サイバーセキュリティとは

組織のサイバーセキュリティ環境を把握する

自組織のサイバーセキュリティ環境をもっとよく理解する方法

以下のような手順を踏むことで、組織は自身のサイバーセキュリティ環境や関連するサイバー脅威を把握することができます。

1.企業資産のマップを作成します。これにより、組織内のすべてのコンピューティングシステムとデータを把握できます。

2.マップされたシステムとデータストアを、機密性の度合いと事業運営上の重要度に基づいて順序付けします。

3.システムを保護および監視するための計画を策定し、テクノロジーツールを開発します。また、各資産のリスクレベルに基づいてセキュリティ戦略の優先順位を決めます。

4.全従業員の教育やトレーニング、緊急時の対応策の策定に取り組み、企業内に常にサイバーセキュリティを意識する文化を築きます。

セキュリティリスクとセキュリティ脅威の違い

リスクと脅威は密接に関係しているため混同されがちですが、セキュリティ脅威とは、デジタル資産に損害を与える可能性のあるものや行為を指します。マルウェア、悪意あるハッカー、設定に誤りのあるクラウドサーバーは、セキュリティ脅威の例です。一方、セキュリティリスクは、脅威が実際に損害を及ぼす可能性を左右します。脅威は、コンピューターシステム内のセキュリティのウィークポイント、つまりセキュリティの脆弱性によって「リスク」となります。

情報セキュリティの原理は、脅威の危険を防ぎ、その深刻度を緩和して、企業が損害を被るリスクを最小化するというものです。

さまざまなタイプのセキュリティリスク

最も一般的で費用もかさむセキュリティリスクには、次のようなものがあります。

• 機密データの漏えい – 機密データとは、ネットワーク上にあり、攻撃者にとって価値がある、すべての情報を指します。たとえば、企業秘密や知的財産、社内文書やメール、従業員あるいは顧客の社会保障番号やクレジットカード番号、医療データなどがそれにあたります。データ漏えいによる直接的な不利益に加え、コンプライアンス上の罰金など、法的責任の違反による罰則を課されるリスクも伴います。
• システムおよびコンピューティングリソースの侵害 – これには、企業のシステムがマルウェアに感染してDDoSゾンビや暗号通貨マイニングボット、スパムリレー、その他の悪質な脅威に悪用されるリスクも含まれます。こうなると、感染した企業は攻撃者の直接的な手先となってしまいかねません。
• 金銭上の損失 – 攻撃者がシステムに侵入した場合、企業の金融口座情報を盗み出すおそれがあります。これは、まさに巨大かつ壊滅的なセキュリティリスクです。

サイバーセキュリティ戦略を立てる

組織のセキュリティ体制を強化する方法

組織のセキュリティ体制の強度は、サイバー攻撃を防御するための、組織全体の対応力および準備の度合いによって決まります。組織がセキュリティ体制を強化するために実施できるサイバーセキュリティ対策が、いくつかあります。

1.セキュリティ監査を実施する – まず、リスクを評価します。評価のためには、自社のテクノロジー資産をすべて特定し、基盤にあるテクノロジーやビジネス上の重要度に基づいて各資産の脆弱性の度合いを見極める必要があります。その結果、どのシステムを最も優先して保護すべきかが明らかになります。

2.強力なセキュリティポリシーを策定する – 組織のセキュリティと安全を最大限強化するには、エンドユーザーが組織のシステムを利用する際のルールを決める必要があります。ポリシーには、パスワードの長さや再利用、承認されていない機器、ソフトウェア、サービスの利用、インシデントの対応手順やサイバーセキュリティ運用チームの連絡窓口などに関するルールが含まれます。

3.サイバーセキュリティツールを拡張する – セキュリティ防御の大部分を自動化するソリューションを導入することで、セキュリティ体制を大幅に強化できます。自動化の対象は、ファイアウォールデバイス、マルウェア対策、認証とアクセス管理、暗号化ソフトウェア、侵入テストおよび脆弱性スキャンツール、侵入検知ソフトウェア、ネットワーク監視ツールなどです。

4.サービスプロバイダーを監視する – 今日、ネットワークには、主にクラウドサービスのようなかたちで数多くのサードパーティーが関与しているのが一般的です。それらのサードパーティーも潜在的にサイバーセキュリティリスクとなる可能性を秘めており、そのため自社のネットワークと同じように注意深く監視していく必要があります。

5.メトリクスを継続的に追跡する – 1日に発見される脆弱性の総数、脆弱性の平均修正時間など、主要なメトリクスを決めて、それらを継続的に追跡することで、セキュリティ体制全体の状態が向上しているか、または悪化しているか、判断できます。

6.従業員のトレーニングを実施する – 上記のようなセキュリティポリシーをどんなに注意深く策定しても、継続的に従業員をトレーニングして、従業員が常にセキュリティポリシーを踏襲するようにしない限り、結局は役に立ちません。

サイバーセキュリティフレームワークの具体例

組織が強力なサイバーセキュリティ体制を構築するのを支援する目的で設計されているセキュリティフレームワークが、数多く存在します。中でも最も広く知られ、使われているフレームワークとして、以下のようなものがあります。

• 米国国立標準技術研究所(NIST)サイバーセキュリティフレームワーク – 米国大統領のイニシアチブによるこのセキュリティフレームワークは、米国のサイバーセキュリティインフラを強化することを目的として設計されました。現在では、民間企業にも広く適用されています。
• ISO/IEC 27001および27002 - 対を成す国際規格で、サイバーセキュリティに対するリスクベースのアプローチを定義しています。このフレームワークは、脅威の検出と、企業のシステムを保護するために導入すべき具体的なコントロールの策定に重点を置いています。
• CISクリティカルセキュリティコントロール – 「既知のサイバー攻撃ベクトル」から組織を保護するために設計された、20のセキュリティ対策のセットです。
• IASMEガバナンス – ISO 2700の代替として策定されており、中小企業にとって達成しやすい内容となっています。
• COBIT (Control Objectives for Information and Related Technologies) – サイバーセキュリティを他のビジネスプロセスや変革アクティビティに統合することを目指しています。

リスク管理のための最善のアプローチ

上記のようなサイバーセキュリティフレームワークでは、セキュリティ強化のために組織が取り組むべきアプローチや手順が明確に規定されています。このプロセスは、各組織のリスクに対する許容度を把握することから始まります。たとえば、大手銀行ではリスクへの許容度はまずゼロであるのに対し、中学校のPTAの場合には許容度はずっと緩いものとなるはずです。組織は、こうした許容度を念頭に置きつつ、個々のサイバーセキュリティ投資の優先順位付けを開始します。リスクを低減するのか、完全に排除するのか、他の誰かに転嫁するのか、またはそのまま受け入れるのかは、ケースバイケースで判断すべき戦略上の問題です。

セキュア開発のためのアプローチ

より広範にサイバーセキュリティ環境を考えた場合、ソフトウェア開発は特別な(かつ特殊な)位置を占めます。セキュアなソフトウェアは、組織のインフラを保護するだけでなく、その組織のソフトウェアツールを外部から利用する顧客も保護します。

今日、セキュア開発は、一般にセキュリティ開発ライフサイクルによって定義されます。これは、2002年にMicrosoft社が初めて提案したアプローチで、以下のような12の手順から構成されます。

• トレーニングの実施 – ベストプラクティスとセキュリティについて関係者全員の認識を一致させます。
• セキュリティ要件の定義 – 遵守すべき標準、およびアプリケーションが晒される可能性のあるリスクを見定めます。
• メトリクスとコンプライアンスレポートの定義 – 「バグバー」を設定し、セキュリティ脆弱性の重大度に関し最大許容しきい値を定義します。
• 脅威モデリングの実施 – 脅威シナリオを作成するモデルを開発し、開発者がより簡単に脆弱性を特定できるようにします。
• 設計要件の確立 – 暗号化、認証、その他のツールを利用するかどうかを決定します。
• 暗号標準の定義と実装 – すべての情報、とりわけクラウドに保存されているデータを暗号化します。
• サードパーティーのセキュリティリスクの管理 – 外部コードコンポーネントには固有のリスクがあり、別個に管理する必要があります。常にセキュリティ体制の推移を把握するために、定期的にリスク評価を実施します。
• 承認されたツールの使用 – 開発者が使用できるツールおよびセキュリティチェックのリストを作成します。
• 静的解析セキュリティテスト(SAST)の実行 – コンパイル前にソースコードのセキュリティレビューを実施します。
• 動的解析セキュリティテスト(DAST)の実行 – ソフトウェアのセキュリティについて、ランタイムでストレステストを実施します。
• 侵入テストの実施 – 「ホワイトハット」ハッカーが、隠れた脆弱性を特定してアプリケーションへ侵入できるか、試行します。
• 標準インシデント対応プロセスの確立 – 新しい脅威や変化し続ける脅威に対応するためのプレイブックを開発します。

セキュリティ防御を構築する

組織が導入できる最も効果的なサイバーセキュリティツールまたは次世代のテクノロジーとは

最もパワフルなサイバーセキュリティツールには以下のようなものがあり、これらはすべて、サイバーセキュリティインフラの必須の構成要素と考えられています。

• ファイアウォール – ネットワークトラフィックを監視し、企業とインターネットを隔てる防御壁となる、ネットワークセキュリティシステムです。攻撃件数の多寡を問わず、セキュリティ防御の最前線として機能します。
• マルウェア対策 – 一般にアンチウイルスソフトウェアとして知られるセキュリティスイートです。通常はクライアントPC上で動作し、トロイの木馬などの悪質なソフトウェアやその他のAPTが勝手にインストールされるのを防ぎます。多くの場合マルウェアは、メールの添付ファイル、悪質なWebサイト、リムーバブルメディアなどを介してPCに侵入します。
• 認証 – 二要素認証や多要素認証などの次世代の認証テクノロジーを使うソフトウェアで、異常な行動パターンを検出して、正当なユーザーのみによるネットワークアクセスを確保します。
• 暗号化 – 万一攻撃者がネットワークに侵入した場合に備え企業のデータを保護する最善の方法は、保管中、移動中にかかわらず、すべてのデータを確実に暗号化しておくことです。
• 侵入テスト/脆弱性スキャン – これらのツールは、最新の既知の攻撃を使って防御をすり抜けることができるかテストし、システムの弱点について警告することで、ネットワークの脆弱性を精査します。
• 侵入検知システム – ネットワークの境界セキュリティとして機能します。悪質な行動をリアルタイムで監視し、違反があった場合、セキュリティ運用担当者に報告します。
• ネットワーク監視ツール – ネットワーク監視は、セキュリティの違反に加え、デバイスの健全性をテストします。悪質なトラフィックの急増や単なるデバイスの故障によって起こるダウンタイムを防止できます。

サイバーセキュリティ防御の構築を始めるには

組織は、セキュリティ体制を強化してセキュリティインシデント数を減らすためのアドバイスに従うことで、サイバーセキュリティ防御の構築に着手できます。まず、既存のハードウェアやソフトウェア、サービスエコシステムを監査し、組織が置かれている状況をしっかりと把握します。次に、クラウドプロバイダーなどのサードパーティーサービスを含め、攻撃のリスクが最も高いシステムを保護するポリシーを作成し、それらのシステムの保護に必要となる適切なツールを入手します。ツールの導入後、パフォーマンスを追跡するメトリクスを作成して、ポリシーの目的や導入したサイバーセキュリティツールについて従業員に適切なトレーニングを行います。

サイバーセキュリティの今後

サイバーセキュリティは、1つの業界として、米国そして世界においてその重要性と規模を拡大し続けています。Allied Market Researchは、ますます高度化しまん延する攻撃に対する組織の闘いは今後も続き、サイバーセキュリティ業界の総価値は2027年までに3,000億ドルを超えると予測しています。この先、最も重要となるトレンドとして、従来型のハードウェアに代わりクラウドベースのセキュリティサービスが台頭すること、組織の内部者による攻撃が増加すること、セキュリティフレームワークへのアプローチが一新することなどが挙げられます。プライバシー規制の拡大に伴い、企業がサイバーセキュリティに真剣に取り組む必要性はますます高まるでしょう。取り組みに失敗し、防御が破られれば、高額の罰金や法的責任を課される結果となりまねません。