名和 利男が説く、経営判断に不可欠な「脅威・脆弱性情報」の利活用術 第3回

2018-07-23

ITに依存した今日のビジネス環境下、サイバー攻撃は経営の根幹をゆるがす重大な脅威です。サイバー攻撃を未然に防ぐための準備に加え、サイバー攻撃を受けた際に、最適な対処・対応をいかに迅速に進めるかが重要になります。

サイバーリスクを経営課題として、経営層が自ら取り組むことの重要性を説く本コラム。前回は、脅威の動向を知ることで、経営層による迅速かつ適切な判断が成り立つことを説明しました。今回は、最近発生したサイバーインシデントの具体例をもとに、脅威動向を推察し事業継続を実現するための経営判断について解説します。

PwCサイバーサービス合同会社 最高技術顧問 名和 利男

サイバーリスクを踏まえた事業戦略の必要性

去年から「偽旗作戦(にせはたさくせん)」という種類のサイバー攻撃が増加しています。偽旗作戦とは、サイバー攻撃の発信元や手法などを偽装して、別の組織や国に責任を転嫁する攻撃です。そもそも軍事作戦のひとつで、自国以外の偽の国旗を掲げて相手を欺く行為から名づけられたものです。2018年2月に、偽旗作戦を利用したサイバー攻撃が発生しました。当初は発信元などの情報から、悪意を持ったとある国家による攻撃だと考えられていました。多くの研究者が長い時間をかけ、攻撃のスタイルやマルウェアの中身を調査した結果、実は別の国家に属する組織がなりすました偽旗作戦であったことが判明したのです。

サイバー攻撃の巧妙化は、攻撃検知を逃れるだけではなく、検知後の解析において攻撃者や手法を隠蔽するところにまで及んでいます。偽旗作戦のようなサイバー攻撃手法を速やかに見極めることは困難であり、サイバー攻撃による事業停止や損失を想定すれば、適切な対応を講じるための高度な知見を有する専門家の関与が不可欠です。そのためには、常にセキュリティ担当者のスキルを向上すること、あるいは外部の専門家を活用することも選択肢の一つとして検討することが必要です。経営者は、セキュリティエンジニアのように技術的な内容の把握までは行わなくとも、サイバーリスクを見極めつつ、サイバーセキュリティ対策に必要な経営判断を下せる知識を確保した上で、事業継続に取り組まなければなりません。

サイバーセキュリティ対策に必要な人材育成や外部の専門家活用は、サイバーリスクに備えた経営戦略でもある

サイバー脅威動向の把握はなぜ重要か

ステガノグラフィー(Steganography)という、データを隠す技術を使ったサイバー攻撃が発生しています。サイバー攻撃では、マルウェアなどの不正プログラムを、画像や文字列といった他のデータに埋め込む隠蔽技術として利用されているのです。この技術によってマルウェアなどが隠されていると、一般的なセキュリティ対策ソフトでは検出が困難です。もしこの攻撃でマルウェアが社内ネットワークに侵入し感染してしまったら、侵入経路や調査に時間がかかり、迅速な駆除やデータ保全といった対応が取れなくなるおそれがあります。

これまでにもステガノグラフィーを使った攻撃は発生していましたが、技術利用の難易度が高かったため、件数は多くありませんでした。ところがサイバー攻撃に利用できるツールが最近流通しはじめたことで、増加傾向にあります。

机上の空論と思われていたような攻撃も、技術進化で可能になり、ツールの出現が普及を後押しします。新しい攻撃手法を予想することは困難ですが、現時点での攻撃手法の動向を認識し、適切な対策を迅速に指示することができます。悪意のサイバー攻撃で事業を止めないためにも、常日頃から脅威情報に目を光らせておくことが重要です。

新しいサイバー攻撃が発生しても、脅威情報から攻撃手法の動向を把握していれば、適切な対策を講じることができる。

あらゆるサイバーリスクに備える

マルウェアによるデータ破壊や個人情報取得を目的としたサイバー攻撃だけではなく、個人のプライバシー情報をWeb上で公開する「Doxing」という攻撃手法があります。Doxingとは日本語で「晒し」を意味する、英語のインターネットスラングです。

Doxingはコンピュータシステムではなく、「人そのもの」をターゲットにした攻撃です。企業の経営層をターゲットにして、他人には知られたくないプライバシー情報をインターネット上に公開することで、個人あるいは所属している企業のイメージ低下を図ろうとするものです。ネガティブな情報によるDoxingは事業停止・停滞、引責辞任などにつながりかねず、Doxingによる企業のダメージは、サイバー攻撃でシステムが受ける被害と同等レベルといっても過言ではありません。

一般の従業員のみならず、企業の経営層であっても、オンラインゲームやECサイトなど、業務とは関係ないサービスで業務用のメールアドレスを使用している場合があります。Doxingの攻撃者は、メールアドレスなどの情報を元に、ソーシャルエンジニアリングやアカウントをハイジャックすることで、ターゲットのプライバシー情報を集めます。4月には、官僚が外部サービスに使っていたと思われる業務用のメールアドレスの漏えいが発覚し、内閣サイバーセキュリティセンター(NISC)から注意喚起も出ています。これもDoxingにつながる危険性を想定したものと思われます。

システム停止や個人情報漏えい以外にも、サイバーリスクとなりうる事象が存在します。セキュリティ意識の低さがもたらすダメージは、事業継続に多大な影響を与えかねません。あらゆる観点でサイバーリスクを検証し、経営課題として対処することが、事業継続を可能とします。

さまざまなサイバーリスクを経営課題としてとらえ、事業の存続にまで影響してくることを認識する

トライアルの脅威情報サービスで脅威情報の有効性を実感

PwCサイバーサービスの「脅威・脆弱性情報提供サービス」は、30日間無償で試せるトライアルを行っています。配信された情報をもとに、サイバー攻撃動向を常に把握することで、攻撃発生時に迅速な対応が可能となります。まずはトライアルをお試しいただき、脅威情報の有効性を実感してください。

主要メンバー

星澤 裕二

パートナー, PwCサイバーサービス合同会社

Email

名和 利男

PwCサイバーサービス合同会社 最高技術顧問, 東京

Email


名和 利男が説く「最新サイバーセキュリティ動向と経営者への提言」 

Contact us

Follow us