サイバー攻撃の被害をいたずらに拡大させてしまう責任は企業側にあり?

2021年11月24日、12月1日、12月8日の3日間に渡り、サイバーリーズン・ジャパン主催のオンラインセミナー「Cybereason Security Leaders Conference 2021 秋」が開催されました。本イベントの1日目には株式会社サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏が登壇し、「高まるサイバー脅威から『企業利益』を本当に守るために必要なこと」と題した講演を行いました。

冒頭で名和氏は本講演のテーマについて、次のように述べました。

「サイバー脅威による被害を発生させる責任が攻撃者にあることは間違いありませんが、その被害をいたずらに拡大させる責任はむしろ(被害)企業側にあるとも言えます。こうした考えを述べると多くの方から反発を受けるのですが、本日はあえてその真意についてお話ししたいと思います」

同氏はこれまで数多くの企業のサイバー攻撃対策を支援してきた中で、企業側の対応が稚拙であるがために、いたずらに被害を拡大させてしまう事例を嫌というほど目にしてきたといいます。そうした事例には、幾つかのパターンがあると同氏は述べます。

「例えば、CISOがリーダーシップを発揮できないパターン。日本企業ではCISOを法務部長が兼務することがありますが、本業で多忙になる時期が多く、十分にCISOの責務を果たせていないケースが見られます。またその多くは非役員であり、十分なリーダーシップを発揮できる権限も与えられていません」

またドキュメント上では美辞麗句を並べているものの、具体的な対策判断の多くを現場に丸投げしてしまう「“修辞的”な情報セキュリティ対策」も目立つといいます。一方現場でも、丸投げされた対策に対して「やっている感を醸し出す」ための旧態依然とした部門間調整に終始するケースもあると同氏は指摘します。

そのほかにも「予算消化型で実効性に乏しい標的型攻撃メール訓練」「緊急時でも通常時の手続きに固執するインシデントレスポンス」「プロダクトやソリューションに強く依存するサラリーマン的思考のセキュリティ担当者」といった存在がネックとなり、防げるはずのサイバー攻撃の被害をいたずらに広げてしまうケースが多々あるといいます。

サイバー攻撃を受けた際の被害を最小化するために大事なこと

こうした事態を回避し、サイバー攻撃によって失う企業利益を最小化するには、「想像力を駆使してリスクを予見し、あらかじめ適切な対策を講じておくことが何よりも大切だ」と名和氏は述べます。

「インシデントが発生する前に、経営層やCISOが自ら率先してサイバーセキュリティのリスクを予見・先取りすることで、事前にさまざまな対策を講じることができます。しかし多くの日本企業の経営層は、セキュリティインシデントの発生によって受けるダメージを想像できず、セキュリティ対策を完全に他人事としてとらえる傾向がみられます」(名和氏)

その結果いざインシデントが発生すると、本来適切な事前対策を講じておけば小さく抑えられたはずの被害がむやみに拡大してしまいます。その原因究明や改善活動もスムーズに進めることができないため、そこから慌ててセキュリティ対策への投資を追加しようとしても、その場しのぎの「過小あるいは過剰なセキュリティ投資」に陥りがちだといいます。

「人間のリスク回避行動は、まずは目や耳で危機を『検知』し、頭脳で『判断』して、最終的に手足の『動作』につなげます。これを組織に当てはめると、まずユーザーやシステムがリスクを検知して、その情報が頭脳に当たるCSIRTや経営層に送られ、意思決定が行われた後に、手足に当たる現場や外部専門業者に指示が送られます。しかし企業をサイバー脅威から守る意識の低い多くの日本企業では、CSIRTや経営層が逆にボトルネックとなり、セキュリティコントロールが十分に機能していません」(名和氏)

サイバー攻撃のリスクから企業利益を守るための「5つのポイント」

 では企業が自社の企業利益を守るために本当に必要となる取り組みとは、一体どのようなものなのでしょうか。名和氏は以下の5つのポイントを挙げます。

まず、オフィスの有無や従業員が働く場所にとらわれず、常にセキュリティコントロールが機能するようなサイバーセキュリティ基盤を実現することが大前提となります。

次に、企業の取締役会議の議題にサイバーセキュリティを入れ込み、経営陣がサイバーセキュリティをビジネス上の問題として扱うカルチャーを社内で醸成する必要があります。こうして経営層が率先して動くようになれば、自ずと会社全体のサイバーセキュリティに対する意識も向上していきます。

3つめが、脅威インテリジェンスの自動化と先端技術を積極的に活用することです。近年のサイバー攻撃の手口は急速に高度化・巧妙化しているため、これに対抗するためにはインテリジェントな自動化、行動分析、深層学習、セキュリティ分析などの先端技術を積極的に導入していく必要があります。

4つめは、自社のセキュリティモデルを「境界型モデル」から「ゼロトラスト・アーキテクチャーモデル」へとシフトすることです。特にリモートワークを導入している企業においては、ゼロトラスト・アーキテクチャへの意向は必須ともいえるでしょう。

最後に5つめの取り組みとして同氏は、「クラウドインフラの保護」を挙げます。

「クラウドシフトの流れが加速するに従ってクラウドインフラを狙ったサイバー攻撃も急増しており、クラウドに対するセキュリティコントロールが多くの企業で急務になっています。そのためにはインテリジェントなツールやテクノロジー、プロセス、ガバナンス・モデルなどを導入して、まずはクラウドインフラのセキュリティ状況をきちんと可視化できる仕組みを構築することが大事です」

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド