サイバーセキュリティとは、コンピューターやネットワークシステムを侵入や盗難、損害から保護する一連の対策・手段を指します。サイバーセキュリティは、いわば膨大な数のサイバー攻撃に対抗するための要塞です。
ほとんどの組織は、さまざまなサイバーセキュリティフレームワークを使って自組織をサイバー攻撃から保護しています。セキュリティ監査、セキュリティポリシーの策定、継続的にセキュリティ状況を監視するための重要なサイバーセキュリティツールや手法など、サイバーセキュリティにかかわるベストプラクティスはこれらのフレームワークによってかたちづくられます。
この記事では、サイバーセキュリティの進化とトレンド、企業が最も直面しがちなサイバー攻撃のリスクと脅威、そして組織のサイバーセキュリティ体制を強化するためのベストプラクティス、フレームワークについてご紹介します。
サイバーセキュリティの新しい定義
サイバーセキュリティは絶えず変化しており、その変化に伴って、めまいがするほど多くの定義、戦術、技術が生み出されます。手動プロセスの自動化や、とどまることなく増大し続けるサイバー攻撃にセキュリティチームが追いついていくために、AIベースのツールが使われ、セキュリティ運用チームがもっと重要な問題に集中できるように、反復的で的外れなアラートを減らすツールが活用されます。さらに、ゼロトラストセキュリティや高度な多要素認証が、サイバーセキュリティに新たな概念と技術的な方向性をもたらしています。
サイバーセキュリティの進化の道筋
サイバーセキュリティは1970年代に登場し、躍進を遂げました。当初の動作原理は、特定の攻撃(主にウイルスやワームなど、初期のマルウェア)の発見を中心とし、それらを駆除するツールが開発されていました。1980年代から1990年代にかけて、こうしたサイバー攻撃はきわめて日常的な存在となり、最初はフロッピーディスクなどのリムーバブルメディアから、もっと後には電子メッセージングやWebブラウジングを介して侵入する攻撃を食い止めるため、デスクトップセキュリティソフトウェア(Norton AntiVirus、McAfee VirusScanなど)が欠かせないアイテムとなりました。2000年までにはサイバー環境に出回るコンピューターウイルスの種類は50,000を超えており、さらにこの数は2008年までの間に爆発的に増えて、Symantec社のレポートによれば実に100万を超えていました。
時とともにサイバー攻撃はますます巧妙になりました。マルウェアもかつてはちょっとした嫌がらせを目的としたプログラムに過ぎなかったものから、ファイルの削除やソフトウェアの破壊など、実質的な被害をもたらしかねないコードスニペットへと進化しました。近年では、こうしたサイバー攻撃ははるかに悪質なものへと変容しています。感染したPCをDDoS(分散型サービス妨害)ボットネットの「ゾンビ」メンバーとして悪用したり、ファイルを暗号化して復号鍵と引き換えに被害者に身代金を要求したり、感染したマシンに密かにソフトウェアをインストールしたりするのです。被害者が気付かないうちに暗号通貨マイニングを実行するマルウェアも、今日最も広くはびこるサイバー攻撃の1つです。
現在、攻撃者はPCに加えて、ファイルサーバーやクラウドサービス、さらにはセキュリティカメラ、ビデオ付きインターホン、サーモスタット、果ては電球といった、以前はコンピューターとは無関係だった機器までも標的にしています。ハッキングに関するある概念実証実験では、攻撃者は冷蔵庫をハッキングしてユーザーのGmailログイン資格情報を盗み出すことに成功しています。
これらの脅威に対抗するため、コンピューターセキュリティも多種多様な方法で進化してきました。データトラフィックを監視して、既知の悪質なコードのスニペット(「シグネチャ」)を検出するという以前の方法に代わり、今日のセキュリティツールは、さまざまな検出技術を駆使して不審な行動をプロアクティブに監視し、人工知能(AI)や機械学習などのテクノロジーで特定のアクティビティが悪質なものかどうかを予測します。ネットワークをスキャンして攻撃の発生前に問題を突き止めるツールも、企業で一般的に使われています。ゼロトラストセキュリティなどの戦術では、ファイアウォールの概念をさらに一歩進め、トラフィックの発信元がネットワーク境界の外側か内側かにかかわらず、すべてのトラフィックは潜在的に危険であるとの前提に立ち、許可を得る前に検証すべきであると考えます。
現代のサイバーセキュリティに脅威となるサイバー攻撃の種類
今日最大のサイバー攻撃の中には、きわめて巧妙でターゲットを絞ったサイバー攻撃から、「下手な鉄砲も数撃てば当たる」式の比較的いい加減なサイバー攻撃まで、さまざまな種類のサイバー攻撃があります。また、サイバーセキュリティ環境全体に共通して見られる脅威も数多くあります。以下は、そのような脅威の例です。
- フィッシング攻撃 – 依然として最もまん延しているサイバーセキュリティ攻撃の1つです。ソーシャルエンジニアリング手法による攻撃で、加害者が他人(多くの場合、金融機関その他のサービスプロバイダー)になりすまし、被害者のログイン資格情報を盗み取ろうとします。攻撃者がパスワードの入手に成功すると、被害者の銀行口座からお金をすべて引き出すなど、さまざまな損害をもたらしかねません。
- クラウドベースの脅威 – 現在ますます導入が進むクラウドコンピューティングは、企業のネットワークへの侵入や、ユーザーのエンドポイントやSaaSサービスを乗っ取って不正な操作(暗号通貨マイニングなど)を行おうと狙うサイバー犯罪者にとっての格好の標的となっています。
- ランサムウェア – システムやネットワークを感染させ、ホスト上のファイルを暗号化し、復号鍵と引き換えに(通常、追跡不能なビットコインなどで)身代金を要求するサイバー犯罪です。ランサムウェアは何年にもわたり増加の一途を辿っています。
- モバイル攻撃 – クラウド脅威と同様に、PCからモバイルコンピューティングへの広範囲な移行が攻撃者に新たな攻撃の機会を与えています。ユーザーは、電話でのほうがコンピューターを使っているときよりも、脅威に対する警戒がずっと弱まる傾向にあります。マルウェアに感染したアプリやフィッシング攻撃は、テキストメッセージや音声通話、その他の方法を通じて配信されてくる可能性があります。
- ワイヤレス脅威 – Wi-Fiネットワークのセキュリティが全般的に低いことはよく知られています。移動通信ネットワークは、データトラフィックの負荷を減らすため近隣のWi-Fiネットワークをますます利用するようになっており、5Gをはじめとするワイヤレスサービスが拡大するにつれ、これを悪用するリスクが高まっています。
- IoTベースの攻撃 – スマートホームからモバイルデバイス、産業用センサー、医療テクノロジーに至るまで、あらゆるものにセキュリティ上の隙があります。それらは、ネットワークに侵入し、機密情報に不正にアクセスしようとする攻撃者に新しい侵入手段を提供することになります。
Splunkでは、今日ハッカーに利用されているセキュリティ脅威のTop 50をまとめ、注意すべきことと事例を解説しています。
自組織のサイバーセキュリティ環境・戦略をもっとよく理解する方法
以下のような手順を踏むことで、組織は自身のサイバーセキュリティ環境や戦略、関連するサイバー脅威を把握することができます。
1. 企業資産のマップを作成します。これにより、組織内のすべてのコンピューティングシステムとデータを把握できます。
2. マップされたシステムとデータストアを、機密性の度合いと事業運営上の重要度に基づいて順序付けします。
3. システムを保護および監視するための計画を策定し、テクノロジーツールを開発します。また、各資産のリスクレベルに基づいてセキュリティ戦略の優先順位を決めます。
4. 全従業員の教育やトレーニング、緊急時の対応策の策定に取り組み、企業内に常にサイバーセキュリティを意識する文化を築きます。
セキュリティリスクとセキュリティ脅威の違い
リスクと脅威は密接に関係しているため混同されがちですが、セキュリティ脅威とは、デジタル資産に損害を与える可能性のあるものや行為を指します。マルウェア、悪意あるハッカー、設定に誤りのあるクラウドサーバーは、セキュリティ脅威の例です。一方、セキュリティリスクは、脅威が実際に損害を及ぼす可能性を左右します。脅威は、コンピューターシステム内のセキュリティのウィークポイント、つまりセキュリティの脆弱性によって「リスク」となります。
情報セキュリティの原理は、脅威の危険を防ぎ、その深刻度を緩和して、企業が損害を被るリスクを最小化するというものです。
さまざまなタイプのセキュリティリスク
最も一般的で費用もかさむセキュリティリスクには、次のようなものがあります。
- 機密データの漏えい – 機密データとは、ネットワーク上にあり、攻撃者にとって価値がある、すべての情報を指します。たとえば、企業秘密や知的財産、社内文書やメール、従業員あるいは顧客の社会保障番号やクレジットカード番号、医療データなどがそれにあたります。データ漏えいによる直接的な不利益に加え、コンプライアンス上の罰金など、法的責任の違反による罰則を課されるリスクも伴います。
- システムおよびコンピューティングリソースの侵害 – これには、企業のシステムがマルウェアに感染してDDoSゾンビや暗号通貨マイニングボット、スパムリレー、その他の悪質な脅威に悪用されるリスクも含まれます。こうなると、感染した企業は攻撃者の直接的な手先となってしまいかねません。
- 金銭上の損失 – 攻撃者がシステムに侵入した場合、企業の金融口座情報を盗み出すおそれがあります。これは、まさに巨大かつ壊滅的なセキュリティリスクです。
組織のセキュリティ体制を強化する方法
組織のセキュリティ体制の強度は、サイバー攻撃を防御するための、組織全体の対応力および準備の度合いによって決まります。組織がセキュリティ体制を強化するために実施できるサイバーセキュリティ戦略・対策が、いくつかあります。
1. セキュリティ監査を実施する – まず、リスクを評価します。評価のためには、自社のテクノロジー資産をすべて特定し、基盤にあるテクノロジーやビジネス上の重要度に基づいて各資産の脆弱性の度合いを見極める必要があります。その結果、どのシステムを最も優先して保護すべきかが明らかになります。
2. 強力なセキュリティポリシーを策定する – 組織のセキュリティと安全を最大限強化するには、エンドユーザーが組織のシステムを利用する際のルールを決める必要があります。ポリシーには、パスワードの長さや再利用、承認されていない機器、ソフトウェア、サービスの利用、インシデントの対応手順やサイバーセキュリティ運用チームの連絡窓口などに関するルールが含まれます。
3. サイバーセキュリティツールを拡張する – セキュリティ防御の大部分を自動化するソリューションを導入することで、セキュリティ体制を大幅に強化できます。自動化の対象は、ファイアウォールデバイス、マルウェア対策、認証とアクセス管理、暗号化ソフトウェア、侵入テストおよび脆弱性スキャンツール、侵入検知ソフトウェア、ネットワーク監視ツールなどです。
4. サービスプロバイダーを監視する – 今日、ネットワークには、主にクラウドサービスのようなかたちで数多くのサードパーティーが関与しているのが一般的です。それらのサードパーティーも潜在的にサイバーセキュリティリスクとなる可能性を秘めており、そのため自社のネットワークと同じように注意深く監視していく必要があります。
5. メトリクスを継続的に追跡する – 1日に発見される脆弱性の総数、脆弱性の平均修正時間など、主要なメトリクスを決めて、それらを継続的に追跡することで、セキュリティ体制全体の状態が向上しているか、または悪化しているか、判断できます。
6. 従業員のトレーニングを実施する – 上記のようなセキュリティポリシーをどんなに注意深く策定しても、継続的に従業員をトレーニングして、従業員が常にセキュリティポリシーを踏襲するようにしない限り、結局は役に立ちません。
Splunkが実施したグローバル調査から、組織のセキュリティチームがかつてないほど多くの(そして深刻な)課題に直面していることが明らかになりました。『セキュリティ調査レポート 2023』をダウンロードし、その実態をぜひご確認ください。
サイバーセキュリティフレームワークの具体例
組織が強力なサイバーセキュリティ体制を構築するのを支援する目的で設計されているセキュリティフレームワークが、数多く存在します。中でも最も広く知られ、使われているセキュリティフレームワークとして、以下のようなものがあります。
- 米国国立標準技術研究所(NIST)サイバーセキュリティフレームワーク – 米国大統領のイニシアチブによるこのセキュリティフレームワークは、米国のサイバーセキュリティインフラを強化することを目的として設計されました。現在では、民間企業にも広く適用されています。
- ISO/IEC 27001および27002 - 対を成す国際規格で、サイバーセキュリティに対するリスクベースのアプローチを定義しています。このフレームワークは、脅威の検出と、企業のシステムを保護するために導入すべき具体的なコントロールの策定に重点を置いています。
- CISクリティカルセキュリティコントロール – 「既知のサイバー攻撃ベクトル」から組織を保護するために設計された、20のセキュリティ対策のセットです。
- IASMEガバナンス – ISO 2700の代替として策定されており、中小企業にとって達成しやすい内容となっています。
- COBIT (Control Objectives for Information and Related Technologies) – サイバーセキュリティを他のビジネスプロセスや変革アクティビティに統合することを目指しています。
リスク管理のための最善のアプローチ
上記のようなサイバーセキュリティフレームワークでは、セキュリティ強化のために組織が取り組むべきアプローチや手順が明確に規定されています。このプロセスは、各組織のリスクに対する許容度を把握することから始まります。たとえば、大手銀行ではリスクへの許容度はまずゼロであるのに対し、中学校のPTAの場合には許容度はずっと緩いものとなるはずです。組織は、こうした許容度を念頭に置きつつ、個々のサイバーセキュリティ投資の優先順位付けを開始します。リスクを低減するのか、完全に排除するのか、他の誰かに転嫁するのか、またはそのまま受け入れるのかは、ケースバイケースで判断すべき戦略上の問題です。
セキュア開発のためのアプローチ
より広範にサイバーセキュリティ環境を考えた場合、ソフトウェア開発は特別な(かつ特殊な)位置を占めます。セキュアなソフトウェアは、組織のインフラを保護するだけでなく、その組織のソフトウェアツールを外部から利用する顧客も保護します。
今日、セキュア開発は、一般にセキュリティ開発ライフサイクルによって定義されます。これは、2002年にMicrosoft社が初めて提案したアプローチで、以下のような12の手順から構成されます。
- トレーニングの実施 – ベストプラクティスとセキュリティについて関係者全員の認識を一致させます。
- セキュリティ要件の定義 – 遵守すべき標準、およびアプリケーションが晒される可能性のあるリスクを見定めます。
- メトリクスとコンプライアンスレポートの定義 – 「バグバー」を設定し、セキュリティ脆弱性の重大度に関し最大許容しきい値を定義します。
- 脅威モデリングの実施 – 脅威シナリオを作成するモデルを開発し、開発者がより簡単に脆弱性を特定できるようにします。
- 設計要件の確立 – 暗号化、認証、その他のツールを利用するかどうかを決定します。
- 暗号標準の定義と実装 – すべての情報、とりわけクラウドに保存されているデータを暗号化します。
- サードパーティーのセキュリティリスクの管理 – 外部コードコンポーネントには固有のリスクがあり、別個に管理する必要があります。常にセキュリティ体制の推移を把握するために、定期的にリスク評価を実施します。
- 承認されたツールの使用 – 開発者が使用できるツールおよびセキュリティチェックのリストを作成します。
- 静的解析セキュリティテスト(SAST)の実行 – コンパイル前にソースコードのセキュリティレビューを実施します。
- 動的解析セキュリティテスト(DAST)の実行 – ソフトウェアのセキュリティについて、ランタイムでストレステストを実施します。
- 侵入テストの実施 – 「ホワイトハット」ハッカーが、隠れた脆弱性を特定してアプリケーションへ侵入できるか、試行します。
- 標準インシデント対応プロセスの確立 – 新しい脅威や変化し続ける脅威に対応するためのプレイブックを開発します。
組織が導入できる最も効果的なサイバーセキュリティツールまたは次世代のテクノロジーとは
最もパワフルなサイバーセキュリティツールには以下のようなものがあり、これらはすべて、サイバーセキュリティインフラの必須の構成要素と考えられています。
- ファイアウォール – ネットワークトラフィックを監視し、企業とインターネットを隔てる防御壁となる、ネットワークセキュリティシステムです。攻撃件数の多寡を問わず、セキュリティ防御の最前線として機能します。
- マルウェア対策 – 一般にアンチウイルスソフトウェアとして知られるセキュリティスイートです。通常はクライアントPC上で動作し、トロイの木馬などの悪質なソフトウェアやその他のAPTが勝手にインストールされるのを防ぎます。多くの場合マルウェアは、メールの添付ファイル、悪質なWebサイト、リムーバブルメディアなどを介してPCに侵入します。
- 認証 – 二要素認証や多要素認証などの次世代の認証テクノロジーを使うソフトウェアで、異常な行動パターンを検出して、正当なユーザーのみによるネットワークアクセスを確保します。
- 暗号化 – 万一攻撃者がネットワークに侵入した場合に備え企業のデータを保護する最善の方法は、保管中、移動中にかかわらず、すべてのデータを確実に暗号化しておくことです。
- 侵入テスト/脆弱性スキャン – これらのツールは、最新の既知の攻撃を使って防御をすり抜けることができるかテストし、システムの弱点について警告することで、ネットワークの脆弱性を精査します。
- 侵入検知システム – ネットワークの境界セキュリティとして機能します。悪質な行動をリアルタイムで監視し、違反があった場合、セキュリティ運用担当者に報告します。
- ネットワーク監視ツール – ネットワーク監視は、セキュリティの違反に加え、デバイスの健全性をテストします。悪質なトラフィックの急増や単なるデバイスの故障によって起こるダウンタイムを防止できます。
Splunkのサイバーセキュリティソリューションはこちらをご覧ください。
サイバーセキュリティ防御の構築を始めるには
組織は、セキュリティ体制を強化してセキュリティインシデント数を減らすためのアドバイスに従うことで、サイバーセキュリティ防御の構築に着手できます。まず、既存のハードウェアやソフトウェア、サービスエコシステムを監査し、組織が置かれている状況をしっかりと把握します。次に、クラウドプロバイダーなどのサードパーティーサービスを含め、攻撃のリスクが最も高いシステムを保護するポリシーを作成し、それらのシステムの保護に必要となる適切なツールを入手します。ツールの導入後、パフォーマンスを追跡するメトリクスを作成して、ポリシーの目的や導入したサイバーセキュリティツールについて従業員に適切なトレーニングを行います。
サイバーセキュリティの今後
サイバーセキュリティは、1つの業界として、米国そして世界においてその重要性と規模を拡大し続けています。Allied Market Researchは、ますます高度化しまん延する攻撃に対する組織の闘いは今後も続き、サイバーセキュリティ業界の総価値は2027年までに3,000億ドルを超えると予測しています。この先、最も重要となるトレンドとして、従来型のハードウェアに代わりクラウドベースのセキュリティサービスが台頭すること、組織の内部者による攻撃が増加すること、セキュリティフレームワークへのアプローチが一新することなどが挙げられます。プライバシー規制の拡大に伴い、企業がサイバーセキュリティに真剣に取り組む必要性はますます高まるでしょう。取り組みに失敗し、防御が破られれば、高額の罰金や法的責任を課される結果となりかねません。
サイバー攻撃がもたらす膨大な被害やデータ侵害、金銭的損失について報じるニュースを見れば、サイバーセキュリティを取り巻く状況が、多くの場合予想不能かつ驚くべき展開で、変化し続けていることがよく分かります。自社のセキュリティ体制や直面しているリスクを理解し、絶えず変化するセキュリティ環境にすばやく適応する方法を学ぶことが、企業にとってこれまで以上に重要になっています。堅固なサイバーセキュリティ防御を構築するには専門知識が必要であり、ネットワークの安全の維持に欠かせない詳細かつリアルタイムのセキュリティ監視を使って、変わりゆく状況や新たな脅威に対し絶えず注意を向けていくことが重要です。
ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。