デジタルビジネス時代の守りのIT投資「セキュリティ」

特集TOP

「企業における情報セキュリティ実態調査」
から見る傾向と対策ランサムウェアの流行とCISOの設置が新たなセキュリティ対策の鍵となる

2017年3月、NRIセキュアテクノロジーズ(以下、NRIセキュア)は、2016年9月から10月に行ったアンケート調査の結果を「企業における情報セキュリティ実態調査 2017」として発表した。今回で15回目となるこの調査で、企業の情報セキュリティ対策の現状はどのように変わってきたのだろうか。NRIセキュアの大貫 秀明 氏、金子 洋平 氏、山本 直実 氏に話をうかがった。

2002年から続けられている調査

NRIセキュアが2002年から行っている「企業における情報セキュリティ実態調査」は、毎年若手のメンバーが中心となって企画から調査、分析、編集までを行い、当初は約1,500社を対象としていたが、現在は3,000社を対象としている(2016年調査の回答企業数671社)。また、2017年版では、新たな攻撃としてのランサムウェアの流行や、IoTなどの新たな技術に対するセキュリティ対策についての項目も追加された。また、新たに米国とシンガポールでも調査を行い、グローバル編としてまとめられている。

「2000年にNRIセキュアが設立された当初から、他の会社がどのようなセキュリティ対策を行っているのか参考にしたいという要望がお客様から出てきていました。対策状況と被害状況の統計的なデータを提供することで、企業のセキュリティレベル向上に寄与したいと考えて始めたのが企業における情報セキュリティ実態調査です」とNRIセキュア コンサルティング事業本部の本部長 大貫 秀明 氏は説明する。

ここでは、「セキュリティ脅威」「人材」「IoT」の3つの観点から2017年版の顕著なトピックを解説してもらった。

ランサムウェアが猛威を振るう

2016年に発生したセキュリティインシデントは、例年どおりヒューマンエラーによる事件・事故が最も多いが、標的型メール、ランサムウェアなどによるインシデントが発生した企業が増えてきていると大貫氏は説明する。

企業の対策状況としては、基本的なウイルスチェック、プロキシサーバ導入、ファイアウォール導入などの従来の脅威に対する対策は行われているものの、添付ファイルの拡張子規制、アプリケーション単位での通信制御、Webアプリケーションファイアウォール導入など、標的型攻撃などのより高度な攻撃に対する対策は実施されていないのが現状だ。

基本的な対策だけでなく、二重三重に多層防御を行わないと難しい状況となってきていると大貫氏は話す。

2016年ごろから本格的に流行し始めたランサムウェアについて大貫氏は、「以前からあった身代金要求型ウイルスと呼ばれるものですが、実際に払ってしまうケースが増えることにより、外部から不正侵入して情報を盗んでお金にするよりも効率がよい方法として一気に増えてきたのだと思います」と分析する。必要なツールを集めてランサムウェアによる攻撃を行いやすいようにするRaaS(Ransomeware-as-a-Service)といったサービスも出てきており、簡単にランサムウェアを使って攻撃し、身代金を要求する集団が増えてきているのだ。

NRIセキュア ストラテジーコンサルティング部 セキュリティコンサルタント 金子 洋平 氏は、「ランサムウェアに対しても、基本的にはあたり前のことをきちんと行うことが重要です。たとえば、2017年5月13日に爆発的に広がったワーム感染型ランサムウェアのWanna Cryは、Windowsの脆弱性を狙ったものですが、マイクロソフトは3月の時点で更新プログラムを提供しており、しっかりとWindows Updateを行っていれば防げた脅威です。また、5月15日にはアンチウイルスソフトもこの脅威に対応していたので、アンチウイルスソフトの更新プログラムを適用することも重要です」。

ランサムウェアに対するセキュリティ対策

ランサムウェアや標的型メール攻撃などの新たな脅威に対しては、悪意を持ったマルウェアを紛れ込ませないようにすることが重要だ。そのためには、怪しい添付ファイルを開かないように役職員を教育・啓蒙する必要があり、無害な添付ファイルを送って開封率をチェックするメール訓練などを行うことが有効だと大貫氏は説明する。また、ガイドラインを作成し、定期的な研修を行う必要もあり、感染してしまった場合の手順書や連絡先などをまとめて伝播しないように食い止めることも重要だという。

しかし、教育や啓蒙などを行っても万全ではなく、100%マルウェアに感染しない方法はない。そのため、セキュリティ部門では、「別の場所にバックアップをしっかりと取る」「感染時の復旧手段を整備する」「ホワイトリストで添付ファイルメールをフィルタリングして流入量を減らす」といった対策が必要だと大貫氏は説明する。

また、「新たな攻撃に対しては、新たなハードウェアやソフトウェアを入れる必要があり、ハードルが高いと感じるかもしれませんが、基本的なチェックで対策を強化することもできます」と金子氏も説明を続ける。たとえば、より高度な攻撃への対策の一つである添付ファイルの拡張子規制などは、既存のセキュリティ製品の設定を変えるだけで実現できる場合があるという。セキュリティ製品を導入するだけでなく、定期的に運用を見直すことで大きな効果を得ることもできるというのだ。

一方で、グローバルに目を向けると、米国やシンガポールでは振り込め詐欺のようなビジネスメール詐欺(BEC:Business Email Compromise)と呼ばれる攻撃が増えてきており、実際に金銭被害に遭った企業も調査結果から確認されているとNRIセキュアコンサルティング事業開発室 セキュリティコンサルタント 山本 直実 氏は説明する。

「英語圏で流行った脅威は、その後すぐにローカライズされて日本でも流行する傾向があるため、これらの脅威に現時点から対策しておく必要があります。情報セキュリティ担当者だけでなく、経理担当者などもBECのような攻撃があることを認識して、振込先が変ったなどのメールが来たときにすぐに返信したり、振込みを行うのではなく、不正なメールでないか確認するようにしておきましょう」。

9割近くが情報セキュリティ人材不足

情報セキュリティ人材については、9割近くが不足している/どちらかと言えば不足していると回答しており、これまでも不足の割合が高かったが、さらに人材確保が進んでいないことが明らかとなった。

人材を確保するためには、外部から登用するか、内部の人材を育成する必要があるが、そのどちらでも人事部門とビジネス部門が連携して、組織横断的に人材発掘を行い、キャリアパスを明確にする必要があるという。

また、人材確保の対策を米国やシンガポールと比べると、企業文化の違いなどにより日本は対策が遅れているかのようにみえる傾向にあるが、日本では社内人材の能力向上を図る場合が多いのに対し、米国やシンガポールでは賃金の引き上げやリモートオフィス(※アメリカ:31.0%、シンガポール:25.4%、日本:1.5%)の活用、キャリアパスの整備など人材を雇用するための多様な対策を行っていると山本氏は説明する。

また、「企業における情報セキュリティ実態調査 グローバル編」では、海外の人材獲得施策の効果実態も調査している。セキュリティ人材不足の解消のため、今いる情報セキュリティ担当者の能力を向上させるだけでなく、雇用制度の改革などの全社としての対応も今後求められる可能性がある。その際に、海外企業での効果実態も人材戦略策定の一助として参考にしてほしいと山本氏は話している。

人材面での顕著なトピックとして、半数以上の企業がCISO(最高情報セキュリティ責任者)の役目を果たす人材を設置していないことが大きな課題となっていると大貫氏は説明する。セキュリティの観点からも意思決定や判断を行うことのできるCISO相当の人材がいない企業では、インシデントに対しての判断が遅れる可能性があり、高度な意思決定や迅速な対応が求められる際に、統率力が発揮できず、一貫性のある対策ができない可能性があるのだという。前述のセキュリティ対策をしっかりと見直して、高度な対策をしていくためにも、CISOの役割の設置は不可欠であり、今後の調査で設置の増加が望まれる項目だ。

IoTなどの新たな技術に対するセキュリティ懸念

2017年版では、IoTや人工知能、FinTechなどの新たな技術に対する調査も行われている。

特にIoTや人工知能に対しての関心が非常に高くなっており、今後もこれらの技術の活用を検討する企業が増えていくことが予想される。

また、IoTを導入済み・利用中・検討中・関心があるという企業のうち、“IoT化”によりサイバー攻撃リスクが拡大するのではないかと考えている企業も41.9%と大きい。これらに対する対策は、どのようにIoTを活用するのかによって異なり、一概には言えない。「IoTという言葉が指す対象が広く、課題が見えにくいということがあり、デバイスやネットワーク、クラウドなどのさまざまな要素を考慮する必要があって、リスクがわかりづらいのも問題です。総務省などから基本的なガイドラインが出ていますが、IoTを自社ビジネスにどう活用するかを考え、セキュリティを守る情報システム部門とIoTを利活用するビジネス部門が一緒になってガイドラインを作っていく必要があります」と大貫氏は説明する。

「日々新たな脅威が生まれ、新たなセキュリティ対策を行う必要がある中で、セキュリティ疲れに陥っている企業も少なくありません。やはり、CISOの役割を果たす人材を設置してリスクを把握し、しっかりと判断して対策を行っていくことが重要で、場合によっては対策を行わないという経営判断を行うこともあり得ると考えています。コストのかけ方やセキュリティのバランスを考えて対策を行い、保有しているリスクや発生したインシデントに対して責任が取れて、説明ができる体制を整える必要があります」と話す大貫氏は、最後に「これまで、年に一回調査を行ってきましたが、今後はもう少し頻度を上げ、対策につながるようなサービスとして提供していけるようにしたいですね」と話してくれた。

大貫 秀明 氏

NRIセキュアテクノロジーズ株式会社
コンサルティング事業本部 本部長
CISA、CISM

写真

金子 洋平 氏

NRIセキュアテクノロジーズ株式会社
ストラテジーコンサルティング部
セキュリティコンサルタント
情報セキュリティスペシャリスト
ネットワークスペシャリスト

写真

山本 直実 氏

NRIセキュアテクノロジーズ株式会社
コンサルティング事業開発室
セキュリティコンサルタント

写真

デジタルビジネス時代の

  • 攻めのIT投資「働き方改革」
  • 守りのIT投資「セキュリティ」