「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
今だから再認識したいセキュリティの原則 彼を知り、己を知る
2021-07-06
今回は、サイバーセキュリティ対策を考える上で、その脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
「彼を知り、己を知る」
孫子に、「彼(敵)を知り己を知れば百戦殆(あや)うからず」という教えがあります。これは、相手を理解し、自分の弱点をよく知っていれば、負けることはないという意味です。セキュリティ対策にも似たところがあります。以前、セキュリティ対策を考える際は、脅威と脆弱性を同時に考慮することが重要と解説しました。これは、この孫子と同じ考え方だと思います。では、順を追って説明します。
脅威を知るということは、彼(敵)を知るということ
脅威とはリスクを発生させる要因のことで、損害につながる要因と言い換えることができます。また、脅威とは組織の外にあるリスクの要因であり、情報セキュリティの分野においては、発生原因に応じて(1)環境、(2)ミス、(3)故意の3つに分けて整理することがあります。これにより対策を検討しやすくなります。
では、これらに起因した脅威シナリオを考えてみましょう。
(1)環境 落雷の過電流によるコンピュータの故障、地震で電源を喪失したことによるシステム停止、洪水でサーバーが浸水したことによるハードの故障、火災によるサーバー焼失
(2)ミス 作業ミスによるデータの消去、設定ミスによる重要データの外部への暴露、プログラム忘れによるシステム破壊
(3)故意 管理者権限のある内部者による重要データの持ち出し、設定ミスを利用して管理者権限を取得した外部者による重要データの破壊、OSの脆弱性をついて管理者権限を取得した内部者による重要システムのプログラム改変
このような脅威シナリオが発現しないよう、対策を立てることが求められます。対策ができていないところが弱点、すなわち脆弱性であり、リスクなどを踏まえて対処することが必要です。
脆弱性を知るということは己を知るということ
脅威に対する自らの弱点、つまり脆弱性を知るためには、自らをよく理解することが必要です。そして、脅威に対する脆弱性を無くすことがセキュリティ対策といえます。自らをよく見ることが、自らの弱点を無くしていくことにつながるのです。
セキュリティ対策を検討するにあたっては、情報セキュリティマネジメントの国際標準であるISO/IEC 27001や、米国のサイバーセキュリティフレームワークといった標準的なセキュリティ管理基準などと比較することでその網羅性を確認したり、脆弱性テストや擬似ハッキングを行うことで対策の実効性を調べたりすることが有効です。これにより、自らの脆弱性をより深く理解することができます。
サイバーインシデントを想定した訓練で対策の実効性を確認したり、内部監査の過程を通じて管理体制の課題を把握したりすることもできますが、これらも広い意味では脆弱性を理解するための行為と言えます。
高まる外部からの脅威
インターネットが普及する1990年代前半以前は、故意による脅威の中心は内部者、そして物理的に侵入する外部者によるものでした(もちろん電話回線経由のハッキングの可能性もありました)。
しかしインターネットが普及した現在、その脅威の中心は内部者とインターネット経由で侵入する外部者となりました。特にインターネット経由で侵入する外部者の脅威は、その他の脅威と比べても歴史が浅いうえ、技術的な変化も速く、迅速な対応が重要になっています。
外部者による攻撃への備え
インターネットの「向こう側」にいる攻撃者は、こちらからは物理的に姿が見えず、誰が、なぜ攻撃をしてきているかを知ることは容易ではありません。攻撃の意図がわからなければ、どのような資産を重点的に守るべきかを見極めることは困難です。
また、誰が攻撃をしてくるかがわからなければ、どのような手法で攻撃を仕掛けてくるのかも判断しにくく、効率的な「守り」を考えることが難しくなります。
したがって、誰が、どのような意図を持って攻撃しようとしているのかを知ることが、外部者による攻撃への備えとして重要となります。
世界中にはさまざまな意図を持った攻撃者がいるため、それらを全て把握することは不可能です。このため、現実的には自社の組織と関係がありそうな攻撃者と、その意図を理解しようとすることが重要です。
そのためには何が必要でしょうか。
例えば、特定の国家が背景に存在するとみられる攻撃者であれば、国際政治情勢を理解しなければなりません。また、ベンダーなどが公表している脅威に関する情報から、どのような攻撃者がどのような手法で攻撃をしているかを学び、自社への攻撃の可能性や守りの状況などを確認することも重要です。
これまでは自らの脆弱性を理解し、そこに対応することでセキュリティ対策は一通り成立していたのかもしれません。しかし、外部攻撃者の脅威がますます強まってくる状況下においては、攻撃者とその意図を知る、つまり「彼を知る」ことがますます重要になってきます。
このように「彼を知る」ための対策として、近年注目を集めているのが「サイバーインテリジェンス」です。PwCコンサルティングでは、マクロ環境、攻撃者動向、組織のビジネス特性という3つの観点からサイバー脅威の全体像を捉え、顕在化前の脅威を読み解き、先回りのアクティブ防御を実現するサイバーインテリジェンスサービスの提供が始まります。本サービスを通じ、私たちもセキュリティ対策の高度化支援により一層励みたいと思います。
今だから再認識したいセキュリティの原則
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
Loading...
