安定したセキュリティ対策のための3つの観点
この変化とギャップは「プロセス」「ヒト」「テクノロジー」という大きく3つの観点で語ることができます[図表1]。
たとえば、「プロセス」であれば、コロナ禍で働き方が変わったり、テレワークが増えたりしました。テレワーク環境を急速に整備した際、リモート接続のためにVPN装置を設置したものの、設定に不備があったことで、かなりの数のVPN(仮想専用通信網)装置が攻撃に遭ったようです。
また、DXの潮流も大きな関心事ではないでしょうか。ビジネスプロセス自体が変わってくるため、当然ながら仕組みも変わってきます。そうすると、セキュリティの考慮が十分に行き渡らない部分が出てきますので、そこを突かれて攻撃されてしまう恐れがあります。
「ヒト」の観点では、古典的な手法としてソーシャルエンジニアリング(重要情報を、ITを使用せずに盗み出す方法)があります。たとえば、従業員を装った電話に対し、「テレワークに必要なパスワードを忘れたので教えてほしい」という要望に応えてしまうのも、代表的なセキュリティリスクの1つです。
「テクノロジー」では、新しいテクノロジーは今後も常に導入され続けるはずです。たとえば、生成AI「ChatGPT」が使われているエンジンを搭載したばかりのシステムにセキュリティ上の欠陥が潜んでおり、その部分を攻撃者が先に見つけてしまえば、そこを攻めてくることも当然考えられます。
世の中の状況や情勢を的確に読み取って、セキュリティリスクを捉えて対策し続けるためにも情報が必要なことは言うまでもありません。
(広告の後にも続きます)
リスク対策に対する、2つの評価方法とは
サイバー攻撃に対するリスク対策の評価は従来、ベースラインアプローチ※1が基本的な考え方で、経験に基づいて作成したチェックリストやガイドラインに沿って対策を評価してきました。よく用いられるのが、CIS Controls、NIST サイバーセキュリティフレームワーク、ISO/IEC27001、27002などです。
※1ベースラインアプローチ:既存の標準や基準をもとに、想定する典型的なシステムに対して、予め一定の確保すべきセキュリティレベルを設定し、それを達成するためのセキュリティ対策要件を定め、分析対象となるシステムの対策の適合性等をチェックする。(デジタル庁「政府情報システムにおけるセキュリティリスク分析ガイドライン~ベースラインと事業被害の組み合わせアプローチ~」)
一方、先ほど指摘したように、リスクは変わり続けてギャップも常に生まれ続けます。そこで昨今ではベースラインアプローチだけでは不十分だとの認識の下、リスクベースのアプローチも加えて、両輪でリスク対策を評価しようという考え方が一般的になってきました。
リスクベースアプローチには「ペネトレーションテスト(侵入テスト)」や「レッドチームアセスメント(専門家による疑似攻撃)」のような、実際にネットワークやシステムへの攻撃を仕掛けてみて、セキュリティホールや脆弱性がないかを確かめる方法があります。また、リスクアセスメントも方法の1つです。
これらは特定の脅威・攻撃に対して、現在の対策で防御できているのか、どのような影響があるのかを検証するものです。