作成日:2014/2/3

1月23日、内閣官房情報セキュリティセンター(NISC)は、毎年2月の情報セキュリティ月間の最初の平日を「サイバーセキュリティの日」とすることを発表しました。今年は本日2月3日(月)となります。
「サイバーセキュリティの日」は情報セキュリティ月間の趣旨を広く国民に啓発するとともに、特に、深刻化・高度化するサイバー空間の脅威やその対応策等について理解を深めることを目的とし、その訴求対象は主に仕事などで情報システムや情報通信ネットワークを利活用する組織や人となっております。

 

最近のサイバー攻撃の脅威

発表資料の内容を見ると、フィッシング詐欺等の個人に対する犯罪行為(いわゆるサイバー犯罪)というよりもむしろ、企業や政府機関等に対する「サイバー攻撃」に重点を置いているように見受けられます。なお、ここでのサイバー攻撃とは、サイバー空間を経由した不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃、等のことです。
昨今、この「サイバー攻撃」の脅威が高くなっております。以前はホームページの改ざん等に見られたように、嫌がらせや自己顕示欲を目的とした個人的な活動が主でありましたが、これが段々と金銭や機密情報の取得といった営利目的、政治的・思想的信条を背景とした主張や妨害目的、あるいは社会インフラの機能不全のよる混乱を目的とした、組織的な活動が増えてきております。この組織には、いわゆる犯罪組織ばかりでなく、時には国家的な組織(軍隊、諜報機関、等)も含まれてきます。

 

セキュリティ防止策だけでは不十分

この動向から注意しなければならないのは、従前は労力や時間をかけずにセキュリティの脆弱な箇所に攻撃するケースが大半であったため、ファイヤーウォールやアンチウィルス等の、ある程度のセキュリティ防止策を整備すれば被害にあう可能性は低かったと思います。例えるなら、空き巣が侵入しようとした家屋に警備会社の防犯設備を確認した場合、退避行動を行うようなものです。
しかしながら、攻撃主体が組織や国家になってくると、あらかじめ莫大な利益をもたらしたり、大きな混乱を引き起こしたりする様なターゲットを特定した上で、仮に多大な時間や労力がかかることになっても目的を達成することが第一条件になることから、いくら強固なセキュリティ防止策を整備しても、いつかは侵入を許してしまう可能性が高くなります。特に最近話題の標的型攻撃に見られるソーシャルエンジニアリング(専門の世界ではヒューミントという場合もありますが)と組み合わせられた攻撃は防止することが一層困難となります。例えば、昨年某国の原子力施設で、クローズドネットワークにもかかわらずコンピュータウィルスに感染しましたが、これは人間系の攻撃と組み合わせて行われたと考えられます。

 

対応策のヒント

まず前提として、従来の様にプラットフォーム上のセキュリティ防止策を整備し、更新していくことは最低条件でありますが、一方でどんなに強固なセキュリティ防止策も、いつかは破られてしまう、と考えることが重要です。つまり、セキュリティ防止策は「絶対破られない」ではなく「破られるまでの時間を稼ぐ」ための施策であり、時間を稼ぐ間に様々な手を打てるようにして、致命的な状況を防ぐようになればと思います。そのための検討事項として、以下を参考にしてください。

  • セキュリティ防止策を多層化、多様化することを検討:例え内部ネットワークに侵入されても、幾層の様々な防止策により攻撃側の進行を鈍化させる
  • 監視業務の再検討:上記で整備した防止策で検知される異常なパケット通信やログ等を適時に認識するための効率的かつ効果的な監視業務の構築、運用
  • インシデント発生時の手順検討:既にBCPや危機管理計画が策定されている場合は、活用の上で必要とされる差分を検討
  • 人間系の対策:社員に対する教育はもちろんですが、社屋に出入りする業者や派遣社員、等に対する防止策も検討(例えば、清掃業者に対しては机上の整理や印刷物の放置等を徹底する、等の施策)

上記に関連した具体的な相談については、問合せフォームにてご連絡ください。
お問い合わせ