向からみて行こうか。」
増加するセキュリティインシデントとその対応
セキュリティインシデントとは、情報セキュリティに関する事故や攻撃のことであり、企業にとって大きな脅威だと言える。
セキュリティインシデントは PC やネットワークが発展し始めた1990年代から発生し、当時は日本国内で年間数百件だったものが、現在は年間2万件近くで推移している。
近年では、攻撃者の組織化傾向もみられており、個人から大企業まで、規模に関わらず常に攻撃者に狙われる可能性があると言えるだろうな。
被害の広がるスピードと規模も増大しているから、企業としてはセキュリティ対策を事前に行いつつ、従業員の定期的な教育やインシデント発生時を想定した体制づくりなどの組織としての対応を決めておくことが必要だ。
セキュリティインシデントが起こる原因
新人「セキュリティインシデントが起こる原因というと、やっぱりウイルス感染が原因ですか?」
先輩「もちろんウイルス感染も原因の1つだな。その他にもシステムやネットワークの脆弱性から、人為的なものまでさまざまだけど、主な原因となるのは以下の4つになる。それぞれについて説明しよう。」
- ウイルスへの感染
- サーバー、システムへの攻撃
- 情報漏えいと不正アクセス
- 内部的なヒューマンエラー
ウイルスへの感染
セキュリティインシデントが起きる原因の一つ目は、ウイルスへの感染だ。
ウイルスは悪意のあるソフトウェアを使ってコンピューターを不正動作させることで、情報を抜き取って外部へ流出させたり、感染したコンピューターやシステムを使用不能にさせるものだ。感染元からネットワークなどを通じて感染を拡大させることから、感染症のウイルスになぞらえてウイルスと呼ばれている。
ウイルスのほか、ランサムウェア、ワーム、トロイの木馬といったさまざまな種類があり、こうした悪意のあるプログラムは、まとめてマルウェアと呼ばれている。
マルウェアの中では、コンピューターのデータを勝手に利用不可の状態にし、再度利用できる状態に戻すことを身代金で要求するランサムウェアが近年では増加傾向にある。
マルウェアは常に新しい種類が生まれているため、セキュリティは最新の状況に対応できるようにし、また、誤ってマルウェアに感染しないように従業員も教育を徹底することが重要だ。
また、最近ではマルウェアと同じように動作しながら、マルウェアのようなプログラムの実体を持たない「ファイルレスマルウェア」も増えてきているんだ。
サーバー、システムへの攻撃
セキュリティインシデントが起こる原因の二つ目は、サーバー、システムへの攻撃だ。
大量のデータを送りつけることで、サーバーやシステムに負荷をかけてダウンさせる DoS・DDoS 攻撃が代表格だ。
その他にも、公開しているウェブアプリケーションの脆弱性を突く、クロスサイトスクリプテイングやバッファーオーバーフロー、不正なコードをウェブサイトに埋め込むインジェクションによるウェブサイト改ざんなどがある。
ウェブサイトの改ざんについては、攻撃をしかけられているという判断が難しいケースも増えてきており、セキュリティ対策の難易度は上がっている。
IT やシステムの担当者は、サーバーやシステムにおいて異常な動きや数値が出たら、すぐにシステムを停止させるなどの対応方法を決めておくほか、サーバーやシステムへの最新のセキュリティパッチの適用や、現在どのような脆弱性が見つかっているのか、それを利用した攻撃があるのかなど、最新の情報にアンテナを張っておく必要がある。
情報漏えいと不正アクセス
セキュリティインシデントが起こる原因の三つ目は、情報漏えいと不正アクセスだ。
近年目立って多いのが、標的型攻撃による機密情報の窃取と内部不正による情報漏えいだ。
情報漏えいは、発生してしまうと対応に膨大な時間と手間を要すること、また金銭的な損害賠償や、システムの停止や改修を伴う場合も多く、企業やブランドのイメージ低下と大きな金銭的な損失を招くリスクの高いセキュリティインシデントだ。
そして、企業や組織の ID やパスワードが漏えいした場合、企業や組織への不正アクセスにつながるケースもある。
漏えいした ID やパスワードなどを使い、企業のネットワークに侵入する不正アクセスは、従来のセキュリティ対策では検知が難しい。そのため、侵入者によってマルウェアが企業内にばらまかれたり、ウェブサイトやシステムの改ざん、さらなる情報漏えいといった、より大きな被害を受けることになる。
情報漏えいのほとんどはマルウェアへの対策と、システムで取り扱うデータを適切に管理することで防ぐことができる。内部不正が原因となるものについても、普段とは異なる不正な動きをすぐにキャッチできる仕組みを社内に整えておくことが重要だ。
内部的なヒューマンエラー
セキュリティインシデントが起こる原因の四つ目は、内部的なヒューマンエラーだ。
仕事で使用していたサービスやアプリケーションの設定ミスや、資料を添付したメールを間違った宛先に送ってしまうなど、従業員が意識をしないところで内部資料が外部に出ていたというのがこれにあたる。
こうした悪意のないセキュリティインシデントを防ぐには、セキュリティに関する人材教育や啓蒙活動を企業として実施したり、従業員が間違った行動をしていることを、素早く検知したり未然に防ぐような対策が必要になる。
セキュリティインシデント対応の流れ
新人「主な原因を見るだけでも、セキュリティインシデントを未然に防ぐのは、ほぼ不可能に近いですね。」
先輩「悪意のある攻撃だけでなく、内部不正やヒューマンエラーも原因だからね。セキュリティインシデントが発生した際にどういう対応をするかは、その後の工程にも大きな影響がある。セキュリティインシデント対応の基本的な手順について解説しよう。」
- STEP1:発見と報告
- STEP2:一時対応
- STEP3:調査と分析
- STEP4:恒久対応
- STEP5:公表
基本的な対応手順はこの5つだ。とはいえ、何よりも迅速な対応が必要だから、各STEPは並行で進められることも多い。ひとつずつ説明していこう。
STEP1:発見と報告
セキュリティインシデント対応の流れの STEP1 は、発見と報告だ。
まずは、セキュリティインシデントと思われる事柄を発見したら、速やかに責任者へと報告することが重要だ。
報告を受けた責任者は、その事柄を確認してセキュリティインシデントと特定した場合は、重要度とその影響範囲を判別し一時対応を進めると共に、攻撃なのか誤って検知されたものなのか、インシデントの調査を開始する。
STEP1 では、わかる範囲で事実を明文化し、スピード感を持ってマネジメントへのレポーテイングすることが大切だ。
STEP2:一時対応
セキュリティインシデント対応の流れの STEP2 は、一時対応だ。
セキュリティインシデントが発生した際に被害を最小限に留めるには、初動チーム全員が自分の役割とすべきことを確認し、各自がやるべきことを即座に取り掛かることが重要になる。
こうした効果的なインシデント対応を即時に開始するには、起こりうるセキュリティインシデントに対して、誰が何を判断するのか、権限の範囲はどこまでなのかをあらかじめ計画しておく必要がある。
システムの停止を伴うような場合は、その影響範囲や社外の関係者への連絡方法なども含めて、事前に準備しておくことが重要だ。
こうした対応を進めながら、原因の調査と、再発を防止する手段を講じていくことになる。
STEP3:調査と分析
セキュリティインシデント対応の流れの STEP3 は、調査と分析だ。
発生したセキュリティインシデントに対し、緊急措置として一時対応を講じたら、具体的な調査と分析を行うことになる。
適切な対応をするために、「いつ、どこで、誰が、何を、なぜ、どのようにしたのか」という 5W1H の観点で事実を客観的に調査し整理していくことが重要だ。
人の動きだけでなく、システムやデバイスに保存されたログを遡り、インシデントが発生する過程を事実に基づいて確認をしていく。
各種のログがどこに保存されているのか、またどのようなレベルでログを取得しているかなどを事前に調べて置くことで、調査期間の短縮と精度を向上させることができるから、調査の段階でも事前での準備は非常に重要な項目だ。
STEP4:恒久対応
セキュリティインシデント対応の流れの STEP4 は、恒久対応だ。
セキュリティインシデントの調査と分析をおこなったら、次は同じインシデントが再発しないための施策を実施する必要がある。
インシデントの根本原因へ回避策を打つために、セキュリティの仕組み自体を変更する必要があったり、業務フローの見直しといった実務面での対策が必要になる場合もある。
同じセキュリティインシデントを2度起こしてしまうと、企業としての信頼を大きく失うことになってしまう。
再発をしないことは企業経営において非常に重要なことであり、根本原因に対応するための必要な手段をしっかりと行うことが大切だ。
STEP5:公表
セキュリティインシデント対応の流れの STEP5 は、公表だ。
総務省の有識者会議でのまとめでは、セキュリティインシデントが発生した場合、公表のタイミングを「個人情報などの流出が疑われる時点で、速やかに公表を検討することが望ましい」とし、速やかな実施を求めている。
速報的な公表は STEP1〜2のタイミングで行うことが多く、調査を経て、社会的な信頼を取り戻すべく、再発防止策も添えた最終的な公表をする。
最終的な公表は、セキュリティインシデントの発生から半年から1年ほどかかる場合もあるが、セキュリティインシデントに対してはスピード感が何より重要となる、なるべく迅速に調査し結論づけて最終的な公表をする必要がある。
現在のセキュリティインシデント対応の課題
新人「言われてみると、対応方法は『あたりまえ』の事だけという気もしますが、いざセキュリティインシデントが発生すると、この通りにできるかわかりませんね。」
先輩「その通り、セキュリティインシデントに対応するための、課題について整理してみようか。」
- インシデントに専門知識をもって対応する「体制」が整っているか
- インシデントが発生してからの「迅速な対応」の手順が明確か
- インシデントを未然に防ぎ、最新の情報を共有するための「教育」をしているか
これら3つの観点から企業や組織ごとのセキュリティインシデント対応への課題を洗い出していく必要がある。
現在は、サイバー攻撃も進化してきているから、攻撃を 100% 防ぐことが難しくなってきている。そのために、セキュリティインシデントも外部からの指摘を受けてから対応が始まることも多い。
だから課題を洗い出す時には、すでに攻撃された状態から対応を開始するという前提で、考えていくことが重要だな。
近年のセキュリティインシデントへの対応で必要なこと
新人「体制と手順と教育の課題ですか・・・。なんとなくはわかりますが、具体的にはどういった対策が必要になるのでしょうか。」
先輩「現在のセキュリティインシデントは、対応を間違うと企業や組織が大きなダメージを受ける可能性がある。だから、企業や組織全体でどう動くのかを想定しておかなければいけない。当然、それを主導するIT部門やセキュリティ担当者は、常に最新の情報をインプットして、対策の見直しや強化をおこなったり、従業員への教育をすることが必要になる。」
課題のところで上げたセキュリティインシデントへの対応で必要なことは以下の3つだ。
一つずつ説明していこう。
- インシデント発生時に向けた体制の用意
- 迅速な対応
- セキュリティに対する人材教育
インシデント発生時に向けた体制の用意
近年のセキュリティインシデントへの対応で必要なことの一つ目は、インシデント発生時に向けた体制の用意だ。
インシデントが発生することを想定した上で、実現可能な対策と実行体制を予め決めておかないと、いざという時に、確認や承認に時間が非常にかかってしまう。それを避けるためにも、あらかじめ全社的な体制の構築をしておくことが重要だ。
インシデントが発生した場合の初動体制や対応にあたってのルール、システムの設定に関する情報や重要データのバックアップなど、一時対応から復旧までに必要なインフラを予め準備しておくことが被害を最小限に抑えることに繋がる。
現在のサイバー脅威は「100%防げない」ことを前提に、社内のシステムと組織の体制を整える必要があると言えるだろう。
迅速な対応
近年のセキュリティインシデントへの対応で必要なことの二つ目は、迅速な対応だ。
サイバー攻撃が、高度化・複雑化する中で全ての対策を事前に徹底することは難しい。 セキュリティインシデントが発生してもいち早く検知し、対策を実行することで被害の拡大を防ぐという考え方も重要だ。そのために、異常な動きをいかに速く検知や隔離、削除できるような仕組みへと強化できるかが大切だと言える。
テレワークが広がる中で、オフィス外に持ち出されるデバイスの増加や、複数のクラウドサービスを横断してビジネスを進めることが普及する中で、既存の境界型のセキュリティ対策に代わり、ゼロトラストセキュリティのような改めて注目を集めているソリューションや、侵入前提のセキュリティ対策が可能になる EDR といった、新しいセキュリティソリューションの導入を考えているところも増えているんだ。
セキュリティに対する人材教育
近年のセキュリティインシデントへの対応で必要なことの三つ目は、セキュリティに対する人材教育だ。
現代のビジネス環境において、システムだけでセキュリティのリスクを全て排除することは不可能だ。
自社を脅かすような新しいサイバー攻撃の情報や、世間で話題になっているセキュリティインシデントの内容と原因といった、従業員のヒューマンエラーを避けるための啓もう活動だけでなく、従業員が不正な活動や、間違いを犯さないようにするための事前教育が必要になる。
従業員教育をすることで、不要なメールやリンクのクリック、ヒューマンエラーによる情報漏えいを防ぐといった基本的な対策は、サイバー攻撃を呼び込まないためにも重要な要素だ。
まとめ
新人「セキュリティインシデントへの対応は、まずは事前準備、そして発生時にはスピードが重要ということですね。」
先輩「その通り。セキュリティインシデントは企業や組織の規模に関わらず発生するが、企業の規模が大きくなるほど事前に体制を確認しておかないと、スピード感のある対応は難しくなる。セキュリティインシデントに関しては、対応の遅れがそのまま被害額に直結することもあるから、事前の準備は絶対にしておくべきだな。」
新人「うちの部署だと、どういう体制なんでしたっけ?」
先輩「セキュリティインシデントの発生時はまずは部長への連絡だが、規模や内容によっては社長へ直接連絡するモノもあるぞ。あとで一緒に確認しておこう。」
新人「はい、よろしくお願いいたします!」
本記事では、最近のセキュリティインシデントの傾向とその対応についてまとめて解説しました。
セキュリティインシデントが自社で発生しないように対策をすると共に、発生してしまった場合に、いかに迅速に対応ができるかが非常に重要なポイントです。
セキュリティインシデントに対して、後手に回らない社内体制と仕組みを事前に構築することが、今、企業に求められています。
テレワークという新しい働き方が広がる中で、その環境に対応できるセキュリティ対策を改めて確認して進めていくべきだと言えるでしょう。
SB C&S では、これからのビジネス環境に対応した、セキュアなデジタルワークスペースによりゼロトラストセキュリティを実現する「 VMware Workspace ONE」や、デバイス毎の振る舞いを監視する EDR(Endpoint Detection and Response)を提供してエンドポイントのセキュリティを強化する、クラウドベースのセキュリティソリューション「VMware Carbon Black Cloud」、企業のネットワークとセキュリティをクラウドで統合し、必要な機能をエッジに対して提供する「VMware SASE」など、VMware Security による本質的なセキュリティを実現するさまざまなソリュ―ションを提供しています。詳しくは、下記のページまたは製品情報をご確認ください。
VMware が提唱する
VMware Security ソリューション
-
新しい時代に対応する VMware のセキュリティ VMware Security は、これまでとは異なるアプローチで「一歩先を行く対策」を実現する新しい考え方です。VMware が提唱する次世代のセキュリティである VMware Security、SASE (サッシー)、ゼロトラストセキュリティを実現する、セキュリティソリューションについて分かりやすく解説します。
テレワークを"あたりまえ"にする
デジタルワークスペース
-
VMware Workspace ONE モダンマネジメントを実現し、さまざまなデバイスから、いつでもどこでも、簡単・セキュアに業務アプリケーションを利用できる「デジタルワークスペース」を提供するプラットフォーム
ゼロトラストの思想を包含する
ネットワーク・セキュリティ・プラットフォーム
-
エッジとなる拠点やデバイスに対して、ネットワーク通信の最適化とゼロトラストセキュリティによる認証の保護、アクセスの保護を提供する、VMware が独自に提供する SASE を実現するアーキテクチャ