サイバーリスク管理

サイバー攻撃が蔓延し、データ侵害の脅威は絶えることがありません。そのため、実効性の高いサイバーセキュリティプログラムを用意することが何よりも重要になっています。このガイドでは、これら攻撃の歴史や攻撃者の素性についてご説明するとともに、強固なサイバーセキュリティプログラムを構築したり、既存のプログラムを強化したりできる実用性の高い施策をご紹介いたします。 

サイバーリスクとは

Institute of Risk Managementでは、サイバーリスクを「情報テクノロジーシステムに発生したなんらかの問題による、金銭的な損失またはブランドイメージの失墜ないしは崩壊のリスク」と定義しています。デジタルフットプリントの数が増加するのに伴い、サイバー攻撃の対象となる領域が拡大するので、組織は従来よりも攻撃を受けやすくなっています。そして、革新的なビジネスモデルが登場し、モビリティやクラウドなどの新たなテクノロジーの導入が進むにつれ、日々新たな脅威の存在が明らかになっているのです。組織にはもう、セキュリティ対応を後回しにしておく余裕はありません。 

サイバーセキュリティのリスク管理の歴史 

1980年代後半からデジタルシステムは、情報の窃取や不正アクセスを企むサイバー犯罪者の攻撃を受けやすくなりました。初めて普及したDoSであるMorris Wormが1989年に出現し、6,000台のコンピューターが影響を受け、10万米ドルから1,000万米ドル相当の被害が生じています。これを皮切りにその後、次々と攻撃が発生し、攻撃の規模はずっと大きくなりました。今日では数百万のシステムに影響が生じており、莫大な被害額になっています(例えば、流通小売事業者を標的にした2013年のサイバー攻撃では、4,000万枚ものクレジットカードが影響を受けました)。 

サイバー攻撃に対応するために組織内に早くから設けられたチームとして、Computer Emergency Response Team(CERT)があります。この戦術チームはインシデントが発生した際にダメージを修復する役割を担います。しかし、このチームには攻撃を未然に防ぐツールがありませんでした。そこで導入されたのが、アンチウイルスソフトウェアです。アンチウイルスソフトウェアは、サイバーセキュリティ.のための代表的なソリューションとなり、攻撃を撃退するための第一の手段として頻繁に使用されることになります。20世紀後半にサイバーセキュリティの世界が新たな局面を迎えるまでの間、アンチウイルスソフトウェアは大いに組織の役に立ちました。ところが、今世紀に入ると世界中でサイバー攻撃の規模が拡大し始め、その内容も激しさを増していったのです。直近では、WannaCryとEternal Blueというその悪質さが広く知れ渡った2つの脅威が米国国家安全保障局などの強力な機関を混乱に陥れています。一方組織は、次のソリューションを探す代わりに、サイバーセキュリティの戦術を取り揃え攻撃者に一歩先んじられるセキュリティチームを設置することが必要であると認識するようになりました。 

サイバー犯罪の背後に存在する人物やグループ

サイバー犯罪の背後には犯罪を指揮したり直接手を下す人物やグループが存在します。これらの人物やグループを定義する際に、ベライゾンでは、「企業や組織に脅威を与える役者という意味の「Threat Actor」という用語を使っています。ベライゾンの最新のデータ漏洩/侵害調査レポートによれば、侵害のほとんどは、以下のようなThreat Actorによるものであることが解っています。

組織犯罪:サイバー犯罪は、ほとんどの場合金銭目的で行われています。社会保障制度の番号や医療記録、クレジットカード情報、銀行口座情報などのような、顧客や従業員に関して個人を特定できる情報(PII)が狙われます。重要なリソースを乗っ取り、脅迫を行う攻撃もあります。

国家主導型サイバー犯罪者グループ:このグループは通常、政治、経済、技術、軍事に関わる目的を動機としており、スパイ活動に利用するための情報を探し求めています。外部の攻撃者によるサイバー攻撃の79%は、国家主導の攻撃です。

アクティビスト:これらの攻撃者には政治的な目的があり、プロパガンダを拡散し、自らの主義主張を広めようとします。このタイプの攻撃者の数はここ数年減少し続けています。

内部の攻撃者:このタイプの攻撃者は組織のデータにアクセスできる権限を持った内部の関係者です。多くの場合、現行の従業員による権限の悪用が侵害の原因になります。ただし、既に退職した従業員やパートナーの従業員が怨恨や金銭目的で攻撃を仕掛けるケースもあります。 

悪意のない内部ユーザーなど:エラーが発生したり、悪意のない従業員がデータの扱いを誤ったりしたときにも侵害が発生する恐れがあります。ネットワーク問題やデータ管理プロトコルの不備、あるいは本来与えてはならない権限をユーザーに与えてしまったことが原因になる場合もあります。 

サイバーリスク管理の標準化 

サイバーセキュリティが組織にとっての最優先事項となった結果、リスク管理プロセスやリスク管理プロトコルの標準化が進みました。標準には、FAIRやISO、COSO、NISTなどのような情報セキュリティモデルや運用リスクモデルがあります。 

COSOでは、企業のリスク管理を次のように定義しています。「組織の役員、管理職、その他の社員によって有効になるプロセス。企業全体で戦略設定に適用される。組織に影響を及ぼす恐れのある潜在的なイベントを特定し、許容できる範囲内にリスクを抑制して、組織の目標達成を適切に保証できるようにするのがその目的である」。 

これらのモデルの他に、さらに3つの要素が新たに重要になっています。これらは、回復力の高い業務環境を実現し、サイバーリスクに対処できるようにするためのスターティングポイントの役割を果たします。 

1. ガバナンスの構造:リスク管理はトップダウンのアプローチで行うべきです。まずは、経営幹部と定期的に連絡を取るリスク委員会の設置を検討します。このような委員会があれば適切なサイバーリスク管理プロトコルを定めることが可能になり、組織全体にそのプロトコルを守らせることができます。 

2. 許容できるリスクのレベル:組織は、耐えられるリスクのレベルを判断しなければなりません。結論として、この時代のビジネスでは、あるレベルのリスクはどうしても避けることができないからです。許容可能なリスク範囲を明確にしておけば、脆弱性のリスクを認識した時点で直ぐに対処ができる体制を、組織のあらゆるレベルで整えられるようになります。

3. ポリシーと手続き:リスク管理プランは、職場環境に自然なかたちで同化させる必要があります。リスク管理ポリシーは組織のあらゆるレベルに適用します。従業員はリスクの基本概念を理解しなければなりません。その内容を行動に反映させる方法を当初より知っている必要があります。さらには、組織内に存在するあらゆるデータ駆動型資産の調査を行います。そして、脆弱性を修正しリスクに対処するためのポリシーを資産ごとに策定します。 

サイバーリスク管理プラクティスを適切なかたちで維持できないと、重大な支障をきたすことになります。資産が侵害を受けるリスクが生じ、ビジネスの健全性を脅かすインシデントが発生する恐れがあります。しかもそればかりか、顧客を失ったり、行政上の罰金を科されたり、民事訴訟に巻き込まれたりする危険もあります。また、EU域内で事業を行っている企業の場合は、データ管理とプライバシーの基準である一般データ保護規則(GDPR)も遵守しなければなりません。いまだ新たに制定され続ける数多くの他の規制も含め、もしもGDPRの遵守を怠ったときには、重い処罰を受けることになります。

サイバーリスクのチェックリスト

強力なサイバーセキュリティ戦略の策定の必要性を理解できたところで、早速行動に移りましょう。まずは以下の問いに答えてください。

  • 現時点でどの程度のレベルでサイバーリスクが存在し、そのリスクがビジネスに及ぼす影響はどれぐらいあると考えられるか。特定できたリスクに対処する場合、どのようなプランが考えられるか。 
  •  経営幹部には現在どのような方法でサイバーリスクを知らせているか。 
  • 現行のサイバーセキュリティプログラムは、どのように業界標準やベストプラクティスが反映されているか。 
  • 1週間に検知されるサイバーインシデントは平均いくつあるか。それはどのようなタイプのインシデントか。経営幹部に問題の発生を知らせるかどうかを、どのレベルを基準にして判断すべきか。 
  • 自社のサイバーインシデント対応プランはどの程度広範な領域を扱うことができるか。プランのテストはどのくらいの頻度で実施されているか。
  • パスワードのポリシーは強固であるか。このポリシーは組織全体に適用すべきか。 
  • データはどこに保存されているか。データの保存場所には、サーバーやワークステーション、モバイルデバイス、USBメモリ、バックアップシステム、クラウド上の領域などがあります。
  • 個人を特定できる情報が含まれている物理ファイルやドラフトドキュメントはどのように扱うべきか。 
  • オフィスに保管しているバックアップメディアは暗号化されているか。バックアップが完全で利用可能な状態であることを確認してあるか。
  • 正しいセキュリティの在り方に関する教育を従業員に実施しているか。これには、フィッシングやファーミング、ランサムウェア攻撃、ソーシャルメディアを介した攻撃などのサイバー攻撃手法について説明することや、メールを通じた攻撃に対処するためのトレーニングも含まれます。従業員にメールセキュリティ脅威のトレーニングを実施しましたか。
  • 侵害が発生した場合にそれに対処するためのプランは用意されているか。侵害の発生に備えてサイバーセキュリティ保険に加入しているか。

ベライゾンによるサポート

これらの問いに答えを出すことが、組織で必要とする強靭なセキュリティプロトコルを作成する上でまず取り組むべき事柄です。Cyber Risk Monitoring では、組織のリスクに対する姿勢を個別に分析し、問題に対処するための手順をご提供します。業界屈指のセキュリティ企業各社が提供する、ワールドクラスのソリューションをベライゾン独自のインテリジェンスと組み合わせ、セキュリティ環境の状態を詳細に把握できるようにしています。 

米国では、いくつかの最大規模かつ極めて複雑な組織にベライゾンがサポートを提供し、そのセキュリティを維持しています。米軍がサイバーリスクへの備えを強化する上でもベライゾンはサポートを行っています。詳細はこちらからご覧ください。