「事故前提社会」に考えるべき情報防衛対策とは

従来のセキュリティ対策をすり抜ける標的型サイバー攻撃や、内部犯による情報漏えい事件が頻発しています。どんなにセキュリティ対策を強化しても、リスクをゼロにすることは困難です。組織のセキュリティ対策には「事故前提社会」という認識が求められています。押し寄せる脅威と戦い続けるために、いま組織は何をなすべきか――。トレンドマイクロが実施したセキュリティ調査の結果をもとに、セキュリティエバンジェリストの染谷 征良がセキュリティ戦略の方向性を解説します。

情報漏えいの被害が深刻に
疑われる“実害予備軍”の存在

組織に甚大なダメージを与えるセキュリティインシデントが多様化し、その深刻化さも深まっています。特定の組織や個人に狙いをつけて執拗に攻撃を仕掛ける標的型サイバー攻撃はもちろん、内部犯による情報漏えい被害も深刻です。

トレンドマイクロが今年3月に実施した「組織におけるセキュリティ対策 実態調査 2014※1」によると、全体の66.2%がクライアント端末のウイルス感染からWeb改ざん、社内外システムへの不正ログインやなりすましメールといった何らかのセキュリティ事故を経験し、そのうち半数以上に相当する53.7%がデータ損失・漏えいやサービス停止といった実害を受けています(グラフ1)。顧客や取引先との関係悪化や賠償、訴訟、株価への影響などビジネスに大きな影響を及ぼす事態も発生しています。

グラフ1:セキュリティ事故による実害

「一方で注目すべきは、セキュリティ事故を『把握できていない』(4.8%)、『実害はない』(41.5%)を併せた割合が半数近くにのぼることです」とトレンドマイクロのセキュリティエバンジェリストである染谷 征良は語ります。 
2014年6月には内部犯による情報漏えいとしては国内最大規模の事件が発生。数千万件の顧客情報が流出し、世間を賑わせたことは記憶に新しいところです。このケースは顧客からの指摘をきっかけに情報の流出が発覚しました。組織側が気付かないうちに、大量の個人情報が盗み出されていたのです。 
同調査では全体で17.8%が公開システムから、19.8%が社内システムからの情報漏えいを経験しているとの回答も得られました(グラフ2)。高い割合で情報漏えいが発生している現状を踏まえると、セキュリティ事故を経験しても「実害はない」と答える組織の中に、潜在的な“実害予備軍”が相当数含まれることが推察されます。

グラフ2:情報漏えいの発生比率

「情報は私たちが考える以上に価値を持っており、その種類や規模・業種を問わず、常に攻撃者に狙われています。また故意や過失も含めて、情報漏えいを引き起こす内部犯候補は組織の中に必ず存在し、事故の発生に自主的に気付くことも難しいのが現状です。どんなにセキュリティ対策を強化しても、事故の発生をゼロにすることは困難です。これからは『事故前提社会』という認識に立ち、実害リスクをゼロに近づけていく継続的な取り組みが必要です」と染谷は指摘します。

体制整備とともに求められる
従業員へのセキュリティ教育

被害を回避/最小化するためには、セキュリティ製品による技術的対策だけでなく、脅威の検知・分析・対処・保護のセキュリティライフサイクルを回しながら監視と制御を継続することが重要です。その役割の一つとして昨今注目されているのが、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)およびSOC(セキュリティー・オペレーション・センター)です。

CSIRTはインシデントの発生に対して、有効な対策を実施する役割と責任を持つチーム。被害を最小限に食い止める“火消し役”として指揮命令系統をコントロールするほか、社内外への適切な情報収集・公開などの役割も担います。SOCはセキュリティ機器の稼働状況を24時間365日監視し、インシデントの発生を即座に検知します。高度に組織化されたSOCは、原因究明と対策の提案まで行います。SOCでインシデントを監視し、CSIRTがインシデント対応に当たるという位置づけです。早期に危険の予兆を発見し、検出した事象に迅速に対応する体制を整備し、適切に運用していくことで、組織としてのセキュリティレベルの向上が見込めるのです。

ただし、CSIRT/SOCは手段であって目的ではありません。大切なことは、脅威やインシデントの予兆を早期に検出・対応し、被害の回避/最小化を図ることです。そのためには組織内の役割分担を明確にし、その役割を担う担当者が有事の際にきちんと機能できる権限や環境づくりも考える必要があるでしょう。それに加え、セキュリティリテラシーの向上を図る従業員教育も欠かせません。攻撃者の手口は日々刻々と進化しているからです。セキュリティポリシーを策定しても、それが組織内に浸透し順守されなければ、意味がありません。組織の情報価値や、権限に応じた情報の扱い方などについても啓発を図る必要があるでしょう。技術的対策とあわせて、こうした体制整備や従業員教育を実施することで、組織のセキュリティレベルは確実に向上します。

2014年4月に発生したInternet Explorer(IE)のゼロデイ脆弱性問題を例に考えてみましょう。
影響範囲も広く、この脆弱性を利用した標的型サイバー攻撃も確認されたと発表されたことから、テレビや新聞などで大きく取り上げられました。なかにはIEの利用やネットへのアクセスを制限した組織もあります。従業員へのセキュリティパッチ適用の徹底に加え、経営陣に対してリスクの説明が求められるなど“寝耳に水”の出来事に、対策に奔走したセキュリティ担当者も少なくないでしょう。

しかし、CSIRTといった体制が整備されていれば、現状の把握、取り組むべき対策と周知、経営層や外部への状況説明などを迅速かつ効率的に行えます。万が一、ゼロデイ攻撃が発生しても、SOCのような監視部隊がいれば、その脅威を素早く検知/対応できます。機敏に効果的な対策を行えば、それだけリスクに晒される危険が少なくなります。
「被害を最小限に抑えるためにも、技術的な対策とともに、脅威、インシデントに対応できる組織的体制を整備し、セキュリティリテラシー教育にも力を注ぐことが大切なのです」と染谷は訴えます。

中堅以上の組織を中心に進む体制整備
実践的セキュリティ教育は低い実施率

では、組織の取り組み状況はどうなっているのでしょうか。トレンドマイクロが今年6月に実施した「セキュリティ教育・組織体制に関する実態調査※2」によると、CSIRT/SOCのいずれかを設立済みの組織は全体で5.6%にとどまりますが、従業員1,000名以上の組織では12.8%がいずれかの組織をすでに設立しており、約4分の1にあたる25.3%が今後設立予定(時期未定含む)としています(グラフ3)。
従業員5,000名以上の組織になると、設立済みは18.9%、今後設立予定(同)は26.4%に拡大します。「中堅規模以上の組織を中心に、万が一のインシデント発生に対応できる体制づくりが進んでいる状況がうかがえます」と染谷は分析します。その一方「CSIRT/SOCいずれの組織も設立予定なし」とする回答は従業員5,000名以上の組織で半数以上、全体では8割近くにのぼります。

また一般社員のセキュリティ意識向上を目的とした取り組みの実施状況について聞いたところ、セキュリティに関する注意喚起は全体の69.8%が、社員向けのセキュリティ教育は51.1%が「実施している」と回答しました。一方、なりすましメール訓練などのサイバー攻撃演習を実施している回答者は全体のわずか8.7%。さらに社員教育については全体の3割以上、サイバー攻撃演習については全体の約7割が今後も「実施予定なし」と回答しています。

グラフ3:インシデント対応組織に関する取り組み状況

ノウハウ不足の壁が
体制整備とセキュリティ教育を阻む

CSIRT/SOCに関しては中堅規模以上を中心に体制整備が進んでいるのに、いまだ多数が「設立予定なし」と考えるのはなぜか――。セキュリティ教育に関しても、サイバー攻撃の被害や内部犯行を抑止するようなセキュリティ教育が進まないのはなぜか――。

調査結果から見えてきたのは「社内のノウハウ不足」という問題です。「全体のおよそ3割がノウハウ不足がネックとなり、体制の整備、社内講習会やサイバー攻撃演習を実施できずにいるのです」と染谷は述べます(グラフ4、グラフ5)。

昨今のサイバー攻撃、内部犯によるセキュリティ事故と組織の持つ情報資産とその漏えいが招くビジネスインパクトを考えれば、インシデントに対応できる体制や社員教育といった取り組みは、これまで以上に重要になっています。一方で、リソースや予算などの点から、組織内ですべて対応することは難しい場合もあります。

グラフ4:インシデント対応組織を整備しない理由

グラフ5:セキュリティ啓発活動を実施しない理由

実際、膨大なシステムログから脅威を早期に発見し、その対応や原因究明、事故発生時の迅速なレスポンス、再発防止策の検討まで行える体制を整備するのは容易ではありません。セキュリティ教育に関しても、最新の攻撃手法を熟知している必要があるし、社内システムやデバイス、扱うデータの種類などによって教育方針も異なります。「組織によってリスクは異なります。守るべき対象、情報資産を見極め、リスク分析を行い、優先度をつけることで、状況に即した効率的な組織的、技術的セキュリティ対策を行うことができるでしょう。こうした取り組みを進めるには、専門家の知見を活用することも有効です」と染谷は述べます。

トレンドマイクロはセキュリティ専業ベンダーとして脅威情報の収集・分析、インシデント対応などで培ってきた豊富な知見に基づき「CSIRT/SOC構築・運用支援サービス 」を提供。「トレンドマイクロの専門家がお客様環境のシステムやサービス、現時点の組織体制などの現状をヒアリングし、取り扱う情報の種類やシステム環境、過去のインシデント発生状況を踏まえたコンサルティングを実施。セキュリティレベル向上に有効なCSIRT/SOCの構築・運用を支援します」(染谷)。

頻発するサイバー攻撃や内部犯による情報漏えいなど、セキュリティ事故は対岸の火事ではありません。被害を最小化するための取り組みが今求められているのです。

※1 組織における情報セキュリティ対策に関する意思決定者ならびに意思決定に寄与する立場の方1,175名を対象に2014年3月に実施。プレスリリースはこちら
※2 組織における情報セキュリティ対策に関する意思決定者ならびに意思決定に寄与する立場の方1,234名を対象に2014年6月に実施。プレスリリースはこちら

記事公開日 : 2015.01.28
 この記事は、公開日時点での情報です