Solution Map

Blog
View all +-
2022-05-26
企業に迫る“ディープフェイク”の脅威 ~攻撃の本質を知って適切な予防策を~
企業トップを欺いた“振り込め詐欺” 2019年の春、英国のエネルギー関連企業の社長は、ドイツにある親会社のCEO(最高経営責任者)から電話連絡を受けます。 “ハンガリーの取引先に22万ユーロ(約2,600万円)を送金せよ。緊急案件に付き1時間以内に” 社長は命ぜられた通りに送金しましたが、その後、親会社から必要な資金をイギリスの会社に払い戻したとの連絡が入り、2度目の送金を要求してきました。しかし自社の口座に入金はなく、発信元がドイツではなくオーストリアだったため、さすがに今度は送金を思い止まります。 表面的には国内でも多発している“振り込め詐欺”に過ぎません。 しかし、事件の詳細が明らかになるにつれて、今で言う“ディープフェイク”の手法が、セキュリティ関係者にインパクトを与えることになりました。 声の主はドイツ訛りのAI? 攻撃者は英国の企業を1度は欺きましたが、その手口はAIを使った音声合成だった可能性が高いとされています。当時、「Wall Street Journal」が伝えたところによると、電話を受けた社長は、最初は唐突な指示に違和感を懐きましたが、ドイツ訛りのあるCEOの口調からは、偽物と疑う余地はまったくなかったようです。 公の場に出る機会が多い企業トップの声の採取は難しくありません。音声を偽装する方法はいくつかあって、データから必要な音素を切り出してメッセージを合成するやり方が使われてきましたが、手間がかかる割には不自然さが残ります。英国の事件では、手口の詳細までは明かされませんでしたが、AIによる音声合成、ディープフェイクだったことは間違いないでしょう。 AIによる音声合成を使った詐欺行為(出典:サンケイbiz) 事件の後、各国の調査機関とセキュリティ企業は、2020年代の情報セキュリティにおける脅威として、ディープフェイクの拡散に警鐘を鳴らしましたが、昨今の不安定な世界情勢もあって懸念は的中し、企業社会も対応を迫られる状況になりつつあります。それでは、ディープフェイクの実態をもう少し詳しく見た上で、企業に必要な備えについて考えてみましょう。 改めて知るディープフェイクの実力 ディープフェイクは、一般的には“AI(人工知能)の学習方法の一つであるディープラーニング(深層学習)を使って合成された音声や映像”とされています。偽装の意味もあるfakeという単語から、マイナスイメージも強いのですが、この技術自体は詐欺のような行為を目的に作られたものではありません。 中国の大手IT企業 テンセントでは、以下のような応用例を挙げ、すでにいくつかの分野は開発に着手したとしています。 ・映画制作でアクションシーンを演じたスタントマンの顔を俳優の顔に置き換える ・ゲームのキャラクタにプレーヤーの顔を当てて臨場感を出す ・音声と映像を活用したインタラクティブなeコマース空間を創る ・仮想空間のメタバースで、アバター(分身)によりリアルな表情と音声を注入する ・ケガや病気で発声に支障が出ている人をサポートする こうした用途が見えてきたのは、特にここ2~3年のディープフェイクの精度の向上と、制作に使うツールの普及です。スタジオ設備や音声・画像処理の専門知識がなくとも、ハイレベルの合成コンテンツが生成できるようになったのです。 精度を体感できる例を思い出してみましょう。有名なところでは、映画「ターミネーター2」の主人公を演じたアーノルド・シュワルツェネッガーの顔を、シルベスター・スタローンの顔と入れ替えた作品がありました。もう一つは、メタ(旧Facebook)のマーク・ザッカーバーグCEO。“何十億人ものユーザーから搾取した個人情報をコントロールできると……”などと、本人が言うはずがない内容のスピーチ映像をごらんになった方も多いと思います。 「ターミネーター2」で顔を入れ替えたディープフェイク (YouTubeで公開) こうしたディープフェイクの内容と制作の狙いはひとまず置くとして、これらはSNSで拡散され、多くの人にディープフェイクの今の実力を知らしめることになりました。 コア技術は“敵対的生成ネットワーク” ディープフェイクのコンテンツを作る仕組みを見ておきましょう。 手法はいくつかありますが、よく知られているのは「GAN(Generative Adversarial Networks)」、直訳すると“敵対的生成ネットワーク”です。学習を行う2つのニューラルネットワーク(脳の仕組みの一部を真似て構成した数式モデル)が競争して、画像や音声の精度を高めていくという技術です。 具体的には、generator(生成)と言うネットワークがランダムなデータから音声・画像を生成し、もう一方のネットワークであるdiscriminator(識別)が、generatorが作った作品を本物と比較してでき具合を判定します。“生成ネットワーク”は判定結果からも学習し、“識別ネットワーク”も自身の性能を高めるための学習を続ける。この敵対的な生成を何百回、何千回と繰り返すうちに双方のネットワークの性能は向上し、作品の完成度は上がっていくという仕組みです。 GANに代表される手法でディープフェイクを作るためのソフトウェアは、PCやスマートフォン向けも提供されていて、無料のツールも容易に入手できるようになりました。 こうして高精度のディープフェイクが制作できる環境が整ってきた中で、懸念されるのは悪用の蔓延です。 企業社会にもリスクは降りかかる 政治的プロパガンダや著名人をおとしめるディープフェイクが問題視されているのは周知の通りですが、ビジネスの世界でもリスクは金銭をだまし取る詐欺だけではありません。例えば、企業のトップが“我が社の製品に欠陥が見つかり……”といった発言をする映像を流し、イメージダウンと株価の低下を狙うような犯罪は容易に想像できます。 IT企業や業界団体は、悪意のディープフェイクを警戒すべきとのメッセージを発信し行動も起こしています。例えば、メタは偽物を検知するプログラムの性能を競う「Deepfake Detection Challenge」というコンペティションを実施しました。マイクロソフトでは、「虚偽情報に向けた新たな取組みについて」という声明を出し、他のSNSの運営企業やIT大手も何らかの取組みは行っています。 画像から人為的に加工された要素を検出するプロセスの一部 出典:マイクロソフトのWebサイト 「虚偽情報に向けた新たな取組みについて」 ただ、ここはディープフェイクに限りませんが、攻撃の先鋭化とその対策はいたちごっこの側面があります。巧妙化する手口の実態は追いきれず、個別にメール送信されるようなコンテンツを封じることはできないでしょう。 ディープフェイクの本質はソーシャルエンジニアリング 現在の企業は、自社のWebサイトがあり、SNSでも情報を発信し、新製品・サービスの発表時は、新聞やテレビなどのメディアに露出する機会もあるでしょう。攻撃者にとっては、ディープフェイクの素材には困らないはずです。材料があり制作ツールも容易に手に入る状況ですから、企業を狙うさまざまな詐欺への参入障壁は大幅に下がったと見て、自衛策を講じていくしかありません。 対策の前提として、まずこの技術の本質を認識することです。ディープフェイクの話では、AIを使った新しい攻撃である点がクローズアップされることが多いのですが、実態は人間の心理や行動の隙を突く「ソーシャルエンジニアリング」です。コンピュータシステムの弱点よりも「人」。完全には排除できない人間の不注意やミスを前提に、それに対処する体制を作るという基本に立ち返ることが大切なのです。 行動の第一歩は知識の会得です。例えば、英国のエネルギー会社のケースは、ビジネスメール詐欺の音声版と言える手口ですから、ディープフェイクを悪用した犯罪の告知に加えて、メールを使った攻撃に対するトレーニングが有効です。表面的な部分に踊らされず、 “金銭に関する指示は確認する” “少しでも怪しいメールは開かない”などの基本を忘れてはなりません。 自社情報をモニタリングして予防を 自社の情報の拡散にも注意を払う必要があります。実践している企業も多いのですが、一般のWebメディアやSNS、場合によっては“ダークWeb”のような闇サイトも含め、自社が関連する情報の流通をモニタリングする体制の整備です。そして偽情報を検知したら、セキュリティ・インシデントと位置づけ、対処する方法を策定しておきます。 もう1つは、情報発信に対するガードの強化。例えば、社外に連絡メールを送信する際は上長がチェックする、送金に関する内容は専任の担当者を経由するといったルールと体制も有効です。あるいは“信用はゼロ”、企業内のすべての人員、情報機器に対する認証を厳格にし、他の機器やデータにアクセスするときは毎回認証を求める“ゼロトラスト”のような考え方も予防策の一つになるでしょう。 “リテラシー(知識)とトレーニング(訓練)、そしてアウェアネス(意識向上)” NIST(米国標準技術研究所)が公開した文書「ITセキュリティの意識向上およびトレーニングプログラムの構築(NIST SP800-50)」に記載された内容です。ディープフェイクを悪用する攻撃が先鋭化していく中でも、ここに示された基本は有効ですから、この3つは常に意識していたいものです。
-
2022-04-25
内部不正による情報流出に備える
内部不正による情報流出に備える ~ルール不履行はもちろん不注意も~ セキュリティ部門における積年の課題 2022年4月、IPA(情報処理推進機構)から「組織における内部不正防止ガイドライン」(第5版)が発行されました。初版は2013年3月ですから、内部からの情報の流出は、10年近く企業のセキュリティ部門の課題であり続けていることがわかります。 IPAが毎年発表している「情報セキュリティ10大脅威」の2022年版でも、「内部不正による情報漏えい」は組織部門の5位。ここ数年、2位~8位を行き来し「10大脅威」の圏内を外れない状況は、対策の難しさを反映していると言えるでしょう。 「組織における内部不正防止ガイドライン」 出典:IPA この脅威の特徴は、以下の点に集約できます。 ・1件あたりの被害の度合いが大きい ・確立されたセキュリティ技術・手法の適用が難しい ・公開されない事案が多い まず1件あたりの被害の大きさですが、内部不正の多くは、データの売買や企業に対する不満から被害を与えることが目的のため、その組織にとっての重要情報を知る人物が機密情報を大量に搾取します。正規のアクセス件を持つ従業員の行動は検知が難しく、長期間被害に気付かないケースも少なくありません。 もう一つは、対策の難しさです。被害額の大きさとも関連しますが、企業システムの仕様と稼動状況を知る者による内部不正に対しては、企業ネットワークへの侵入を防止するファイアウォールや、アンチウイルスのような汎用的な技術・手法の適用が難しく、システム上での対応に限界があります。 被害を受けた企業では、風評被害を恐れる、訴訟が起きた際の影響などの理由から、非公開に伏すケースも少なくありません。著名企業からの大量の個人情報の流出や、漏えいによる実害が複数の組織に及ぶような事案以外は、あまり表には出ないと思っていいでしょう。 リスクは“犯行”だけではない IPAの「内部不正防止ガイドライン」と「情報セキュリティ10大脅威」は、組織の内部に偏在する悪意とそれに近い要因にフォーカスしたものですが、企業にとって情報が流出するリスクは、悪意だけではありません。 セキュリティ分野の業界団体や調査機関から、“情報漏えいの原因”に関する報告がときどき発表されますが、これらを総合すると、半数程度は管理ミスと見られます。具体的には、メールの誤配信、システムの誤操作、クラウドサービスの設定ミス、PCや外部記憶装置の紛失・盗難などによる情報の流出です。 このような管理ミス以外に、ルールの不履行も軽視はできません。PCやUSBメモリなどの紛失事故は、もともと持ち出しが禁止されている会社所有のPCとデータを、自宅で仕事を継続するために持ち帰ったケースが度々報告されています。 内部情報を持ち出す主な手段 出典:「組織における内部不正防止ガイドライン」 (IPA) 社外から企業のシステムにアクセスする際は、VPN(仮想的な専用回線)などの安全な通信手段を使う決まりがあるはずです。しかし、朝夕などの混雑時はVPNにつながりにくい、反応が遅いなどの理由から、駅などに設置された無料のWi-Fiを経由し、社内のサーバーやクラウドサービスに直接つないでしまうケースも多々あるようです。 このようなルールの不履行は、情報流出のリスクを高めることは言うまでもありません。 攻撃の巧妙化とテレワークがリスクを増長 金銭目的や企業への反感などの明確な悪意と、メールの誤送信に代表される不注意、そして社内ルールの不履行・不徹底。もう一つ、企業に内在するリスクを付け加えるとしたら、サイバー攻撃の手口がますます巧妙・悪質化している点が挙げられます。 例えば、今のところ海外に多い事例ですが、攻撃者が標的にした企業の関係者に、LinkedInなどのビジネス系SNSで巧みに近づいて警戒心を解いた後、ダークWebという闇サイトで高値が付く情報の売買を持ちかけるケースも散見されます。 最近は“分業化”が進むランサムウェアで、従業員を実行犯に仕立て上げる戦術も報告されています。ランサムウェアは、攻撃に必要なツール類は主犯グループが用意し、データの搾取と暗号化など現場の作業は実行犯が担うやり方が増えています。高額の報酬を餌に社員や元社員を実行犯として誘う手口です。内情を知る関係者を巻き込んでしまえば、犯罪の成功率は格段に高まるでしょう。 このようなリスクの増大につながっているのが、テレワークの拡がりです。テレワーク環境では、システム部門が管理する情報機器の利用状況の可視性が低下します。従業員も心理的な変化が生じ、基本的なルールを忘れがちになることは否めないでしょう。テレワークに特化したセキュリティ教育が求められますが、特に短期間での環境整備を余儀なくされた組織では、追いついていないのが実情のようです。 まずは管理の見直しによる予防を 内部からの情報流出を防ぐ対策は、その要因、不正行為かルールの不履行か、不注意かによって、手法の細部は異なる部分もありますが、共通する土台は“管理方法の見直しによる予防”です。 「内部不正防止ガイドライン」(IPA)では、管理のあり方として、予防から事後対策に至るまでの段階を、基本方針、資産管理、物理的管理、技術・運用管理、コンプライアンスなど、10の視点からまとめています。これらのフェーズにおいて、基本方針は基礎工事に相当する部分で、明確な方針に基づく予防が明暗を分けることになります。 基本方針の策定では、経営層が主導するチームで、内部不正対策に当たる組織の体制づくりと、役割と責任の明確化などの作業を行います。当然ですが、基本方針を固めるプロセスでは、重要情報の定義付け(資産管理)や、情報の扱い方(技術・運用管理)などの内容を加味することになります。 内部不正対策の体制作りの概要 出典:「組織における内部不正防止ガイドライン」 (IPA) やや抽象的な話になってしまいますが、「ガイドライン」の付録に、“基本方針の記述例”、管理体制を点検する“内部不正簡易チェックシート”、“テレワークに係わる対策一覧”など、実践的な情報・ヒントもありますので、参考になると思います。 内部不正簡易チェックシートの一部 出典:「「組織における内部不正防止ガイドライン」(IPA) なお、前述した通り「ガイドライン」は、悪意から情報を搾取する行為の防止に主眼を置いたものですが、基本方針の策定と重要情報の定義付け、物理的管理、運用管理の方法など、ここで示される手法の多くは、ルールの不履行と不注意による情報流出に対しても有効なものです。 実践段階ではシステムの総点検を 基本方針の策定後は実践段階、システムの点検と整備です。 ここでもっとも基本的かつ重要な要素はIDの管理。基本方針で定義した重要な情報資産のリストに基づき、それぞれの管理者を設定します。引き続き個々のIDの権限とアクセスできる範囲を明確にした上で、IDの登録・更新・削除のルールが明文化されているかを点検してください。 注意すべきは退職者のID管理です。経済産業省の「人材を通じた技術流出に関する調査報告」によると、営業上の機密が他社へ漏えいした原因は、中途退職者からが50.3%で、現職従業員等のミス 26.9%の倍近くに達していました。IPAが実施した「企業における営業秘密管理に関する実態調査 2020」でも、中途退職者による漏えいが最多の36.3%、現職従業員等の誤操作・誤認は21.2%、現職従業員等によるルール不徹底が19.5%という結果が出ています。 在職中から搾取を企てた行動に対する制御には限界があったとしても、退職後もIDの抹消が完了せず、業務メールの受信やサーバー上のファイルの遠隔操作ができたといった事案は、何度となく報告されています。退職者のアカウントは即時停止する、同時に有効なIDが放置されたままになっていないか、定期的な点検が欠かせません。 内部から情報が流出した主な原因 出典:「企業における営業秘密管理に関する実態調査 2020」(IPA) モニタリングと可視性の強化を 内部から情報が流出する事件・事故は、正規のアカウントを使った正規の行動の範囲で行われるため、外部からのサイバー攻撃への対策とは異質の戦略と意識、そしてツールが必要です。ポイントはモニタリングと可視性の強化。例えば、対策の一例として、送信先アドレスのチェックや、送信を一時保留して管理者の承認を求める上長承認などの機能を持つメールセキュリティツールの利用も有効です。 情報の流出を防ぐには、社内システムの状況をリアルタイムで監視・可視化する機能も欠かせません。例えば、ファイルの変更やルールとの不適合を監視する変更監視ツール、あるいはPCやサーバーなどの動作をモニターし、異常の兆候を検出する“ふるまい検知”や“状況認識”などと呼ばれる機能を持つセキュリティツールも少しずつ拡がってきました。 メールの誤送信、ルールを逸脱したデータの複写など、重大な過失と不正の防止に対しては、メールセキュリティや変更監視ツールなどが有効ですが、このようなシステムが常時稼動している状況を告知することで、悪意から情報の搾取を企てる者に対する抑止効果が期待できます。 “ゼロトラスト”の活用も拡がる 情報セキュリティの新しい手法として、ゼロトラストネットワークへの注目度が高まっています。ゼロトラストとは、文字通り“信用はゼロ”。従来からのセキュリティ対策は、インターネットと社内ネットワークの境界に、ファイアウォール(FW)などを設置して、FWの内側を守る“境界防御”という手法が使われてきました。 クラウドサービスの利用とテレワークが一般化した現在は、守るべき対象はネットワークの内側だけではありません。境界という概念が希薄になった現在の業務環境では、従業員が使う情報機器1台1台に着目する手法が効果的です。ゼロトラストネットワークの稼動環境では、例えばPCから他の機器にアクセスする際は毎回ユーザー認証を課し、外部との通信時はすべてのログを記録するなどの方法で安全を担保します。 ゼロトラストネットワークの運用イメージ 出典:ananda ゼロトラストネットワークは、内部からの情報漏えいの防止に特化した技術ではありませんが、不正とルールの不徹底、不注意による流出に対しても、有効に機能するソリューションです。この機会にゼロトラストネットワークのような新しい対策方法を検討してみてはいかがでしょうか。 情報流出の防止に向けた実践段階では、それぞれの企業ネットワークの形態、業務で多用する情報システムとサービス、そして人員の構成・配置によって、適合するツールと技術は異なります。ここで示した「内部不正防止ガイドライン」などの指南書、ID管理などの基本的な施策、そしていくつかのソリューションを参考に、皆さまの企業システムに合ったアプローチで対策を進めてください。
-
2022-03-28
他人事ではないランサムウェアの脅威
ランサムウェアは最大級の脅威に ランサムウェアを使った攻撃が鎮静化する兆しがありません。2022年2月には、大手自動車メーカーの関連企業が感染し製造ライン停止に追い込まれました。その後も内外で深刻な被害の報告が続いています。警察庁や経済産業省、情報処理推進機構(IPA)など、情報セキュリティに関係する省庁・業界団体が発表する報告書などを見ると、ランサムウェアは現在の最大級の脅威と言える状況です。 一例を挙げると、IPAが2022年2月に公開した「情報セキュリティ10大脅威 2022」。組織の部で「ランサムウェア」が1位にランクされたことに加えて、2位「標的型攻撃」、3位「サプライチェーン攻撃」、そして4位「テレワーク等のニューノーマルな働き方を狙った攻撃」など、ランサムウェアと関連が深い脅威が上位に並びました。 「情報セキュリティ 10大脅威 2022」 出典:IPA 各国の研究機関やセキュリティ企業は、攻撃を止めるため努力を続けています。しかし、今の情勢は攻撃側が優位と言わざるを得ません。その要因はまず、ランサムウェア自体の攻撃力の強化、そして特定の組織に的を絞る標的型攻撃、供給網を構成する企業の中でセキュリティ対策が弱いところを狙うサプライチェーン攻撃、あるいはテレワークで使うVPN機器の脆弱性を突いた企業ネットワークへの侵入など、他の攻撃手法と組み合わせることで、検知と防御が難しくなっている点が挙げられます。 現在の主役は“暴露型” ランサムウェアは、システムに保存されたデータを暗号化し、復号化するキーと引き換えに身代金(ランサム)を要求する手口です。この攻撃は2010年代の初頭から報告されていましたが、一気に知名度を高めたのは、2017年の春に世界中で感染を拡げた「WannaCry(ワナクライ)」でした。「WannaCry」が蔓延した時期の攻撃は、データの暗号化やシステムをロックするものでしたが、現在はより巧妙化・悪質化しています。 WannaCryに感染した端末画面の例 出典:「事業継続を脅かす新たなランサムウェア攻撃について」 (IPA) その一つは、“暴露型”や“二重脅迫型”と呼ばれるタイプ。従来型と違って身代金を要求するだけでなく、払わなければデータを公開すると脅す手口です。暗号化するだけの攻撃なら、バックアップがあればデータは取り戻せますが、暴露型は復元できても支払いを拒否すれば機密情報が公開されてしまいます。データの内容によっては、事業の存続にも関わってくるでしょう。 従来型と暴露型のランサムウェアの相違 出典:「事業継続を脅かす新たなランサムウェア攻撃について」(IPA) 2021年の夏頃には、“真の被害者”とも言うべき、もともとの情報の保有者に、攻撃を仕掛けたことを伝える新たな手口も見つかりました。A社のネットワークに侵入してデータを搾取・暗号化した後、A社の取引先企業や製品のユーザーに、“情報を公開して欲しくなければ、A社に身代金を支払うように要求してください”などと記したメールを送り付ける“告げ口型”とも言うべき攻撃です。 ランサムウェアのビジネスモデルが確立 懸念すべき材料はもう一つ、残念ながらランサムウェアがビジネスとして成立している点です。 この犯罪を成就するには、セキュリティ上の弱点があり、身代金の支払いに応じそうな標的の選定、セキュリティソフトをかいくぐるプログラムの調達、企業ネットワークへの侵入、データを公開するサーバーの運用、そして身代金の取り立てなどの作業が必要で、サイバー犯罪の中でも難易度が高い部類に入ります。 そこで攻撃を支援する商用のクラウドサービスとして、「RaaS(Ransomware as a Service)」が立ち上がっています。RaaSを利用して攻撃を仕掛ける者は「アフィリエイト」などと呼ばれ、RaaSを運営する側の“審査”に合格した人物には、攻撃に必要な機能を提供する管理画面へのアクセスを許可。攻撃を実行して身代金の搾取に成功すると、RaaSから一定の成功報酬が得られるという構図です。 RaaSの運用イメージ 出典:日経BP 「SaaS(Software as a Service)」など正規のクラウドサービスと同様、RaaSも収益向上を計るには、機能を充実させてアフィリエイトを増やしていかなければなりません。現在の主要なRaaSには、攻撃プログラムとデータを公開するサーバーなどの基本的な装備をはじめ、身代金の支払いに応じないときの脅しに使う「DDoS」(大量のデータを送り付けてシステムを停止させる攻撃)や、企業のコールセンターに脅迫電話をかける機能などを追加しているとされています。 RaaSの“攻撃マニュアル”が流出 2021年8月、非合法の取引を扱うロシア語の闇サイトで、「Conti」と名乗るグループが運営するRaaSのマニュアルが公開されるという事件が起きました。流出させたアフィリエイトの投稿によると、「Conti」が約束した通りの成果報酬の支払いに応じなかったことよる“報復”とされています。事の真偽は分かりませんが、関係者の間で話題になったのは、マニュアルの内容です。 公開された圧縮ファイルは数十のフォルダとファイルで構成され、内容は多岐にわたっていました。データを暗号化するプログラム本体の他に、標的企業のセキュリティ診断、Windows Defenderの停止、データベースの複写や認証情報の検出などに使う各種ツール、加えてバックアップファイルを見つける方法、ハッキングに役立つ情報が記載されたサイトのリンク集なども含まれていました。 内外のセキュリティ専門家の分析を総合すると、“個々のプログラム、ツール、助言集には特に目新しいものはないが、攻撃に必要な要素はほぼ網羅されている”と集約できます。高度な専門知識と経験を要するランサムウェアは、RaaSによってその敷居は格段に下がり、攻撃者のすそ野が拡がったと言えるでしょう。 身代金支払いの規制が進む ランサムウェアの鎮静化に向けた対策としては、米国と欧州を中心に身代金の支払いを規制する動きが拡がりつつあります。身代金は攻撃者を利することになって永続的な攻撃につながり、一度支払ってしまうと第2第3の攻撃を受けるケースも多いからです。豪州では支払いをする際は当局への報告を義務付ける法案が検討され、オランダなどではランサムウェアに対する支払いを保険の対象にするサービスを禁止する動きもあります。 もちろん、悪いのは攻撃者ですから、やむを得ず支払いに応じた企業・団体を一方的に責めることはできません。しかし、支払いを規制する各国の動きに加えて、支払いに応じたところでデータを取り戻せる保証はない点は認識しておくべきです。 英国のセキュリティ企業が2021年に発表した報告書によると、世界30カ国の企業・団体を対象にした調査の結果、ランサムウェアの被害を受けた組織の中で身代金を払ったのは32%。このうちデータを完全に修復できたのは8%以下、ほぼ半分を取り戻せた企業は29%程度に止まったとされています。この種の調査は、対象国と組織の規模・業態によって数字に差は出ますが、身代金の支払いは報われないことが多いという提起は共通しています。 バックアップ体制とモニタリングの点検を あらゆるサイバー攻撃と同様、ランサムウェアに対してもリスクを軽減するための行動は提示されています。まず身代金の支払いではなく、適切なバックアップからデータの復旧をできるようにしておくことです。バックアップだけではデータを公開されるリスクが残ります。しかし、業務の早期復旧・継続のためには適切なバックアップと復旧の訓練は欠かせません。 そして、もっとも有効な対策は予防、侵入の防止に行き着きます。他のマルウェアと同様、ランサムウェアの主な感染経路も、メールの添付ファイル、誘導されたサイトからの不正プログラムのダウンロード、VPN機器の脆弱性などテレワーク環境の弱点を突いた企業ネットワークへの侵入です。 ランサムウェアの主な感染経路 出典:NHK バックアップ体制の強化に加えて、ログイン時の多要素認証、PCやサーバーの不審な動きをすぐに検知するモニタリング機能の強化、外部接続の制限など、不正アクセスと不正プログラムの混入を防止する対策の点検が急務です。そして最後は、人と運用。従業員一人ひとりがセキュリティ対策を確実に、継続的に実行するための啓発も続けていきましょう。
-
2022-03-17
プラットフォーマーに対する規制が加速
国内でも規制法の骨格が固まる ここ1~2年、インターネットで個人情報を扱う際のルールに関する話題が増えてきました。 契機になっているのは、SNSや検索エンジンなどの分野で、大規模なサービスを展開する事業者、プラットフォーマーや巨大IT企業、日本ではGoogleとApple、Facebook(現メタ)、Amazonの頭文字を取って、GAFA(ガーファ)という造語で象徴させることも多いようですが、4社に代表されるIT大手を取り巻く動きでしょう。 巨大IT企業はデジタル文化を育成してきた一方、個人情報の過度な集中とその使い方が問題視されるようになっています。特に2021年後半あたりからは、元社員の内部告発が相次ぎ、各国での規制強化とIT企業の対策が進むなど、動きが慌ただしくなっています。 国内でも2022年2月に法規制の骨格が固まり、関係する省庁と業界も対応を進めつつあります。こうした動きを概観しながら一般企業が個人情報を扱う上での留意点を考えてみましょう。 再燃したIT大手の情報管理体制への疑問 まず、代表的な大手IT企業のビジネスモデルと個人情報の関係を見ておきましょう。 Googleの検索窓からキーワードを指定すると、瞬時に結果が返ってきます。スマートフォンでFacebookアプリを開くと、よく整理されたレイアウトで友人知人の近況が一覧できます。このようなワンアクションに対しても、バックエンドでは何台もの高性能なサーバーが稼動しています。 Googleやメタの場合、コストがかかるサービスを無償で提供できるのは、広告配信のモデルが確立しているためです。広告の内容を決める上での重要な手がかりは、主に利用者がサイトに登録した個人情報とサイトを閲覧した履歴などの行動データです。つまり、ユーザーの情報はIT大手の収益源なのですが、これまであまり知られていなかった管理の実態も見えてきました。 2020年には、履歴を残さずに閲覧できるとされてきたWebブラウザの“シークレットモード”の利用時もデータを採取していたとして、Googleが集団訴訟を起こされています。2021年秋には、メタの元社員が、若年層に悪影響を与える可能性があった調査内容をサービスに反映させず、自社の利益を優先させたと主張した一件も大きく報道されました。 他のプラットフォーマーの元関係者からも、ユーザーの指示がなくとも情報機器の録音モードが動作し、センターで内容を分析していたとする証言も出てきています。 改めて知るデータ収集のパワー 元社員の証言やその後の報道などに接してまず感じるのは、プラットフォーマーが持つ圧倒的な情報収集力、ユーザーが何億人、何十億人に及んでも、1人ひとりの詳細なプロファイルや行動履歴を抑えているという事実ではないでしょうか。 以前は個人情報を保存する目的やデータの内容は、あまり伝わってくることはありませんでしたが、プラットフォーマー側の姿勢も少しずつ変化し、現在は収集目的や種類はほぼ開示され、一部は一般ユーザーも入手できる形になっています。 一例を挙げると、Googleもアカウントを持つ人なら、誰でも保存されている行動データにアプローチできるようになっています。まだ確認されていない方は、PCやスマートフォンから、「takeout.google.com」にアクセスしてみてください(本来の機能はデータを他のサービスにエクスポートするもの)。 ブラウザの利用やAndroidデバイス設定、Google Play関連の記録など、40以上の項目のうち必要な部分をチェックすると、システム側の準備ができ次第、ダウンロードが可能になったことを伝えるメールが届きます。“数日かかる場合もある”などと記載されていますが、概ね数時間で届いているようです。 「takeout.google.com」のメニューの一部 出典:Google プラットフォーマーは“すべてお見通し” 「takeout.google.com」で入手したファイルからは、自分の意志でクラウド側に残してきたドキュメントやアドレス帳、スケジュールなどは別として、ブラウザの設定と利用履歴、Googleマップでの検索、たまたま接した動画チャンネルなど、“記録”は意識せずに使っていたアプリにも、克明な足跡が残されていることが分かります。 このファイルから得られる行動履歴をセキュリティ技術者やデータ分析の専門家が見れば、住所氏名だけでなく、性別、年代、勤務先、所持している車、最近の旅行先、好きな映画とアイドルなど、ユーザーのプロファイルはほぼ正確に読み解くことができるとされています。 もちろん、利用者の足跡を記録しているのはGoogleだけではありません。Appleの製品にも同様の機能は備わっていて、iPhone(iOS15以降)では、「設定」アプリから「プライバシー」のメニューを開き、「Appアクティビティを記録」をオンにして「Appアクティビティを保存」のタップで、ユーザー側でも最大7日分のデータを保存し出力できます。 Facebookを運営するメタ、Amazonなどのプラットフォーマーも、詳細なアクティビティ(活動状況)を保存・分析することで、“利用が利用を呼ぶ”モデルを形成し、コミュニティ拡大やショッピング機会の増大、効果的な広告配信につなげていることはビジネスとして当然でしょう。 プラットフォーマーへの規制 大手IT企業の個人情報管理に対しては、先進国を中心に規制が行われてきました。「takeout google.com」の例で見たような詳細な利用履歴を、ユーザーが知らないところで自社のビジネスに活用し、広告会社など第三者と共有していたこと、そして大企業のサービス設定が“個人情報”の定義や扱い方も左右してしまう事実が広まるにつれて、消費者の反感が高まったのです。 個人情報保護にもっとも厳しいとされる欧州では、EUが2018年に「GDPR(一般データ保護規則)」を施行しました。個人情報の定義をはじめ、個人の特定につながるデータを企業間で移転する際のルールなどを定めたもので、ユーザーの情報を自社サービスの改良や広告配信につなげてきた企業にとっては、活動に制約がかかるようになっています。 「GDPR」の基本原則は“個人情報は本人のもの”とするもので、施行後は各国に影響を与えました。個人情報の定義とデータを移転する際のルールなどは、それぞれの地域で異なりますが、米国、ブラジル、インドなどで、「GDPR」に準じた規制法が設定されています。個人情報の扱いには比較的おおらかとされてきた中国でも、「GDPR」を参照したとされる「個人情報保護法」「データ安全法」などの関連法が、2021年以降に成立しています。 国内の規制法はEUとは乖離 国内では、「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」や「電気通信事業ガバナンス検討会」などで、関連するテーマの議論が行われきましたが、一つの区切りとして、2022年2月に「ガバナンス検討会」が規制案を了承し、骨格がほぼ固まっています(「電気通信事業法 改正案」に盛り込まれ、2022年1月開催の国会(会期150日)に提出予定)。 国内法は、規制はすべての電気通信事業者ではなく、大規模検索サービスやSNS事業者などに限る、情報保護の対象を事業者が契約する利用者に限定するなど、「GDPR」に比べるとかなりゆるやかな内容になっています。覧履履歴を第三者に提供する際の同意取得の原則化も見送られました。当初は、消費者保護を重視した「GDPR」に近い内容になるとの見方が多かったのですが、産業界の反発も強くこの内容に帰結したとされています。 日本ではもともと、法律で保護する「個人情報」の範囲が狭く、サイトの閲覧履歴を文字情報で保存して利用者の識別に使う「クッキー」も、個人情報とは見なしません(「GDPR」では個人情報)。しかし、個人名と直接結びつかなくとも、自分の行動履歴が売買されたり、いろいろなサイトで同じ広告が表示されたりする現実には、違和感を覚える人も多い点は留意しておくべきでしょう。 クッキーが利用者(PCなどの端末)を識別する仕組み 出典:「国民のための情報セキュリティサイト」 総務省 日本企業も世界の動きを追従 日本の規制法は、先進各国とギャップが生じた印象は否めず、個人情報保護を強化する世界の動きは間違いなく加速しています。プラットフォーマーも対応を進めており、一例を挙げると、Appleは2021年から利用者の許可がなければ、端末を特定できるIDを元に、広告などの事業者がアプリの利用歴などを追えない仕組みに変えています。 Googleでも、アクセスしたサイトの運営企業とは別の事業者が発行する「サードパーティ・クッキー」を扱う機能を、2022年までに段階的に停止すると発表しました(その後1年延長を発表)。このような対策によって、ユーザーの関心が高そうな内容に絞り込んだメッセージを配信する「ターゲティング広告」のような手法の実践は難しくなります。 国内でもこうした動きを受けて、一部の事業者は対策を進めています。例えば、「サードパーティ・クッキー」を使用せず、閲覧している記事の内容からその人の関心を推測して提示する「コンテキスト(文脈)広告」と呼ぶ手法を採り入れるサイトも増えてきました。 その一方、利用者の意識も少しずつ変わりつつあるようです。個人が自ら個人情報をマネタイズ、例えば、日々の生活サイクルから発生する情報を企業に預け、対価を得るサービスも登場しています。ユーザーがサイトを閲覧した記録などの情報を提供し、見返りとしてポイントなどのインセンティブを得る「情報銀行」も、同様の流れと考えていいでしょう。 情報銀行の運用イメージ 出典:「令和3年版 情報通信白書」 総務省 問題の本質を見失わずに対応を ここ数年の法規制、特に欧州や米国の対応は、特定プラットフォーマーを“狙い撃ち”した印象も無きにしもあらずですが、“GAFA規制”のような言葉で括ってしまうと、問題の本質が見えにくくなります。いま考えるべきは、インターネットサービスが浸透した社会で、個人情報をどのように定義し、情報の保護と利用にどう向き合っていくかではないでしょうか。 プラットフォーマーの事業体制の変化と、各国の法規制に直接的な影響を受けるのは、オンライン広告の制作・管理、出稿に携わる事業者、多くの個人情報を管理するECサイトの運営母体、海外の顧客も多い企業などが中心ですが、インターネットを介して個人ユーザーと何らかの接点を持つ組織には、決して無縁の話ではありません。個人情報の扱いに関する世界と日本の動向は、常に関心を向けるようにしたいものです。
-
2022-03-17
ゼロトラストの共通基盤を押さえよう
10年の蓄積を経て浮上した「ゼロトラスト」 企業社会に急速に浸透する「ゼロトラスト(Zero Trust)」。 情報セキュリティの領域では、今もっとも注目度が高いキーワードと言っていいでしょう。直訳すると「信頼はゼロ」。社内ネットワークの中は安全という意識を改め、すべての場所、すべての機器を危険と認識し、通信が発生するたびに正当性を確認検証するセキュリティの考え方です。 ゼロトラストモデルの認証イメージ 出典:「ゼロトラスト導入指南書」(IPA:情報処理推進機構) 企業ネットワークの設計と運用体制を刷新する方法論ですが、ゼロトラストの考え方自体は、新しいものではありません。社内ネットワークをファイアウォールなどの機器で守る「境界防御」という従来からの方式は、1度侵入を許すと被害が横に拡散してしまうという課題があり、2000年代に入った頃から限界が指摘されていました。 2004年にはジェリコフォーラムという米国の業界団体が非境界防御型のモデルを提示し、2010年になるとフォレスターリサーチ社が、今で言うゼロトラスト・ネットワークのコンセプトを提唱。ここを起点としても、10年以上の積み重ねがあることになります。 2020年代の起点は「NIST」の提起 フォレスターリサーチ社の発表当初から、ゼロトラストの考え方は支持されていましたが、社内システムの設計と運用が複雑になるため、なかなか実装は進みませんでした。また、今と比較すればですが、サーバーやセキュリティ機器の性能が十分には高くなかった点も、進展を妨げた要因の1つに挙げられるでしょう。 2010年代の中期に入ると状況は変化します。企業システムのクラウドシフトが進み、テレワークも浸透して、企業の情報資産とワークスペースは社内から社外にも拡散。境界防御だけでは守りきれなくなってきました。すべての企業は、何らかの形でゼロトラストのような考え方を採り入れ、個々のリソースをガードする必要に迫られたのです。 ゼロトラストは、機能を特化したソリューションやサービスではなくコンセプト、考え方です。2010年代後半から、各国の情報技術と関係する省庁、調査機関、セキュリティ企業などが方法論を提示し、市場は混乱状態にありましたが、1つの転機になったのが2020年6月にNIST(National institute of Standards and Technology:米国立標準技術研究所)が発表したゼロトラスト・アーキテクチャーに関する文書「NIST SP(Special Publication)800-207」です。 「NIST SP 800-207」 出典:NIST 混乱するセキュリティ市場への指針 NISTは科学技術分野の総合研究機関で、米国の政府機関とビジネスをする企業が守らなければならない基準を定めています。セキュリティに関しては「SP 800-171」を策定。日本の防衛省もこの内容を元に調達基準を制定するなど、NISTが発行する公式文書は、各国の政府機関、情報分野の業界団体、企業の活動に大きな影響を与えています。 国内では、2021年6月、IPA(情報処理推進機構)が「ゼロトラスト導入指南書」、金融庁では「ゼロトラストの現状調査と事例分析に関する調査報告書」を発表しましたが、いずれの文書もゼロトラストに関する概念と設計手法、用語などは「SP 800-207」をベースにしています。 ゼロトラストはまだ成熟した領域ではなく、いろいろな解釈とアプローチがあって、一般企業から見ると、情報が錯綜している感は否めません。この状況下でゼロトラストに関する共通基盤の形成を目的としたNISTの文書は、企業がゼロトラストを推進する上での有力な指針として機能していくでしょう。 骨子は「ゼロトラスト 7原則」 「SP 800-207」は、ゼロトラストのアーキテクチャ、考え方を示したもので、実装のレベルまで踏み込んだものではありません。文書の性質上、概念的な内容も多いのですが、コアとなる要素は7項目から成るゼロトラストの基本原則(原文ではtenet)を示した部分です。ここから先は、各原則のポイントを抽出してみましょう。 --------------------------------------- ◇ゼロトラストの原則(Tenets of Zero Trust) 原則1.すべてのデータソースとコンピューティングサービスをリソースとみなす 原則2.ネットワークの場所に関係なく、すべての通信を保護する 原則3.企業リソースへのアクセスは、セッション単位で付与する 原則4.リソースへのアクセスは、クライアントID、アプリケーション/サービス、リクエストする資産の状態、その他の行動や環境の属性を含めた動的ポリシーから決定する 原則5.すべての資産の整合性とセキュリティ動作を監視し、測定する 原則6.すべてのリソースの認証と許可を動的に行い、アクセスが許可される前に厳格に実施する 原則7.資産、ネットワークインフラ、通信の状況について、可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する --------------------------------------- 原則1.すべてのデータソースとコンピューティングサービスをリソースとみなす 一般企業では、製造、販売、財務、コミュニケーションなど、さまざまな業務領域で情報システムが稼動しています。システムの形態としては、オンプレミス、SaaSなどのクラウドサービス、IoT、個人の情報機器を業務に使用するBYOD(Bring Your Own Device)などもありますが、すべてのシステム/サービスをリソースと見なし、ゼロトラストの対象に含みます。 原則2.ネットワークの場所に関係なく、すべての通信を保護する 社内を安全、社外を危険とみなす境界防御重視の体制を見直し、すべての通信に対して検証を行うという考え方です。オンプレミスの社内サーバーから発信する通信も、外部のクラウドサービスを起点とするアクセスも、同じセキュリティ要件を満たす必要があります。 原則3.企業リソースへのアクセスは、セッション単位で付与する この場合の「セッション」は、個々の通信の単位を示します。境界型の防御では、1度認証したデバイスに対しては、一定時間は社内ネットワークの情報機器へのアクセスを許可する形が多いのですが、ゼロトラストの環境では通信が発生する度に認証し、かつその処理を完了するために必要な最小限の範囲に絞ってアクセス許可を出します。 原則4.リソースへのアクセスは、クライアントID、アプリケーション/サービス、リクエストする資産の状態、その他の行動や環境の属性を含めた動的ポリシーから決定する リソースへのアクセス許可は、動的に行うという内容です。IDとパスワードだけを使う認証は静的、1度許可した認証情報を持つデバイスに対しては、社内の別のフロアからでも、システムが攻撃を受けている最中でもアクセスを許可してしまいます。一方、動的な認証は、アクセス日時と場所、デバイスの状態(OSのバージョン、電子証明書など)、社内ネットワークの状況などをその都度数値化し、一定のスコアを超えたらアクセスを遮断するなどの方法で通信を保護します。 リスクをスコア化するイメージ 出典:「ゼロトラスト導入指南書」(IPA:情報処理推進機構) 原則5.すべての資産の整合性とセキュリティ動作を監視し、測定する BYODを含めたすべての情報端末、アプリケーションは信頼できないものとし、継続的に監視すること。デバイスに問題が検出された際は、パッチ適用を実施、権限設定の変更、接続の遮断などの措置を取ります。 原則6.すべてのリソースの認証と許可を動的に行い、アクセスが許可される前に厳格に実施する 企業システムに属するすべてのリソースに対し、継続的に安全性を再評価することです。例えば、同一システムとの通信中でも、一定時間が経過した後や利用するファイルの切換時などのタイミングで、動的に認証を行います。アクセスが許可される前に“厳格に実施する”は、例えば、多要素認証の適用が考えられます。 原則7.資産、ネットワークインフラ、通信の状況について、可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する 情報システムのログを元に、セキュリティレベル、ネットワークのトラフィック、アクセス要求に関するデータを取得し、分析した結果を動的なセキュリティポリシーの設定と運用、セキュリティレベルの改善に役立てるという内容です。 難易度が高い理想的なゼロトラスト 7つの原則を集約すると、ゼロトラストとは、“すべて信用しない”というより、“すべての動作において認証を行う”、“毎回、状態を確認する”セキュリティモデルと表現した方が、実態に近いと言えるでしょう。 7原則を実装した「理想的なゼロトラスト」は、すべてのリソースへのアクセスに対し、その都度、認証と許可を、動的に行うネットワークです。機能のポイントは“動的な判断”で、実践するにはすべてのシステム、デバイスに対するリアルタイムの状態把握が欠かせません。すべてのリソースのステータス、通信が保護されている状態を可視化する機能も必要です。 このような“完璧”に近い防御体制の整備は容易ではありません。「SP 800-207」でも、ゼロトラストを構築する戦略によっては、7原則のすべてを完全には満たさないアーキテクチャもあり得るという点は記載されています。この場合、ある原則を完遂できないとしても、他の原則や既存のセキュリティ機器の機能でカバーし、社内ネットワーク全体でゼロトラストの考え方を実践していくことになるでしょう。 社内システムの状況に応じたアプローチを 「SP 800-207」には、1度のシステム更新では、ゼロトラストへの全面的な移行は困難である点も記されています。7原則を実践するための手法は1つではなく、例えば、エンドポイント機器の単位で安全対策を施すEDR、コンテンツの単位でデータを保護するDLP、クラウドの利用を管理するCASBなど、さまざまなシステム、ソリューションを組み合わせてアプローチすることになるでしょう。 また、ここまでは“境界防御の限界”や“従来の境界防御と比べ~”などと記載してきましたが、ゼロトラストの整備に際しては、境界型の防御を排除しなければならないということはありません。企業システムには、次世代ファイアウォールや次世代アンチウイルスなど、ネットワーク監視の機能を持つさまざまなツールが実装されています。“すべての動作を認証する”というゼロトラストの理念をより効率的、より安価に実践するには、既存のリソースと新しいツールの組み合わせ、補強という視点からアプローチする発想も有効です。 境界型防御とゼロトラストのツールを組み合わせた例 出典:「ゼロトラスト導入指南書」(IPA:情報処理推進機構) 言うまでもなく、ゼロトラストは目的ではありません。目標とする地点は、企業の情報資産とワークスペースが拡散し、それを狙うサイバー攻撃が先鋭化していく中で、より安全な環境を構築・維持すること。多くの企業は、そのゴールに向けてシステムの補強を進める過程で、ゼロトラストの機能を実装していくという形で進めることになるでしょう。
-
2022-03-17
「2021~2022年のセキュリティ展望 トップ8」
ガートナーが情報セキュリティに関する展望を発表 調査会社 ガートナーが発表するレポートは、各国のIT分野の業界団体とセキュリティ企業、ITと接点を持つ省庁などが注視しています。2021年12月末の時点で、情報セキュリティに関する最新の文書では、以下が公開されています。 「2021~2022年のサイバーセキュリティに関する展望のトップ8」 レポートの主旨は、2021年の情報セキュリティの分野を概観し、2022年も継続すると思われるサイバー攻撃の動向、そして一般企業・団体に必要なセキュリティ対策の方針と体制の整備についてまとめたものです。それでは、「展望 トップ8」の具体的な内容を見ていきましょう。 先鋭化した攻撃の継続と新たなリスクへの対処を 「展望 トップ8」の全体を概観するため、まずキーワードを抽出して短く表してみました。リストの後は各展望の原文(和訳文)を示し、その内容について補足していきます。 1.世界人口の75%の個人情報がプライバシー規制の対象に 2.セキュリティメッシュ・アーキテクチャーの有効性が顕在化 3.CASB、ゼロトラスト、FWaaSなどの導入企業はベンダー集約の傾向 4.60%の組織がビジネス上の契約でセキュリティリスクを重視 5.ランサムウェア被害に対する支払い、交渉への規制を強化 6.取締役会の40%は、専任のセキュリティ委員会を設置 7.CEOの70%は、組織的レジリエンスの文化が必須に 8.OTへの攻撃が物理的な人的被害を与える可能性 1.「2023年末までに、世界人口の75%の個人情報が、最新のプライバシー規制の対象となる」 2010年代の後半から、先進国における個人情報保護の体制は大きく変化しました。転機となったのは、EUが2016年に発行(2018年施行)したGDPR(一般データ保護規則)です。その後、ブラジルのLGPD、米カリフォルニア州のCCPAなどが制定され、国内では個人情報保護法が改正されています(2022年4月施行)。こうした動きはさらに拡がり、2023年末までには世界人口の75%の個人情報が規制対象になるとされています。 GDPRのシンボルマーク 出典:委員会Facebookページ GDPRの基本的な理念は“個人情報は本人のもの”とするもので、各国・各地域の規制もこの考え方は概ね継承していますが、個人情報の定義や情報を利用する際のルールは異なります。企業はプライバシー管理業務の増加に向け、管理システムで自動化できる部分を増やすと同時に、それぞれの規制の管轄地域に合わせた調整が求められます。 2.「2024年までに、サイバーセキュリティ・メッシュ・アーキテクチャを導入する組織は、セキュリティ・インシデントによる財務への影響を平均で90%の低減させる」 「サイバーセキュリティ・メッシュ」とは、社内のサーバーやクラウド上に分散したアプリケーションとデータ、リモートワーク中のPC、IoTの関連機器など、すべての情報資産に対して、メッシュ状のセキュリティを機能させるためのシステムや技術です。 要素技術として、アクセスが発生する度に認証を課すゼロトラスト、ファイアウォール(FW)から内側を守る従来からの境界防御の手法ではなく、個々の情報機器の単位でガードを強化するエンドントセキュリティなどが挙げられます。「メッシュ」という言い方はしていなくとも、このような考え方に基づき、セキュリティの対象領域を拡げるシステム/サービスは普及が進んでおり、今後2年間でさらに加速すると思われます。 3.「2024年までに、企業の30%は、クラウド・デリバリ型セキュアWebゲートウェイ(SWG)、クラウド・アクセス・セキュリティ・ブローカ(CASB)、ゼロトラスト・ネットワーク・アクセス(ZTNA)、サービスとしてのファイアウォール(FWaaS)の各機能を、同じベンダーから採用する」 SWG、CASB、ZTNA、FWaaSは、ここ2~3年で普及が進んだセキュリティツールですが、いずれもクラウドサービスの利用を前提として、情報資産をガードするものです。 SWGの概要は、Webアクセスの安全確保に必要なURLフィルタリング、アンチウイルスなどの機能を搭載し、主にクラウド型で提供するサービス。CASBはクラウドサービスの利用状況の一元管理、ZTNAはゼロトラストの考え方で運用するネットワーク、そしてFWaaSは、より高度な次世代FWの機能をクラウドから提供するサービスです。 生い立ちと守備範囲はそれぞれ異なりますが、ソリューションとして提供するセキュリティ企業はその機能を年々拡張していることもあり、重なる部分も少なくありません。ユーザー企業の多くは、数十種類のセキュリティツールを運用しているとされ、管理の負担からベンダーを絞り込んで、ツールの集約と最適化を進めることになるでしょう。 4.「2025年までに、組織の60%は、サードパーティとの取引やビジネス契約における主要な決定要因として、サイバーセキュリティ・リスクを用いる」 大手メーカーなどを軸としたサプライチェーンに対する「サプライチェーン攻撃」が多発しています。大企業に比べ、セキュリティ対策が比較的手薄な中小の事業者を狙い、そこを足場にサプライチェーンを形成する企業のシステムへの不正侵入やマルウェアの送付を企てるような手口です。 このような背景もあって、セキュリティ対策が厳しく問われる点は企業の規模や系列を問いません。特にベンチャーキャピタリストなどの投資家は、セキュリティを重視する傾向が顕著です。買収/合併やベンダーとの契約時も、相手先企業に対してセキュリティプログラムのデータを求めるリクエストが増加していきます。 5.「2025年までに、ランサムウェアへの支払い、罰金、交渉の規制を目的とした法案を可決する国家の割合は、2021年の1%未満から30%に上昇する」 米国の医療施設が多額の身代金を支払い、わずか4日で電子カルテを復旧させた事例も報告されていました。人命がかかる組織ならずとも、支払いや交渉を行った企業は少なくないと思われます。身代金の支払いに、ほとんど規制がない暗号資産の市場が使われる場合、法的、倫理的な悪影響は避けられません。 もちろん、批判の対象は被害を受けた企業ではなく攻撃者に向けるべきですが、ランサムウェアが鎮静化する兆しは見えず、支払いと交渉を規制する法案の成立が加速しそうな現実は直視すべきです。企業の体制整備は不可欠で、この攻撃が内包するすべての懸念に対する考慮、判断ができる部門横断型のチームでの対応が求められます。 「情報セキュリティ10大脅威 2021」 ランサムウェアは組織部門のトップ 出典:IPA(情報処理推進機構) 6.「2025年までに、取締役会の40%は適格な取締役が監督するサイバーセキュリティ委員会を設置する」 セキュリティ対策は、コストではなく投資という認識が拡がってきましたが、この傾向はさらに顕在化していきます。具体的な動きとして、取締役会レベルのセキュリティ委員会の設置や、より厳格な監督とセキュリティレベルの精査などが挙げられます。 組織全体のセキュリティリスクの可視性は高まり、取締役会へ報告する際も、その安全対策の価値、現状のリスク、コストについて、より精緻な内容が求められるようになるでしょう。 7.「2025年までに、CEOの70%は、サイバー犯罪、異常気象、市民の不安、政情不安などによる、同時発生的な脅威を切り抜けるために、組織的レジリエンスの文化を必須とする」 企業とそれを率いるCEOにとっての脅威は、サイバー攻撃だけではありません。異常気象、政情不安、そしてそれらが同時に発生する脅威を乗り切るため、組織的なレジリエンス(回復力・適応力)の強化が求められます。 特にDX(Digital Transformation)によるビジネス領域の拡がりと複雑化が進む環境では、脅威の影響も広範囲に及ぶため、情報セキュリティの視点から、サイバーリスクの影響範囲の定義と、組織のレジリエンスを高める目的と行動内容の明確化が求められます。 8.「2025年までに、攻撃者はオペレーショナル・テクノロジ環境を武器にして、人的被害を与えられるようになる」 オペレーショナル・テクノロジ(OT)は、プラントや工場、ビルなどで稼動する各種機器を制御するシステムの運用・制御技術です。その生い立ちからOTの分野はクローズド、メーカー独自のハードウェアとソフトウェアで構成されていたため、セキュリティリスクは比較的低い状態が保たれていました。しかし、2010年代に入った頃からオープンシステムのITとの連動が進んで、両者はシームレスにつながり、情報システムと同等レベルのリスクに晒されるようになっています。 サイバー攻撃から物理的な設備が被害を受けるリスクを広く知らしめたのは、2010年にイランの核施設が大きな被害を受けたマルウェア「Stuxnet」ですが、それ以降も社会インフラや大企業のOTを標的にした攻撃は続き、欧米を中心に製造システムが停止するなどの実害がたびたび報告されています。 Stuxnetの攻撃プロセス 出典:IPA(情報処理推進機構)のセミナー資料 今のところ、人的な被害を生んだ大きなインシデントの報告は出ていないようですが、IoT、DXの推進もあってネットワーク化/シームレス化が進む環境では、リスクは高まっていると考えるべきでしょう。IT/OTを運用する組織は、適切な管理ができるチームの編制と配備が求められます。 「セキュリティ展望 トップ8」を安全対策に反映 「展望 トップ8」には、2021年から2022年にかけて顕在化、そして加速しそうな動きが集約されています。特に前半、1.プライバシー規制、2.サイバーセキュリティ・メッシュ、3.セキュリティツールの集約、4.事業契約におけるセキュリティリスクの重視、そして5.ランサムウェア対策の各項は、国内でも大多数の企業が直視しなければならない課題と言えるでしょう。 「展望 トップ8」を自社システムに反映させるには、まず自社の安全対策に対する現状分析が起点になります。各項目に提示された内容に基づき、情報システムとセキュリティツールのリスト化、そして補強すべきポイントの整理から始めましょう。