昨今、Fintechサービスや自社ポイントを用いた販促キャンペーン施策など、次々に登場していますが、不正決済や情報漏洩などのセキュリティ事故が発生しているケースがあるのも現状です。
デジタルサービスの潜在リスクをどう分析し、セキュリティをどう担保したらよいのかといった課題に向き合う、企業内のセキュリティ組織「DSIRT/SSIRT」のリスク管理方法についてスポットを当てていきます。
デジタルトランスフォーメーションによって、変化したのはビジネスやサービスモデルだけではありません。悪意のある利用者が、サービスの穴をついて事業者や利用者へダメージを負わせる方法も変化しています。
以下、デジタル化されたサービス仕様に潜むリスクをデジタルリスクと呼ぶことにします。
テクノロジーによって消費者は、今まで実現できなかった形のサービスを利用し、新たな価値を獲得できるようになりました。
このようにサービスが拡充し、利便性が向上した一方で、利用者や企業の資産が悪意者に奪われる危機に瀕することになりました。サービス仕様やビジネスモデルの粗を探し、金銭やポイント、商品などを不正に取得しようとする事象も起きています。
さらには、プライバシーや安全性、信頼性といった新しい観点でのデジタルリスクがあります。
例えば、ユーザの同意を得ることなく、ユーザから取得した情報を他の企業に販売するといった、プライバシーを侵害するケースです。
事業者が適切に個人情報を取り扱わないことでユーザに不利益が生じる恐れがあるとして、個人情報を販売した事業者に対し不信感を募らせることになります。
また、"ながら運転"を誘発するような仕様のアプリを配信し続けていたり、アプリが頻繁に終了するなどして本来のサービスを提供できないなど、安全性や信頼性を損なうサービスの提供は、事業者の評価・評判を下げることに繋がります。
これらの観点は従来のサービスリリース前に行われるセキュリティ診断では、洗い出すことができない脅威です。サービス提供側は、潜伏するデジタルリスクを把握し、資産を守るサービス設計を行う必要があるのです。
デジタルリスクを引き起こす要因は主に2つあります。
1つ目は、開発期間短縮によって、十分な時間をかけて仕様を検討することが困難であることです。
昨今、ユーザ数の増加や流出抑止のために、スピード感のあるサービス開発によって、競争力を高める動きが伺えます。このような短期化した開発サイクルの中で、仕様書からステークホルダーや資産情報を把握し、セキュリティ上の問題がないかを検討する稼働は短縮傾向にならざるを得ません。
2つ目は、サービスモデルの変化がもたらすリスクを捉えきるのが難しいことが挙げられます。
様々なサービスやシステムと接続し、複雑な構造であるデジタルサービスの脅威を把握するためには、サービス事業を横断的に視る必要があります。
それは自社に限らず他社サービスにもスコープを広げる必要があります。実際にあった事例として、ある企業のwebサイトが攻撃されて情報が漏洩し、サービス連携している他の企業のポイントも不正に取得されたケースがあります。サービスの全様を把握しきれず、サービス拡張による脅威の変化点を見逃していることが往々にしてあります。
大多数の悪意者は、金銭または金銭同様の価値あるモノを不正に獲得することを目的とします。
利用者のアカウント情報を不正に取得することで、利用者になりすまして物品を購入したり、アカウントに紐づくクレジットカードや銀行口座を不正利用することを可能にします。
利用者視点では、サービスの具体的なセキュリティ対策状況を確認することは難しいため、企業を信頼してサービスを利用するケースがほとんどだと思います。そのため、セキュリティ事故は企業への信頼喪失へと直結しています。
利用者の資産を守れなかった事業者側の責任追及として、レピュテーションリスクが事業継続へ大きな影響を与えることもあるのです。
デジタルリスクの特性を考慮した分析手法によってリスクを洗い出すこと、そして仕様設計からリリースまでデジタルリスクを追跡し、セキュリティ対策・運用をサポートする体制づくりの2つの観点について触れていきます。
デジタルリスク分析のプロセスは、主に3段階に分けられます。
1章でも述べたように、デジタルリスクは仕様設計の段階で想定しうる脅威を洗い出すことが重要となってきます。
「①全体感の把握」では、サービス仕様書やユースケースをインプットとし、想定する脅威シナリオを列挙していきます。例えば、クレジットカード登録の導線や、外部サービスの連携方法など、守るべき資産に注目しながら網羅的に脅威を洗い出す必要があります。
次のステップである「②対応する脅威の決定」では、洗い出した脅威シナリオから実際に起こりうる可能性や、攻撃が成立したときの影響度からリスクの度合いから、対応すべき脅威を選定していきます。
ここでは、現在の対応状況とのギャップや攻撃のトレンド、各種法令など様々な観点で総合的に判断し、対応が必要なポイントを見極めていくのが重要となってきます。
最後の「③対策」では、②で決定した脅威に対して、具体策を実施していきます。完全にリスクを排除すべきか、リスクをある程度受容したうえで発生時の対応方針について定めておくのか、脅威によって対処の仕方も様々です。
現実的かつ最適な対応策を関係各所とすり合わせて決めていことが理想的です。また、対応状況を確認し、対策実施後も具体策が効いているか、新たな脅威を招いていないか等フォローアップも必要なプロセスの1つです。
図.デジタルリスク分析の工程(NRIセキュアが作成)
デジタルリスク分析を迅速かつ継続的に実施するには、企業内での態勢整備が必要となります。
態勢整備に際し、重要なポイントが3点あります。
1.複数サービスのデジタルリスク分析を統括する体制
2.分析して得られたナレッジの蓄積と活用
3.最新の脅威情報の収集と一元管理
1つは、複数のサービスを一貫したセキュリティ基準でデジタルリスク分析を行う体制づくりです。
サイバーセキュリティに対して社内システムを守るCSIRTがあるように、サービスのセキュリティに特化し、デジタルリスク対策を推進するDSIRT/SSIRTという組織を構築している企業もあります。このような組織がデジタルリスク分析を主導することにより、サービス担当ごとに分散されたリスクを集約し、根本的な課題を明らかにすることができます。
また、デジタルリスク分析を的確にかつスピード感をもって実施するには、分析して得られたナレッジの蓄積と活用が重要となってきます。実施してきたデジタルリスクの脅威シナリオはパターン化し、ノウハウとして蓄積することで、そのサービス特有のデジタルリスクや悪用されやすいポイントを明らかにでき、類似サービスへの横展開を可能とします。
さらに脅威情報を積極的に収集し、最新の攻撃動向について知っておくことも重要です。多種多様な情報ソースから効率的にデータ収集を行うためにAIの活用は有効であり、DSIRT/SSIRTの機能向上に繋がります。
DSIRT/SSIRTがデジタルリスクの最新動向や社内のサービス企画概要、他部署や外部機関からの脆弱性情報などの収集を一元管理することで、初動を早くし、被害を最小限に抑えることが期待できます。
図.DSIRT/SSIRTの情報収集のサイクル例(NRIセキュアが作成)
【次世代セキュリティ組織】CSIRTと協調する新たなセキュリティ組織xSIRTとは
サービス仕様などに潜む脅威に対応するには、DSIRT/SSIRTを主導とし、デジタルリスク分析を実施することが有効です。新しい多様なサービスが次々と出てきている中で、連携サービスやステークホルダーを把握し、デジタルリスクを洗い出し対策することによって、自社や顧客の資産を守ることに繋がります。
サービス設計段階において、情報漏洩や不正利用の抜け穴や悪用方法がないかどうか悪用手法のナレッジをもとに、悪意者になりきって仕様検討することが重要だと考えます。
NRIセキュアではデジタルサービスの潜在リスクを複合的に分析し、対策を支援するサービスを提供しています。
ご興味ある方は、ぜひお問い合わせください。