ITpro Special
週間WEEKLY ITpro Special ITpro

打つ手はあるのか!? 天文学的に増えるセキュリティー・インシデントへの対応策 ― マネージド・セキュリティー・サービス・プロバイダーの選択ポイントとは ―

わずか3%。これは2013年に発生したインシデントのうち、企業に驚異的なダメージを与える重大度の高いセキュリティー・インシデントの割合だ。IBMが提供するレポート「サイバー・セキュリティー・インテリジェンスの指標」。そこには攻撃の件数、影響を受けた業界、攻撃のタイプ、攻撃の要因など、サイバー攻撃の現状が分析されている。ここではその一部を紹介するとともに、企業のセキュリティー対策や、マネージド・セキュリティー・サービスの選択ポイントについて考えてみたい。

セキュリティー・インシデントは意図しない“ヒューマンエラー”に起因する

一昨年でさえ、氏名やメールアドレスなど5億件を超える個人情報が盗まれている。個人情報の漏洩は企業に重大な損失をもたらす。信頼を損なうだけでなく、最終的には顧客を失うことにもなりかねない。

こうした中でIBMは、133カ国に及ぶ約1000社の顧客企業のサンプルから年間何十億件も報告されるイベントを継続的に監視し、最新の状況をレポートした「IBM Security Services 2014 サイバー・セキュリティー・インテリジェンスの指標」をまとめた。このレポートには、監視活動で収集したデータと、経験豊富なセキュリティー・アナリストとセキュリティー対応チームによる分析と解釈の両方が含まれる。

2013年のレポートによると、この1年間でわかってきたのは、データ量に比例して脆弱性が増大することと、大量に生成されるイベント・データから得られる洞察が増加していることだ。アナリティクスを駆使することで、大量のデータから有益な洞察を引き出すことが可能になる。

IBMのコンピューター・セキュリティー・インシデント・レポートチームによると、インシデントの実態としては、チームで処理と分析を行うセキュリティー・インシデントのうち、実際に注目に値するほど重大度が高いインシデントは、全体のわずか3%にすぎないという。しかもその95%以上は「ヒューマンエラー」が要因であることがわかっている。

要因の多くは、システムの構成が正しくない、パッチが適切に処理されていない、ユーザー名とパスワードがデフォルトのまま使用されている、といったことだ。最も多かったのは感染した添付ファイルや安全とはいえないURLをダブルクリックするという「ヒューマンエラー」である。

また、2013年ごろの平均的な企業で9100万件を超えるセキュリティー・イベントが発生したことがわかっている。セキュリティー・イベントとは、セキュリティー・デバイスまたはセキュリティー・アプリケーションによってシステムまたはネットワーク上で検出されたイベントを指す。この数字の増加は攻撃される可能性を持つターゲットが増えていることを示している(図1)。

[画像のクリックで拡大表示]

継続的に大きな被害をもたらす「故意ではない当事者」の存在

一方、サイバー攻撃の中身を見ると、企業に影響を及ぼすイベント数全体の6割弱を、上位にある2種類のイベントが占めていることもわかっている。「悪意のあるコード」と「継続的なプローブ(探査)/スキャン」である。それぞれ38%と20%を占める(図2)。

[画像のクリックで拡大表示]

多くの場合、この2つは1つのセットになっている。「継続的なプローブ/スキャン」によって潜在的なターゲットを探し出すことで、攻撃者は「悪意のあるコード」を仕掛ける対象とタイミングを知ることができる。最終的には「悪意のあるコード」によって悪い影響が及ぼされるのである。

実際に「悪意のあるコード」は攻撃者の主要な攻撃方法になっている。具体的にはサードパーティーのソフトウェア、トロイの木馬、スピア・フィッシング、キーロガー、ドロッパーといったものだ。また、攻撃ツールの作成やそのツールキットの開発と闇取引は、過去1年間でさらに巧妙になってきているという。

ここで見逃せない傾向が、攻撃者は特定の企業を1つの存在としてみるのではなく、個人の集合として捉えるようになってきていることだ。つまり、攻撃者は企業のITインフラやアプリケーションをターゲットにしているのではなく、企業内の特定の社員をターゲットにしているのである。これが「故意ではない当事者」の誕生につながる。

狙われるのはソーシャル・ネットワークでのやりとりだ。ソーシャル・ネットワークでは、攻撃者がユーザーを悪意のあるサイトに誘導したり、悪意のあるプログラム、マルウェアを送りつけることが簡単にできる。これらの攻撃は企業のセキュリティー対策をまったく無意味なものにしてしまうのである。

攻撃者のやり口は巧妙であり、執拗だ。攻撃によって見込まれる作業内容と得られる経済的な価値に基づいてターゲットを念入りに評価してターゲットを特定する。その後は、ソーシャル・メディアなどのエントリーポイントを利用してターゲットを追跡し、その人の信用を悪用して脆弱性を攻撃する。

レポートによれば「故意ではない当事者」による攻撃は全体のわずか5%にすぎない。しかし、誰からも疑われることなく攻撃を続けることができるために、より大きな被害が発生する可能性があり、悪意がないにもかかわらず、最も危険な攻撃者になってしまうのである。

対応の鍵を握る最適なマネージド・セキュリティー・サービス・プロバイダーを選択するための10の条件

以前は銀行がサイバー攻撃の主なターゲットだったが、今では攻撃者が驚くような速さで、金銭や知的財産、顧客情報、国家機密を狙っている。攻撃は気づかないうちに進行している。多くの企業はすでに侵害されていると想定すべきだろう。企業が想定しているよりも、攻撃を受けやすい状況にある状況では、すぐに行動を起こすことが被害を最小限に抑えることにつながる。

しかし、一般の企業が24時間体制で適切なセキュリティー対策を実施するには、人もスキルも不足しているのが現状だろう。高度なセキュリティーを実施するには、高いスキルを備えた人材が必要になり、日々変化する環境に対応するには多くの時間を割かなければならない。IT部門にとっては戦略的とはいえない受け身の対応を強いられることにもなる。

こうした状況の中で注目されているのが、マネージド・セキュリティー・サービス・プロバイダー(Managed Security Service Provider。以下、MSSP)だ。実際に、自社のITセキュリティー・プログラムの一部、あるいは全体を、MSSPにアウトソーシングする企業が増えている。セキュリティー対策が本業ではない企業にとって賢明な選択といえるだろう。

そこで重要になるのが、どのMSSPを選択するかだ。継続的にセキュリティー対策を委託するだけに、慎重に選択することが求められる。IBMではMSSPを選択する際に考慮すべき最も重要な10の条件を挙げている。企業活動に大きな影響を与えるセキュリティーを委ねる相手を選択するうえで、専門家であるIBMの見方は大いに参考になるはずだ。

PDFダウンロード
  • 【過去1年間の全世界の企業における主要な脅威のトレンドとは?】
    IBM Security Services 2014 サイバー・セキュリティー・インテリジェンスの指標

     IBMが世界規模で展開するセキュリティー・オペレーションから得たサイバー攻撃とインシデントに関するデータの分析。
    ・攻撃の件数、最も影響を受けた業界
    ・最も頻繁に検出される攻撃のタイプと攻撃者のタイプ
    ・それらの攻撃を可能にしている主要な要因
    ・現在のテクノロジーに依存している企業に対してどのような影響があるか
    ・どのような箇所に影響する可能性があるか
    ・セキュリティーの脅威が毎年どのように展開しているのか など

  • 【考慮すべき最も重要な10の基準とは?】
    マネージド・セキュリティー・サービス・プロバイダーの選択

     マネージド・セキュリティー・サービス・プロバイダー(Managed Security Services Provider)にセキュリティー運用をアウトソーシングすることにより、サービス・プロバイダーが提供する専門家のスキル、ツール、プロセスを利用でき、テクノロジーとリソースへの多額の投資をせずに、セキュリティーを大幅に強化できます。しかし、どのようにすれば自社固有のニーズに適した MSSP を選択できるのでしょうか。
     このホワイト・ペーパーでは、MSSP を選択するための戦略的なアプローチの概要を示し、プロバイダーを選択する際に考慮すべき10の重要な条件を規定しています。適切な MSSP を選択することで、情報セキュリティーのコスト削減と複雑さの軽減を実現するとともに、さらに強力なセキュリティー体制を築くことができます。

お問い合わせ
  • 日本アイ・ビー・エム株式会社


    URL http://www.ibm.com/jp/ja/
    TEL 0120-300-426( 平日9時30分〜17時30分)