2024年、企業が直面したサイバー攻撃には、どんな傾向がありましたか。
中心はやはりランサムウェアです。とくに海外で事業を展開する企業は多く攻撃を受けています。最近の傾向としては、1、2年前と比べ、その手口が劇的に高度化していることが挙げられます。
「高度化」と言いましたが、そう聞くと、従来の対策をより強化すれば何とかなると思われるかもしれません。そのため企業経営者は、「対策を強化せよ」と社内に号令を出すのですが、過去に取り入れた対策をどんなに強化しても、攻撃はそれを簡単に回避して企業に侵入してきます。
そのことを理解できないでいる経営者は、どうして攻撃されるのかわからず、フラストレーションをためているというのがこのところの傾向だといえます。
ランサムウェア攻撃はどのように高度化し、企業の対策をかいくぐっているのでしょうか。
簡単に言うと、攻撃者側が企業経営と同様に、利益を目的とし、それを追求するために不断の努力をしているということです。
攻撃が成功するまでの過程はこうです。まず、企業がサイバー攻撃に対する検知技術を導入します。すると最初、攻撃者はその検知の網にかかって攻撃が失敗します。そこで、攻撃を成功させるために、企業が導入している検知や対処などの防衛技術を迂回する方法を必死に探す努力を続けて、徐々に回避するスキルと方法を積み上げ、最終的な目標を達成させるのです。
これをセキュリティの用語で「ディフェンス・イベーション(防衛回避)」といいますが、この努力が、この1年ほど際立って進展しています。これは企業側から見ると、防衛策によって従来見つかっていたものが見つからなくなっており、一見すると攻撃が高度化したようですが、実態は侵入検知を回避する攻撃手法が増えているということです。
サイバーディフェンス研究所
専務理事 上級分析官
名和 利男 氏
海上自衛隊において護衛艦の戦闘情報中枢の業務に従事した後、航空自衛隊で防空指揮システムのセキュリティ担当業務などに従事。その後、JPCERT/CCなどでの経験を経て、サイバーディフェンス研究所に参加。専門分野であるインシデントハンドリングの経験と実績を活かし、CSIRTの構築やサイバー演習の支援サービスを提供している
企業や組織のシステムがクラウドに移行していることは、サイバー攻撃にも影響していますか。
これは大きな問題です。日本ではデジタル庁を中心にクラウド基盤への移行を後押ししており、ITベンダーもその流れに沿ってクラウドサービスに軸足を移しています。結果的に企業がシステムを考える際、クラウド以外の選択肢がなくなってきています。
ここで起きている問題は、企業側がクラウドの特性をよく理解しないまま、従来のオンプレミスと同じような考え方で発注仕様書を作っていることに起因します。この仕様書には、機能的に従来と同じことをクラウドで実現するための仕様は書かれていますが、セキュリティに関しての記載は抽象的です。
そのような仕様書では、いわば「ベンダーの自由裁量」でセキュリティ対策を行うことになります。言葉を選ばずに言えば、クラウドの経験が浅いベンダーの場合、クラウドセキュリティを十分に考慮した設計にならず、残存する設定ミスなどの穴を攻撃者に狙われることになりかねません。
また、クラウドに依存しているサービスが増えていることもあります。特定のサービスに対して複数のコンピューターから一斉に大量のデータを浴びせる「DDoS攻撃」は昔からある攻撃手法ですが、オンプレミスの時代は、攻撃を受けてもサービスを何とか維持できる場合がありました。しかし、クラウドサービスが攻撃を受けると、サービス全体がダウンします。
例えばバーコード決済のサービスがDDoS攻撃を受ければ決済ができなくなり、止まってしまいます。製造業でも遠隔地の工場との情報共有をクラウド経由で行っている場合、攻撃によって製造が止まるおそれがあります。
このように、サイバー攻撃自体は高度化していなくても、私たちの社会や事業を支える仕組みがネットワークやクラウドに依存するようになることで、サイバー攻撃のリスクが急激に高まっている状況です。
昨今話題の生成AIのテクノロジーは、サイバー攻撃にも利用されているのでしょうか。
当然です。日本以外の主要国では、生成AIを使ったサイバー攻撃の脅威が連日報道されています。AIあるいは生成AIを使った攻撃を人間が検知して対抗するのは困難ですので、こちら側もAIを使っていかないといけません。今では生成AIを活用したセキュリティソリューションもどんどん出始めています。
サイバー攻撃のリスクが増大する中で、企業はどう取り組めばいいのでしょうか。
まずは、「敵を知る」ことです。つまり、攻撃者はどうやって攻撃を仕掛けてくるか、その心理や手法を理解する。そのうえで自分たちがどの程度穴をさらしてしまっているのか、リスクアセスメントを行って、必要な組織態勢やセキュリティ対策を考えていく。このリスクマネジメントのサイクルを回していくことが重要です。
また、企業側と攻撃者側のモチベーションの差にも注目すべきでしょう。攻撃者側は、セキュリティの脆弱性を1つ見つけて、攻撃に成功すれば、それによって莫大な利益を得ることができます。
一方で企業側は、仮に重大なセキュリティの穴を発見し、未然に攻撃を防いだとしても、その人の給与や処遇がよくなることはなく、モチベーションも上がりません。100%の力でセキュリティの穴を探している攻撃者に対して、普通にしていたら「必ず負ける」という認識を持つべきです。
そんな攻撃者に、企業はどうすれば対抗できるのでしょうか。
攻撃者側で進展しているエコシステムと同じ仕組みを、自社にも取り入れていくことです。具体的には、セキュリティに従事する社員の待遇を見直し、市場原理に基づく報酬を設定したり、適切な評価サイクルを構築したりすることが必要です。
評価するためにはきちんとした基準を設けなければいけません。一例を挙げると、何もしないときに企業が侵害される確率を計算し、それに対する被害額を見積もります。そして、セキュリティ従事者の努力によって侵害の確率が下がり、ゼロになったときには被害額の100%を成果(パフォーマンス)として認める。
欧米ではそのような仕組みでセキュリティ部門を運営しているところが見られます。そのような組織では、コミットした成果(パフォーマンス)が出なければ解雇され、また能力の高い人を雇い入れているのです。その結果、企業のセキュリティは高まっている傾向があります。
日本でもそうした取り組みをしている企業はありますか。
一部の企業では実践しています。ただし、終身雇用制度が残存しているような企業ではなく、実力主義の制度を積極的に採用している企業が中心です。
また、サイバー攻撃で非常に大きな被害を受けて、何とか生き残ったような企業では、それを機にセキュリティへの考え方を変えているケースも見られます。攻撃を受けたときの「痛み」を思い出して、二度とあんな目には遭わないという決意の固い経営者は、新しいセキュリティ運営の仕組みを取り入れることができると思います。
これからの企業のセキュリティは、まず経営トップがサイバーセキュリティの脅威に対し、自覚的に直視し、危機感を持つこと。経営トップが意識を変えられなければ、できる人にセキュリティに関して経営判断を積極的に支援させる。役員会議にも参加できない「名ばかりCISO」ではなく、「真のCISO」が決定権を持ってセキュリティを牽引できなければ、事業を継続して企業を守ることはできません。
もちろん、レガシーなビジネスモデルを支える古いシステムを共存させることも重要です。それも含めて、新しいクラウド時代のセキュリティ運用を見直さなければ、企業は生き残ることができないでしょう。現在、企業のデジタル化が進んでいますが、経営層にはそれに伴うセキュリティのリスクを理解していただきたいと思います。
