サイバー攻撃の悪質化が止まらない。一旦被害に遭ってしまうとその影響は甚大になりがちで、企業経営者は、その深刻さを理解し、適切にリスクアセスメントを実施しなければならない時代になっている。本シンポジウムでは、凶悪なサイバー攻撃に対抗する最新ソリューションが紹介された。

基調講演

「サイバー攻撃の主体及び手法」の図解、
及び「積極的な情報収集」の適正実施

検索能力さえあれば誰でも攻撃ができる時代

サイバーディフェンス研究所
専務理事/上級分析官
名和 利男

検索能力さえあれば誰でも攻撃ができる時代

冒頭、名和利男氏は、「現在サイバー攻撃の手法は多岐にわたり、すべてを理解し防御するのは無理。必ず攻撃されるという前提で考える必要がある」と警告する。具体例として、まずブラウザの拡張機能の更新機能を使った攻撃を紹介。「拡張機能は非常に多く、中には悪意のあるものもある」と指摘する。さらに、最近の例として、正規の有名クラウドサービスの同期機能を利用することで、「従来はマルウェアをコントロールするために必要だったC2サーバーが不要になっている」と指摘。攻撃のハードルが下がったうえ、証跡が残らないため追跡も難しいという。スマートフォンにも注意が必要として、「アマゾンで最も売れているスマートフォンのファームウェアに、バックドアが仕込まれていたという例もある。現状300ドル以上の機種ではスパイウェアは検知されないという報告もあるので、安価なスマホを利用している人は要注意」という。

従来ならマルウェアの作成にはそれなりに技術を要したが、スクリプト実行環境を利用したマルウェア感染が可能になったことと、ブラックマーケットで簡単にマルウェアを調達できるようになったことから、「技術がなくても検索能力があれば、誰でも攻撃できる時代になっている」と指摘する。

経営者や事業部門が積極的に情報を収集し脅威を理解すべき

このような状況のなかで、企業は、「サイバー攻撃を“身近に起こり得る危機”として捉え、費用対効果で考えるべきではない」と語る。従来はIT部門が情報通信インフラを整備し、その上で経営層や事業部門が事業活動を行ってきた。そして、経営層はITをIT部門任せにしていることが多い。しかし、「攻撃のしくみを知らなければ防御できない」とし、「IT部門は事業活動の中心にいないため、サイバー攻撃が事業活動に影響を与えるメカニズム、事業活動への影響とレベルを適切に見積もることはできない。経営に与える影響については、経営層や事業部門が積極的に情報を収集し、状況を把握する必要がある」と語る。「実際に事業部門の中にCSIRTをつくり、IT部門の支援を受けながら日々努力をされているケースが増えている。技術レベルの難しいことを理解する必要はないが、サイバー空間で何が事象として発生するのかを知り、IT部門とディスカッションすることで実態が見えてくる。脅威を適切に認識し、対策を行ってもらいたい」と締めくくった。

特別講演

情報漏えいから金銭被害へ。
企業を狙うサイバー攻撃の最新手口

最重要情報の保護を優先しつつ、長期的な取り組みが必要

ITジャーナリスト
三上 洋

セキュリティ・ネット事件のジャーナリストとして、テレビやラジオ、新聞、雑誌などでセキュリティ関連の解説を行うことが多い三上洋氏。特に昨年はその件数が急増し、リサーチやペン取材も含めると、「年間320件を超え、その傾向は年々増加している」と語る。

最新のセキュリティ事件として、「仮想通貨取引所による580億円相当流出」や「航空会社に対するビジネスメール詐欺」などを解説。また、新たなIoTのセキュリティとして、「工場の複合機やビルのネットワークカメラなど、システムの外部にあるIoT機器が踏み台にされるケースが増えている」と警鐘を鳴らす。標的型攻撃もいまだに大きな脅威とし、「2015年の日本年金機構の情報流出では、詳細な報告書が出ている。今でも標的型攻撃対策の教科書として非常に示唆に富んでいるので、今一度熟読することを勧める」と語る。

2018年のセキュリティ対策キーワードとして、モバイル接続のノートPCを狙った情報窃取ウイルス対策が求められる「ノートPC モバイルブリッジ接続」や、業務委託先などセキュリティの甘い取引先を通じた攻撃に対処が必要な「サプライチェーン対策」、従来型のシグネチャ型ウイルス対策ソフトのファイルスキャンでは対応できない「ファイルレス攻撃」などを紹介。「事故が発生した場合、事後調査や復旧、顧客対応などのコストは平均2億1050万円という統計もある。自社で最も大切なものは何かを改めて考え、そのセキュリティ対策を最優先に行うべき」とし、「予算は有限でも、事故はキリがないので、事件報道の後追い対策を行う必要はないが、情報収集だけは欠かさず行う必要がある。単年度で一極集中するべき対策と、長期予算で段階的に行う対策を併用し、長期戦略で臨むべき」と語った。

▲Page Top