2022年2月23日、経産省からサイバーセキュリティ対策の強化に関する注意喚起が発出されました。直近の社会情勢を踏まえ、サイバー攻撃による潜在的なリスクが高まっていることが背景にあります。
この注意喚起を踏まえて、企業が取るべきアクションは、どんなことでしょうか。
本ブログでは、サイバー攻撃による潜在的なリスクが高まっているという時代背景をもとに、複数の公表レポートから注意喚起の要点をまとめ、企業が緊急に実施すべきセキュリティ点検のポイントを整理しました。
経産省による注意喚起のポイント
2022年2月23日に発出された注意喚起の正式名称は「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について」です。具体的な注意喚起の内容は、PDFとして公開されています。
注意喚起では、各企業・団体に対して、3つの要請と3分野の緊急対策の実施を促しています。
-
・経営者のリーダーシップの発揮と緊急対策の実施 ※下記3分野
-
・国外拠点を含む、サプライチェーン統制の強化
-
・不審な動きを把握した場合の早期対処の徹底
■3分野における緊急対策の実施
-
リスク低減のための措置
-
インシデントの早期検知
-
インシデント発生時の適切な対処・回復
注意喚起の背景には、"サイバー攻撃による潜在的なリスクが高まっていること"がありますが、具体的には、どのようなリスク動向やサイバー攻撃のトレンドがあるのでしょうか。象徴的なファクトをあげながら、簡単に考察しました。
各種レポートから読み解くサイバーリスクのトレンド
2022年に入ってから公表された3つのレポートを参照すると、注意喚起の内容が時代の流れを捉えていることが分かります。
WEF - Global Risks Report 2022
1つ目は、2022年1月にWEF(World Economic Forum)が公開したグローバルリスクレポートです。WEFは、世界的に有名なダボス会議(正式名称は「世界経済フォーラム年次総会」)を運営しています。
毎年1月に発行される本レポートは、サイバーリスクを含む、あらゆるリスクを対象にしており、リスク全般に対する大局観および最新動向を把握するのに適しています。2022版も、今後の動向に関して注目すべき示唆に溢れています。
まずは、未来に対する感情についての問いです。
“How do you feel about the outlook for the world?”
(世界の今後見通しについて、どのように感じていますか?)
この問いに対して、約84%が今後に対する感情を「心配」や「不安」と回答しています。
Worried(心配) 23.0%
Concerned(不安) 61.2%
Positive(積極) 12.1%
Optimistic(楽観) 3.7%
回答者が未来に対する感情として「心配」や「不安」を表明する背景として、"社会的な結束の低下" や "地政学的な対立"などのリスクが記載されていますが、もっとも腹に落ちたのは、デジタルトランスフォメーションの光と影の双方に触れている下記の示唆でした。
• Growing dependency on digital systems—intensified by the response toCOVID-19—has fundamentally altered societies. At the same time, cybersecurity threats are growing and outpacing societies’ ability to effectively prevent or respond to them.
Attacks on critical infrastructure, misinformation, fraud and digital safety will impact public trust in digital systems and increase costs for all stakeholders.
As attacks become more severe and broadly impactful, already-sharp tensions between governments impacted by cybercrime and governments complicit in their commission will rise as cybersecurity becomes another wedge for divergence, rather than cooperation, among nation states.
- Word Economic Forum: Global Risks Report 2022
デジタルシステムへの依存度の高まりは、COVID-19への対応でさらに強まり、サイバーセキュリティへの脅威も増大し、サイバー犯罪の影響も広範囲におよぶ、という内容です。
特に、"increase costs for all stakeholders(すべてのステークホルダーのコストを増加させる)" という一文は、現在の日本において、多くのセキュリティ担当者が抱えている苦悩(脅威・攻撃のプレッシャーに対する適応とセキュリティ人材・予算不足の制約というジレンマ)とも合致しているのではないでしょうか。
IPA - 情報セキュリティ10大脅威 2022
2つ目は、2022年1月末にIPA(情報処理推進機構)が公表した10大脅威です。
「情報セキュリティ10大脅威 2022」の最大の特徴は、デジタルトランスフォーメーション(DX)、クラウドサービスやテレワークの普及により、さらに広がったインターネット境界の弱点を突く脅威が変わらずに上位を占めています。
7位には、新しくゼロデイ攻撃がランクインしており、6位も脆弱性に起因する脅威です。ゼロデイ攻撃としては、2021年12月に世間を賑わせたJava環境のロギングフレームワークのデファクトである "Log4j 2" に、リモートコード実行の脆弱性が判明したことが記憶に新しいところです。
2021年から2022年のランク変動を見ると、あまり大きな変化はありませんが、逆の視点で捉えると、1位・ランサムウェア、2位・標的型攻撃、3位・サプライチェーン攻撃の手法が組み合わされ、複合的かつ継続的な脅威になっている現状を表しているとも言えます。
特に、サプライチェーン攻撃は、10大脅威2019で始めて組織編の4位にランクインして以降、
2019 4位(NEW)
2020 4位
2021 4位
2022 3位
上位を維持しており、2022にはTop3に入り、定番のサイバー脅威となっています。
経産省による注意喚起の中でも、下記のように特筆されています。
また、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。
情報セキュリティ専門家の深い洞察により導かれる10大脅威は、注目度が高く、あらゆるセキュリティ担当者・関係者にとって必読の内容です。
NRIセキュア - NRI Secure Insight 2021
3つ目は、2022年2月8日にNRIセキュアが公表したNRI Secure Insight 2021(企業における情報セキュリティ実態調査)です。
2002年から続き、今回で19回目になる実態調査の内容は、日本企業のみならず、アメリカ・オーストラリア企業のセキュリティ実態から、学び・気づきを得るきっかけになります。
この実態調査からも、企業において、サプライチェーンリスクマネジメントが喫緊の課題であることが伝わってきます。
また、セキュリティ対策を実施するきっかけや理由では、日本では他社・自社でのセキュリティインシデントが上位を占めており、インシデント発のリアクティブな対応になっている点が、米豪との違いとして見受けられます。
NRI Secure Insight 2021(企業における情報セキュリティ実態調査)
ポイントは、ビジネス環境の急激な広がりとAttack Surfaceの拡大
昨今のセキュリティ事案やサイバー攻撃の動向を振り返ると、その背景に「広がり」というキーワードがあることに気づきます。
企業や組織で、デジタル革命(DX)やテレワークが急速に進んだことで、企業の情報資産やITをインターネットを経由して利用する機会が加速しています。これは、企業にとってインターネットに接する境界が広がったことを意味します。
注目すべきは、ビジネス環境の広がりに連動して、Attack Surface(サイバー攻撃可能な面)も広がっていることです。経産省による注意喚起の本質も、ここにあります。サイバー攻撃者にとって、攻撃可能な側面が広がることが絶好のチャンスになっています。
サイバーリスクを攻撃者(攻め)と企業(守り)という、攻守の関係性から分析しても、企業のセキュリティ担当者よりもサイバー攻撃者が優位な状況が浮かび上がります。
攻撃者はサイバー攻撃を成功させるために、組織的に繋がり、サイバー攻撃をプラットフォーム化しています。一方で、守る側の企業は各社ごとに個別のセキュリティ対策をしているケースが大半です。
サイバーセキュリティ強化に向けた7つの緊急点検項目
2022年2月23日のサイバーセキュリティ対策の強化に関する注意喚起(by 経産省)の中には、
各企業・団体においては、経営者のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。
という一文があります。
2022年2月1日~3月18日は、NISCが定めるサイバーセキュリティ月間です。
経産省による注意喚起の内容を、セキュリティ対策を見直すための良い機会と捉えて、自社のサイバーセキュリティに関する緊急点検を実施してみてください。
具体的なアクションにつなげるために、注意喚起の中にある3分野緊急対策の内容を列挙し、7つの緊急点検項目とした上で、関連するナレッジを紹介します。
■3分野の緊急対策(注意喚起より抜粋)
-
リスク低減のための措置
-
インシデントの早期検知
-
インシデント発生時の適切な対処・回復
緊急対策その1「リスク低減のための措置」
- 緊急点検項目①
〇パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。
■おすすめの解説記事
多要素認証とは?パスワードだけでは守りきれないクラウドのセキュリティ
【解説】中小企業を守る、ウィズコロナ時代に不可欠なセキュリティ対策3選
- 緊急点検項目②
IoT 機器を含む情報資産の保有状況を把握する。特に VPN装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。
テレワーク時代のインシデント対応|事故事例から考える理想の対策
脆弱性管理とは?|パッチマネジメントにおける3つのポイントを解説
- 緊急点検項目③
メールの添付ファイルを不用意に開かない、URL を不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。
【検知】メール件名が顔文字の不審メール|ランサムウェアNemty
緊急対策その2「インシデントの早期検知」
- 緊急点検項目④
サーバ等における各種ログを確認する。
- 緊急点検項目➄
通信の監視・分析やアクセスコントロールを再点検する。
ログ監視から始めるセキュリティ対策 | SOCアナリストからの提言
緊急対策その3「インシデント発生時の適切な対処・回復」
- 緊急点検項目⑥
データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
- 緊急点検項目⑦
インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。
CSIRT(シーサート)とは?セキュリティ事故が起きる前提の組織体制
セキュリティリスクの評価は企業における人間ドック
注意喚起を受けて、サイバーセキュリティ強化に向けて緊急の点検項目をチェックすること自体は素晴らしい取り組みです。一方で、リアクティブな対応だけでは、常に不安や恐れを抱くことにもなります。
NRI Secure Insight 2021 では、セキュリティリスク評価の実施状況を調査対象にしており、日本と米豪の違いが明確に出ています。
セキュリティリスク評価を、法人である企業の人間ドックと捉えた場合、日本で定期的にセキュリティ面の人間ドックに通っている人が半数以下であることが分かります。
進展し続けるDX、高まり続けるサイバー脅威、広がり続けるAttack Surfaceという外部環境を踏まえれば、セキュリティリスク評価を定期的に実施することは必然であり、むしろその頻度や継続性を高めていくことが望ましいです。
その一方で、セキュリティ人材や予算が限定的な中で、セキュリティリスク評価を定期的に実施することは、QCDの観点でハードルが高いと思われるかも知れません。
NRIセキュアは、セキュリティ評価の実施ハードルを下げるべく、セキュリティ評価のフレームワークとナレッジを Secure SketCHというSaaSとして提供しています。
無料で評価可能なFREEプランも用意していますので、この機会を捉えて、あなたの企業や組織のセキュリティ偏差値を確認してみてください。
