基礎知識
サイバー攻撃に備えるための方法(サイバーセキュリティフレームワーク)
サイバー攻撃(サイバーテロ)とは、企業や組織(政府機関も含む)のITシステムに対して行われる、破壊活動やデータの窃取、改ざんといった攻撃の総称です。主にネットワークなどを通じて行われるサイバー攻撃は、インターネットの普及とともに高度化・多様化しています。こうした攻撃の多くは、古くは個人による愉快犯的ないわゆる「イタズラ」の範囲に収まっていました。しかし、現在では犯罪組織や国家が関与するような大規模な犯行が増加しています。
サイバー攻撃の目的はさまざまですが、犯罪組織が関与するようなものに関しては、そのほとんどが金銭や個人情報・機密情報の窃取を目的としています。被害を受ける側からすると、直接的に金銭を奪われることはもちろん、社会的信用の失墜にも繋がる機密情報の流出は決して無視できません。
本記事では、主に企業や組織に対して行われるサイバー攻撃について、その種類と対策を解説します。
本記事をご覧いただいた方向けに、おすすめの記事をまとめました。こちらもあわせてご確認ください。
近年のサイバー攻撃の傾向
近年、企業や組織に対して行われるサイバー攻撃は、より犯罪性が強く、かつ組織的に行われるようになってきています。サイバー攻撃には、さまざまな手法が存在しますが、IPA(情報処理推進機構)が行っている調査「情報セキュリティ10大脅威 2021」によると、組織に対する脅威で一番多いのが「ランサムウェア」、続いて「標的型攻撃による機密情報の窃取」となっています。
一見すると、この2つは別々の脅威のように見えますが、実は非常に強い関連性があります。現在の攻撃の主流となっているのが、まず標的型攻撃によって機密情報の窃取を行い、これをランサムウェアによって暗号化するという方式です。こうして機密情報を人質に取り、復旧のための金銭(身代金)を要求するという事例が非常に増加しています。
巧妙化し、発見しにくくなっているサイバー攻撃
前述の通り、一口にサイバー攻撃と言っても、具体的な攻撃手法はさまざまです。前述のランサムウェアの例のように複数の攻撃手法を組み合わせることで巧妙化するなど、その手口も日々進化しています。
多くの資産や機密情報を持っている大企業だけに限らず、中小企業が狙われる例も増加しています。また、大企業に対して攻撃を行う起点として、サプライチェーンの中でも攻撃耐性の低い取引先の中小企業やグローバルビジネスを展開している企業であれば、海外の拠点などが狙われることもあります。
近年、被害が増加している代表的なサイバー攻撃には、以下のようなものがあります。
| 主なサイバー攻撃の種類 | ||
|---|---|---|
| 特定のターゲットを狙った攻撃 | 標的型攻撃 |
|
| ランサムウェア |
|
|
| 負荷をかける攻撃 | DDoS攻撃 |
|
| OS/ソフトウェア/WEBサイトなどの脆弱性を狙った攻撃 | ゼロデイ攻撃 |
|
| パスワード関連の攻撃 | ブルートフォースアタック(総当たり攻撃) |
|
| パスワードリスト攻撃 |
|
|
サイバー攻撃から企業・組織を守るサイバーセキュリティフレームワーク
従来、サイバー攻撃からシステムや情報を守るためには、複数のセキュリティソリューションによって防御する「多層防御」という考え方が主流でした。多層防御は、ITシステムのネットワークの境界となる部分にファイアウォールやIDS/IPS、ウイルス対策、情報漏えい対策など複数の対策を施すことで実現されます。
ITシステムのネットワークが企業内に閉じているのであれば、境界で攻撃をシャットアウトすることで、内部を安全に保つことが可能でした。しかし、現在ではクラウドサービスの普及やテレワークの推進によって、ITシステムが企業・組織内だけに閉じず、外出先や自宅にまで広がっています。こうしたネットワークの拡大によって、従来の境界型セキュリティでは、十分な防御が難しくなってきています。そこで、現在では「ゼロトラストネットワーク」のようにネットワーク内部への侵入を前提としたセキュリティの考え方が広まりつつあります。
NIST(米国国立標準技術研究所)が発行しているドキュメントの中に「SP‐800シリーズ」と呼ばれるセキュリティに関するレポート群があります。これは、アメリカの政府機関向けのセキュリティガイドラインですが、組織の大小や官民を問わず有益なドキュメントであるため、日本の政府情報システムの調達基準でも参考にされています。このSP-800シリーズの中に重要インフラにおけるサイバーセキュリティの改善を目的として作成された「サイバーセキュリティフレームワーク(Cyber Security Framework, CSF)」があります。
サイバーセキュリティフレームワークの特長の1つが、ネットワークの境界で脅威を発見して防御するだけに留まらず、ネットワーク内部へ侵入されることを前提とし、最終的に復旧させることまでを考慮している点です。このフレームワークでは、重要なインフラ分野において共通となるサイバーセキュリティ対策や期待される成果を「フレームワークコア」として位置付けています。フレームワークコアは、セキュリティリスクの管理に必要な理解を深める「識別」。システムをセキュリティリスクから守るため、適切な対策を実施する「防御」。サイバー攻撃などのセキュリティイベントが発生した際に早期発見を可能にする対策を施す「検知」。検知されたセキュリティイベントに対し、適切な対処が行えるようにする「対応」。サイバー攻撃によって阻害されたサービスなどを通常状態へ復旧させる「復旧」。という、5つの機能によって構成されています。
サイバーセキュリティフレームワークは政府機関だけでなく、一般企業でも適用できる汎用性を持っています。世界中の政府や多くの企業で採用されており、サイバーセキュリティのグローバル・デファクトスタンダードと言えるでしょう。
サイバーセキュリティフレームワークを前提とした対策
前述の通り、高度化・多様化するサイバー攻撃は、従来の方法論だけでは防御しきれません。しかし、だからといって、従来から行われてきた基本的な対策を怠ってよいということではありません。OSやミドルウエアをはじめ、脆弱性を生じる可能性があるソフトウエアは、常に最新版にアップデートしておくのが大前提です。信頼できるセキュリティ対策ソフトを導入するのも有効ですが、この場合も導入しただけで安心せず、定義ファイルは常に最新版にアップデートするよう心がけましょう。まずは、こうした基本となる対策を確実に実施した上で、ゼロトラストネットワークに対応したセキュリティ(多要素認証の導入など)を従来の境界型の防御と併用する形で追加することを検討するとよいでしょう。
攻撃を防御するだけでなく、サイバーセキュリティフレームワークにおける「対応」「復旧」の機能について検討しておくことも重要です。万が一、サイバー攻撃を受けてしまった場合にどのような対応を行い、迅速に復旧するのかを事前に検討・準備しておきましょう。例として、サイバーセキュリティフレームワークを参考にランサムウェアの攻撃を受けた場合の対応を考えてみましょう。
「IDS/IPS」を導入すれば、「検知」と「対応」が可能だと思えるかもしれません。しかし、IDS/IPSもすべての攻撃を完全に検知できる保証はないため、攻撃がすり抜けた場合も考えておく必要があります。例えば、サーバーやネットワークのアクティビティログを取得しておけば、具体的にどのような攻撃が行われたのかの記録・追跡が可能となります。これによって、実際にどのような攻撃が行われ、どこに脆弱性があったかを可視化しやすくなり、結果として対応策も打ち出しやすくなります。
ランサムウェアはデータを暗号化して、復号化のために金銭を要求する攻撃です。仮に要求通りに身代金を支払っても、必ずデータが復号化されるとは限りません。また、言われるままに身代金を払うことは犯罪組織に資金を提供することとなり、結果として、被害者である企業の社会的な信頼が損なわれる可能性も考えられます。そのため、常日頃からバックアップを取得し、自力でデータを復旧できるよう備えておくことが大切です。
しかし、ただ復旧するだけで、攻撃の起点となった原因を放置したままにしていると、再び同様の攻撃を許してしまうことになるでしょう。ランサムウェアによる攻撃では、身代金が支払われなかった場合、盗んだデータを公開して企業に損害を与えるケースも増えています。「バックアップから復旧できるから安心」というわけではなく、脆弱性がある箇所を早期に発見、改善し、そもそも攻撃を受けない体制を作る必要があります。この「脆弱性がある箇所」には、システムだけでなく、運用フローや組織なども含まれます。NISTのサイバーセキュリティフレームワークにある「識別」「防御」「検知」「対応」「復旧」は、単なるセキュリティソリューションを活用する考え方ではなく、復旧計画や改善も含めた文字通り「フレームワーク」であることを認識しておくことが重要です。
