{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サイバーインテリジェンス活用によるセキュリティ課題の解決-経営層の意思決定につながるサイバーセキュリティリスクレポートとは
2023-01-13
はじめに
IPA(独立行政法人情報処理推進機構)が毎年リリースしている「情報セキュリティ10大脅威」において、「標的型攻撃」は10年前に最も大きな脅威として1位にランクされていましたが、2022年版でも2位に入るなど、この10年の間、常に上位3位以内に入っています。そしておそらく、企業のセキュリティ部門が経営層に提出するリスクレポートにおいても、この10年間「標的型攻撃」が取り上げられ続けていると推察されます。
多くの経営者がセキュリティ部門からの求めに応じて、標的型攻撃への対策として毎年予算を投じています。しかし、その際に自社の残存リスクをしっかりと把握した上で、意思決定ができているでしょうか。またセキュリティ部門は10年前に比べて、標的型攻撃に対する自社のリスクが大きくなったか、あるいは小さくなったかを経営層に正確に報告できているでしょうか。
本稿では、サイバーインテリジェンスを活用した経営層向けのレポートのあり方について解説します。
経営層へのリスクレポートにおける課題
多くの経営層がリスクレポートに求める2つの観点について考察します。
リスクの大きさ
経営層に報告されるリスクの単位は、概ね「情報の漏洩または改竄」「サービスの停止」といった粒度になります。
この粒度は被害状況をイメージしやすい反面、リスクの大小が測りにくく、報告に不向きな一面があります。
例えば、標的型攻撃は複数の攻撃手法の連鎖によって形成されますが、同じ攻撃手法の連鎖であっても、攻撃者の最終目的によって情報漏洩とサービス停止の双方ともが起こり得ます。つまり、リスクを構成する要因(攻撃手法)が同じであるがゆえに、それぞれのリスクの蓋然性に差が生まれず、リスクの大小を測ることができないのです。
リスクの根拠
「情報の漏洩または改竄」「サービスの停止」などのリスクが生じる根拠を説明するにあたり、多くの場合ではこれらの被害が顕在化する際のサイバー攻撃のシナリオが報告されています。
サイバー攻撃のシナリオは、正確性を重視すると専門用語の羅列になってしまうため、経営層が理解できる「標的型メール」「ランサムウェア」「内部不正」などのキーワードをシナリオの代替として扱うケースが散見されます。このようなキーワードのみでは、リスクだけでなくその根拠となるシナリオも毎年同じ内容になってしまい、自社が抱えるリスクを正確に報告できていないだけでなく、何ら対策が進んでいないように読み取れてしまいます。
このような報告内容では、経営層がサイバーセキュリティの実情を理解し、リーダシップを発揮することは難しいと言えます。
サイバーインテリジェンスを活用した経営層報告
経営層へのリスクレポートを改善する1つの解として、サイバーインテリジェンスの活用が挙げられます。正しく活用することで、例えば「当社を狙うサイバー攻撃者が利用する攻撃手法のうち68%は防御でき、残りの20%は検知できます」といった、具体的な報告を行うことが可能になります。
サイバーインテリジェンスの活用例
PwCのサイバーインテリジェンスでは、世の中で観測されているサイバー攻撃手法の全量および、それらの中からクライアント企業を狙う恐れのある脅威アクターの攻撃手法を一覧化することができます(下図左)。
本図の「フェーズ」では、「悪意のあるプログラムが配送される」「それが実行される」「攻撃者とのコネクションが形成される」といった攻撃の順序を示します。またフェーズの下に並ぶ「攻撃」は、当該フェーズで用いられる攻撃手法やテクニックを示します。オレンジの背景色は、自社を狙う脅威アクターが用いる攻撃手法を示します。
このようなフォーマットで可視化されたサイバー攻撃手法の全量に対して、自社のセキュリティ対策の効果を測定できれば、現行のセキュリティ対策の効果を確認できると同時に、保有するサイバーリスクの全量を把握することもできます(上図右)。
また、この結果を要約することで、冒頭に記載したように具体的な数値と根拠をもって、自社が抱えるサイバーリスクの状況を経営層に報告することができます。さらに、新たに観測された脅威手法を本レポートに組み入れることができれば、「新たな攻撃手法の台頭により、前年度68%の防御機能が50%に落ち込み、情報漏洩などのリスクが高まっている」といったように、説得力のある報告が可能となります。
セキュリティ戦略への昇華
上述のサイバーインテリジェンスを活用したレポートを、企業におけるシステム環境単位で作成することで、積極的に投資すべきシステム環境※が見えてきます。
システム環境単位でのレポートを比較すると、サイバー攻撃に対して脆弱なシステム環境が浮き彫りになり、セキュリティ耐性を向上するために企業が優先的に投資すべき環境が明らかになります(下図)。
※この場合の「システム環境」とは、IT環境、OT環境、グループ子会社、海外拠点などを指します。
また、グループ子会社や海外拠点のレポートを同様に比較することで、グループガバナンスの戦略が見えてきます。
企業にとってのサイバーリスク(攻撃者が用いる攻撃手法)は、その企業の地理的環境や業種によって異なります。例えば、コングロマリット企業においては、ネットビジネスや金融系ビジネスなどの事業の違いによって攻撃者は異なり、その攻撃手法にも違いが生じます。
つまり、グループ全体で共通するリスク(攻撃手法)に対する対策と、個社単位のリスクへの対策を、より具体的にグループガバナンスとして整理することが可能となります。
おわりに
サイバーインテリジェンスを活用することで、経営層に対して自社が抱えるサイバーセキュリティリスクを具体的かつ明瞭に報告することが可能となります。なぜ、10年もの長い間にわたって標的型攻撃に対してセキュリティ予算を投じ続ける必要があるのか。その答えを論理的に説明するにあたり、サイバーインテリジェンスの活用が有効な手立てになるでしょう。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
