サイバーセキュリティとは、コンピューターやネットワークシステムを侵入や盗難、損害から保護する一連の対策・手段を指します。サイバーセキュリティは、いわば膨大な数のサイバー攻撃に対抗するための要塞です。
ほとんどの組織は、さまざまなサイバーセキュリティフレームワークを使って自組織をサイバー攻撃から保護しています。セキュリティ監査、セキュリティポリシーの策定、継続的にセキュリティ状況を監視するための重要なサイバーセキュリティツールや手法など、サイバーセキュリティにかかわるベストプラクティスはこれらのフレームワークによってかたちづくられます。
この記事では、サイバーセキュリティの進化とトレンド、企業が最も直面しがちなサイバー攻撃のリスクと脅威、そして組織のサイバーセキュリティ体制を強化するためのベストプラクティス、フレームワークについてご紹介します。
サイバーセキュリティは絶えず変化しており、その変化に伴って、めまいがするほど多くの定義、戦術、技術が生み出されます。手動プロセスの自動化や、とどまることなく増大し続けるサイバー攻撃にセキュリティチームが追いついていくために、AIベースのツールが使われ、セキュリティ運用チームがもっと重要な問題に集中できるように、反復的で的外れなアラートを減らすツールが活用されます。さらに、ゼロトラストセキュリティや高度な多要素認証が、サイバーセキュリティに新たな概念と技術的な方向性をもたらしています。
サイバーセキュリティは1970年代に登場し、躍進を遂げました。当初の動作原理は、特定の攻撃(主にウイルスやワームなど、初期のマルウェア)の発見を中心とし、それらを駆除するツールが開発されていました。1980年代から1990年代にかけて、こうしたサイバー攻撃はきわめて日常的な存在となり、最初はフロッピーディスクなどのリムーバブルメディアから、もっと後には電子メッセージングやWebブラウジングを介して侵入する攻撃を食い止めるため、デスクトップセキュリティソフトウェア(Norton AntiVirus、McAfee VirusScanなど)が欠かせないアイテムとなりました。2000年までにはサイバー環境に出回るコンピューターウイルスの種類は50,000を超えており、さらにこの数は2008年までの間に爆発的に増えて、Symantec社のレポートによれば実に100万を超えていました。
時とともにサイバー攻撃はますます巧妙になりました。マルウェアもかつてはちょっとした嫌がらせを目的としたプログラムに過ぎなかったものから、ファイルの削除やソフトウェアの破壊など、実質的な被害をもたらしかねないコードスニペットへと進化しました。近年では、こうしたサイバー攻撃ははるかに悪質なものへと変容しています。感染したPCをDDoS(分散型サービス妨害)ボットネットの「ゾンビ」メンバーとして悪用したり、ファイルを暗号化して復号鍵と引き換えに被害者に身代金を要求したり、感染したマシンに密かにソフトウェアをインストールしたりするのです。被害者が気付かないうちに暗号通貨マイニングを実行するマルウェアも、今日最も広くはびこるサイバー攻撃の1つです。
現在、攻撃者はPCに加えて、ファイルサーバーやクラウドサービス、さらにはセキュリティカメラ、ビデオ付きインターホン、サーモスタット、果ては電球といった、以前はコンピューターとは無関係だった機器までも標的にしています。ハッキングに関するある概念実証実験では、攻撃者は冷蔵庫をハッキングしてユーザーのGmailログイン資格情報を盗み出すことに成功しています。
これらの脅威に対抗するため、コンピューターセキュリティも多種多様な方法で進化してきました。データトラフィックを監視して、既知の悪質なコードのスニペット(「シグネチャ」)を検出するという以前の方法に代わり、今日のセキュリティツールは、さまざまな検出技術を駆使して不審な行動をプロアクティブに監視し、人工知能(AI)や機械学習などのテクノロジーで特定のアクティビティが悪質なものかどうかを予測します。ネットワークをスキャンして攻撃の発生前に問題を突き止めるツールも、企業で一般的に使われています。ゼロトラストセキュリティなどの戦術では、ファイアウォールの概念をさらに一歩進め、トラフィックの発信元がネットワーク境界の外側か内側かにかかわらず、すべてのトラフィックは潜在的に危険であるとの前提に立ち、許可を得る前に検証すべきであると考えます。
今日最大のサイバー攻撃の中には、きわめて巧妙でターゲットを絞ったサイバー攻撃から、「下手な鉄砲も数撃てば当たる」式の比較的いい加減なサイバー攻撃まで、さまざまな種類のサイバー攻撃があります。また、サイバーセキュリティ環境全体に共通して見られる脅威も数多くあります。以下は、そのような脅威の例です。
Splunkでは、今日ハッカーに利用されているセキュリティ脅威のTop 50をまとめ、注意すべきことと事例を解説しています。
以下のような手順を踏むことで、組織は自身のサイバーセキュリティ環境や戦略、関連するサイバー脅威を把握することができます。
1.企業資産のマップを作成します。これにより、組織内のすべてのコンピューティングシステムとデータを把握できます。
2.マップされたシステムとデータストアを、機密性の度合いと事業運営上の重要度に基づいて順序付けします。
3.システムを保護および監視するための計画を策定し、テクノロジーツールを開発します。また、各資産のリスクレベルに基づいてセキュリティ戦略の優先順位を決めます。
4.全従業員の教育やトレーニング、緊急時の対応策の策定に取り組み、企業内に常にサイバーセキュリティを意識する文化を築きます。
リスクと脅威は密接に関係しているため混同されがちですが、セキュリティ脅威とは、デジタル資産に損害を与える可能性のあるものや行為を指します。マルウェア、悪意あるハッカー、設定に誤りのあるクラウドサーバーは、セキュリティ脅威の例です。一方、セキュリティリスクは、脅威が実際に損害を及ぼす可能性を左右します。脅威は、コンピューターシステム内のセキュリティのウィークポイント、つまりセキュリティの脆弱性によって「リスク」となります。
情報セキュリティの原理は、脅威の危険を防ぎ、その深刻度を緩和して、企業が損害を被るリスクを最小化するというものです。
最も一般的で費用もかさむセキュリティリスクには、次のようなものがあります。
組織のセキュリティ体制の強度は、サイバー攻撃を防御するための、組織全体の対応力および準備の度合いによって決まります。組織がセキュリティ体制を強化するために実施できるサイバーセキュリティ戦略・対策が、いくつかあります。
1.セキュリティ監査を実施する – まず、リスクを評価します。評価のためには、自社のテクノロジー資産をすべて特定し、基盤にあるテクノロジーやビジネス上の重要度に基づいて各資産の脆弱性の度合いを見極める必要があります。その結果、どのシステムを最も優先して保護すべきかが明らかになります。
2.強力なセキュリティポリシーを策定する – 組織のセキュリティと安全を最大限強化するには、エンドユーザーが組織のシステムを利用する際のルールを決める必要があります。ポリシーには、パスワードの長さや再利用、承認されていない機器、ソフトウェア、サービスの利用、インシデントの対応手順やサイバーセキュリティ運用チームの連絡窓口などに関するルールが含まれます。
3.サイバーセキュリティツールを拡張する – セキュリティ防御の大部分を自動化するソリューションを導入することで、セキュリティ体制を大幅に強化できます。自動化の対象は、ファイアウォールデバイス、マルウェア対策、認証とアクセス管理、暗号化ソフトウェア、侵入テストおよび脆弱性スキャンツール、侵入検知ソフトウェア、ネットワーク監視ツールなどです。
4.サービスプロバイダーを監視する – 今日、ネットワークには、主にクラウドサービスのようなかたちで数多くのサードパーティーが関与しているのが一般的です。それらのサードパーティーも潜在的にサイバーセキュリティリスクとなる可能性を秘めており、そのため自社のネットワークと同じように注意深く監視していく必要があります。
5.メトリクスを継続的に追跡する – 1日に発見される脆弱性の総数、脆弱性の平均修正時間など、主要なメトリクスを決めて、それらを継続的に追跡することで、セキュリティ体制全体の状態が向上しているか、または悪化しているか、判断できます。
6.従業員のトレーニングを実施する – 上記のようなセキュリティポリシーをどんなに注意深く策定しても、継続的に従業員をトレーニングして、従業員が常にセキュリティポリシーを踏襲するようにしない限り、結局は役に立ちません。
Splunkが実施したグローバル調査から、組織のセキュリティチームがかつてないほど多くの(そして深刻な)課題に直面していることが明らかになりました。その実態を『セキュリティ調査レポート 2022』をダウンロードし、ぜひご確認ください。
組織が強力なサイバーセキュリティ体制を構築するのを支援する目的で設計されているセキュリティフレームワークが、数多く存在します。中でも最も広く知られ、使われているセキュリティフレームワークとして、以下のようなものがあります。
上記のようなサイバーセキュリティフレームワークでは、セキュリティ強化のために組織が取り組むべきアプローチや手順が明確に規定されています。このプロセスは、各組織のリスクに対する許容度を把握することから始まります。たとえば、大手銀行ではリスクへの許容度はまずゼロであるのに対し、中学校のPTAの場合には許容度はずっと緩いものとなるはずです。組織は、こうした許容度を念頭に置きつつ、個々のサイバーセキュリティ投資の優先順位付けを開始します。リスクを低減するのか、完全に排除するのか、他の誰かに転嫁するのか、またはそのまま受け入れるのかは、ケースバイケースで判断すべき戦略上の問題です。
より広範にサイバーセキュリティ環境を考えた場合、ソフトウェア開発は特別な(かつ特殊な)位置を占めます。セキュアなソフトウェアは、組織のインフラを保護するだけでなく、その組織のソフトウェアツールを外部から利用する顧客も保護します。
今日、セキュア開発は、一般にセキュリティ開発ライフサイクルによって定義されます。これは、2002年にMicrosoft社が初めて提案したアプローチで、以下のような12の手順から構成されます。
最もパワフルなサイバーセキュリティツールには以下のようなものがあり、これらはすべて、サイバーセキュリティインフラの必須の構成要素と考えられています。
Splunkのサイバーセキュリティソリューションはこちらをご覧ください。
組織は、セキュリティ体制を強化してセキュリティインシデント数を減らすためのアドバイスに従うことで、サイバーセキュリティ防御の構築に着手できます。まず、既存のハードウェアやソフトウェア、サービスエコシステムを監査し、組織が置かれている状況をしっかりと把握します。次に、クラウドプロバイダーなどのサードパーティーサービスを含め、攻撃のリスクが最も高いシステムを保護するポリシーを作成し、それらのシステムの保護に必要となる適切なツールを入手します。ツールの導入後、パフォーマンスを追跡するメトリクスを作成して、ポリシーの目的や導入したサイバーセキュリティツールについて従業員に適切なトレーニングを行います。
サイバーセキュリティは、1つの業界として、米国そして世界においてその重要性と規模を拡大し続けています。Allied Market Researchは、ますます高度化しまん延する攻撃に対する組織の闘いは今後も続き、サイバーセキュリティ業界の総価値は2027年までに3,000億ドルを超えると予測しています。この先、最も重要となるトレンドとして、従来型のハードウェアに代わりクラウドベースのセキュリティサービスが台頭すること、組織の内部者による攻撃が増加すること、セキュリティフレームワークへのアプローチが一新することなどが挙げられます。プライバシー規制の拡大に伴い、企業がサイバーセキュリティに真剣に取り組む必要性はますます高まるでしょう。取り組みに失敗し、防御が破られれば、高額の罰金や法的責任を課される結果となりかねません。
サイバー攻撃がもたらす膨大な被害やデータ侵害、金銭的損失について報じるニュースを見れば、サイバーセキュリティを取り巻く状況が、多くの場合予想不能かつ驚くべき展開で、変化し続けていることがよく分かります。自社のセキュリティ体制や直面しているリスクを理解し、絶えず変化するセキュリティ環境にすばやく適応する方法を学ぶことが、企業にとってこれまで以上に重要になっています。堅固なサイバーセキュリティ防御を構築するには専門知識が必要であり、ネットワークの安全の維持に欠かせない詳細かつリアルタイムのセキュリティ監視を使って、変わりゆく状況や新たな脅威に対し絶えず注意を向けていくことが重要です。