情報漏えい対策

2019年上半期に見られたサイバー攻撃の動向と、組織ごとに異なるセキュリティ対策。最適化を実現するための検討方法とは?

2019年上半期に最も数多く検出されたマルウェアとは?

キヤノンマーケティングジャパン ゲートウェイセキュリティ企画本部 ゲートウェイセキュリティ技術開発部 セキュリティエバンジェリスト 西浦 真一 氏

キヤノンマーケティングジャパン

ゲートウェイセキュリティ企画本部
ゲートウェイセキュリティ技術開発部
セキュリティエバンジェリスト

西浦 真一

 本セッションの冒頭に登壇したキヤノンマーケティングジャパンの西浦氏は、2019年上半期の日本を標的としたマルウェアについて、メールを媒介するダウンローダーを使った攻撃が継続的に多数確認されていることと、脆弱性を突いた攻撃が増加傾向にあると紹介。

 前者については「上半期の(マルウェアの)検出数の上位1位と3位がメールを媒介するダウンローダーでした。特に1位になった『JS/Danger.ScriptAttachment』は、今年の1月、2月に検出数が爆発的に増加している状況を確認しています」と語り、その背景には日本を標的とした大規模な攻撃キャンペーンが行われた可能性があると説明した。

 後者については、2019年上半期に検出された脆弱性を悪用するマルウェアの数が、2017年の上半期に比べると1.82倍になっているというデータを取り上げ、この傾向は「今後もしばらく続くだろう」と分析した。

 続いて、西浦氏は「サイバーセキュリティの情報漏えい被害」の傾向についても言及。かつては情報漏えいといえば紛失・置忘れや誤操作を原因とするものがほとんどだったが、現在は不正アクセスによる被害が急増しているという。さらに一度被害を受けると深刻な影響があることを「日本ネットワークセキュリティ協会(JNSA)」が公表したデータを紹介しながら説明。

 紹介したデータの中で特に印象的だったのが、1件あたりの平均損害賠償額。その額は約6億4000万円にものぼるのだ。また、情報漏えいの被害をこうむれば、信用低下による営業機会の損失などが生じるのは言うまでもない。

情報漏えいによる金銭的被害

JNSAセキュリティ被害調査ワーキンググループによる、新聞やインターネットニュースなどで報道された個人情報漏えいインシデント情報を集計、分析した結果

画像を拡大する

サイバーセキュリティフレームワークをもとにした5つの備えとは?

 以上のように、深刻な被害をもたらしかねないサイバー攻撃だが、その手口は増加している脆弱性の悪用によるものをはじめ、高度かつ巧妙化する一方だ。

 そして、このような攻撃の多くは「侵入」「感染」「内部ネットワーク移動」「データの盗み出し」といった段階が踏まれるため、1つのセキュリティ対策だけで防御するのは困難だと西浦氏は強調する。そこで、複数のセキュリティ対策を組み合わせた多層防御が有効なのだ。

 ただし、「セキュリティ対策にかけられる投資は有限です。いくら多層防御が有効だからといって、ありとあらゆるセキュリティ対策を一斉に対応することはできません」(西浦氏)。それゆえ、セキュリティリスクを適切に評価したうえで、費用対効果が高くバランスのよい対策を講じることが求められるのである。

 しかし、費用対効果の高い対策といっても、その内容は業種、業態、規模によってまちまち。そこで、同社が提唱しているのが「5つの備えから考える方法」だ。

 5つの備えとは、「米国国立標準技術研究所(NIST)」が提唱しているサイバーセキュリティフレームワークをもとにしたもので「識別」「防御」「検知」「対応」「復旧」の項目を指している。

 「識別」は、セキュリティリスクを理解し、守るべき対象が何なのか、何から守るのかをはっきりさせること。具体的には、情報資産、利用サービスの見える化、脆弱性の管理診断などを指す。

 「防御」は攻撃、事故を未然に防ぐ対策で、「検知」はセキュリティイベントを発見するための対策。なお、この2つはゲートウェイセキュリティやエンドポイントセキュリティ製品など、ほとんどの対策製品は防御のためにイベントの検知を行うので、セットで行われることが多いだろう。

 検知したセキュリティイベントに対処する「対応」はログ分析や封じ込め、修復を、「復旧」はインシデントレスポンスの効率化・高速化、被害の最小化などを行うための対策だ。

ギャップを明らかにし、優先度をつけて対処する

 そして、それぞれの項目ごとに「自社でいま実施しているセキュリティ対策と目標としている姿を比較して、できているものとできていないものを評価。その結果、ギャップが大きいものから対応していく」(西浦氏)わけである。

「5つの備え」ではじめるセキュリティ対策

既存のセキュリティ対策と目標をフェーズごとに分類。「実施できている対策」「実施できていない対策」「実施しているが、強化が必要な対策」を明確にし、優先度をつけて対処

画像を拡大する

 例えば、これまでセキュリティ製品やサービスを積極的に導入していて、「防御」については70点という評価だったとしよう。ここで100万円の追加投資を行えば80点にすることが可能である。しかし「対応」や「復旧」の評価が30点の場合、こちらに追加投資をしたほうが総合的なセキュリティ効果は高くなる。

 セッション終盤には、この手法によってセキュリティ対策を最適化するモデルケースを紹介。最終目標を設定したうえで、ステップを3つに分け、ステップごとに「識別」「防御」「検知」「対応」「復旧」のすべての項目について、バランスよく対策する様子が解説された。

 キヤノンマーケティングジャパンでは、このような対策を行うための様々なソリューションを提供しているという。ITセキュリティ対策に不安がある企業にとっては、きっと心強いパートナーになってくれるだろう。

情報セキュリティ戦略セミナー
2019 Review

- INDEX -

お問い合わせ先

キヤノンマーケティングジャパン株式会社

お問い合わせURL

URL ● https://cweb.canon.jp/it-sec/

お問い合わせはこちら

このページのトップに戻る