「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
今だから再認識したいセキュリティの原則 彼を知り、己を知る
2021-07-06
今回は、サイバーセキュリティ対策を考える上で、その脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
「彼を知り、己を知る」
孫子に、「彼(敵)を知り己を知れば百戦殆(あや)うからず」という教えがあります。これは、相手を理解し、自分の弱点をよく知っていれば、負けることはないという意味です。セキュリティ対策にも似たところがあります。以前、セキュリティ対策を考える際は、脅威と脆弱性を同時に考慮することが重要と解説しました。これは、この孫子と同じ考え方だと思います。では、順を追って説明します。
脅威を知るということは、彼(敵)を知るということ
脅威とはリスクを発生させる要因のことで、損害につながる要因と言い換えることができます。また、脅威とは組織の外にあるリスクの要因であり、情報セキュリティの分野においては、発生原因に応じて(1)環境、(2)ミス、(3)故意の3つに分けて整理することがあります。これにより対策を検討しやすくなります。
では、これらに起因した脅威シナリオを考えてみましょう。
(1)環境 落雷の過電流によるコンピュータの故障、地震で電源を喪失したことによるシステム停止、洪水でサーバーが浸水したことによるハードの故障、火災によるサーバー焼失
(2)ミス 作業ミスによるデータの消去、設定ミスによる重要データの外部への暴露、プログラム忘れによるシステム破壊
(3)故意 管理者権限のある内部者による重要データの持ち出し、設定ミスを利用して管理者権限を取得した外部者による重要データの破壊、OSの脆弱性をついて管理者権限を取得した内部者による重要システムのプログラム改変
このような脅威シナリオが発現しないよう、対策を立てることが求められます。対策ができていないところが弱点、すなわち脆弱性であり、リスクなどを踏まえて対処することが必要です。
脆弱性を知るということは己を知るということ
脅威に対する自らの弱点、つまり脆弱性を知るためには、自らをよく理解することが必要です。そして、脅威に対する脆弱性を無くすことがセキュリティ対策といえます。自らをよく見ることが、自らの弱点を無くしていくことにつながるのです。
セキュリティ対策を検討するにあたっては、情報セキュリティマネジメントの国際標準であるISO/IEC 27001や、米国のサイバーセキュリティフレームワークといった標準的なセキュリティ管理基準などと比較することでその網羅性を確認したり、脆弱性テストや擬似ハッキングを行うことで対策の実効性を調べたりすることが有効です。これにより、自らの脆弱性をより深く理解することができます。
サイバーインシデントを想定した訓練で対策の実効性を確認したり、内部監査の過程を通じて管理体制の課題を把握したりすることもできますが、これらも広い意味では脆弱性を理解するための行為と言えます。
高まる外部からの脅威
インターネットが普及する1990年代前半以前は、故意による脅威の中心は内部者、そして物理的に侵入する外部者によるものでした(もちろん電話回線経由のハッキングの可能性もありました)。
しかしインターネットが普及した現在、その脅威の中心は内部者とインターネット経由で侵入する外部者となりました。特にインターネット経由で侵入する外部者の脅威は、その他の脅威と比べても歴史が浅いうえ、技術的な変化も速く、迅速な対応が重要になっています。
外部者による攻撃への備え
インターネットの「向こう側」にいる攻撃者は、こちらからは物理的に姿が見えず、誰が、なぜ攻撃をしてきているかを知ることは容易ではありません。攻撃の意図がわからなければ、どのような資産を重点的に守るべきかを見極めることは困難です。
また、誰が攻撃をしてくるかがわからなければ、どのような手法で攻撃を仕掛けてくるのかも判断しにくく、効率的な「守り」を考えることが難しくなります。
したがって、誰が、どのような意図を持って攻撃しようとしているのかを知ることが、外部者による攻撃への備えとして重要となります。
世界中にはさまざまな意図を持った攻撃者がいるため、それらを全て把握することは不可能です。このため、現実的には自社の組織と関係がありそうな攻撃者と、その意図を理解しようとすることが重要です。
そのためには何が必要でしょうか。
例えば、特定の国家が背景に存在するとみられる攻撃者であれば、国際政治情勢を理解しなければなりません。また、ベンダーなどが公表している脅威に関する情報から、どのような攻撃者がどのような手法で攻撃をしているかを学び、自社への攻撃の可能性や守りの状況などを確認することも重要です。
これまでは自らの脆弱性を理解し、そこに対応することでセキュリティ対策は一通り成立していたのかもしれません。しかし、外部攻撃者の脅威がますます強まってくる状況下においては、攻撃者とその意図を知る、つまり「彼を知る」ことがますます重要になってきます。
このように「彼を知る」ための対策として、近年注目を集めているのが「サイバーインテリジェンス」です。PwCコンサルティングでは、マクロ環境、攻撃者動向、組織のビジネス特性という3つの観点からサイバー脅威の全体像を捉え、顕在化前の脅威を読み解き、先回りのアクティブ防御を実現するサイバーインテリジェンスサービスの提供が始まります。本サービスを通じ、私たちもセキュリティ対策の高度化支援により一層励みたいと思います。
今だから再認識したいセキュリティの原則
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
「営業秘密」の保護と利活用
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
