サイバーセキュリティコンサルティングサービス
サイバーセキュリティとは
サイバー攻撃が急速に複雑・巧妙化している中、サイバーセキュリティの強化は国を挙げて取り組むべき最重要課題の一つとなっています。近年、サイバー攻撃に対するにはアンチウイルスソフトやファイアウォールなど従来型の一般的な技術だけでは防ぎきれなくなってきているのが実情であり、実際に、ここ数年、被害件数が劇的に増加しています。技術的対策、整備・運用面の対策、そして経営層の意識や被害が発生したという前提で手を打っておくなど様々な要素が必要となってきており、企業組織全体で取り組むことが求められています。
サイバー攻撃に対する動き
サイバー攻撃とは、文字通り、ネットワークを介した技術的な攻撃です。近年の被害件数の増加を受け、規制当局の動きも激しくなってきました。例えば、金融業界では、安全対策基準をはじめとした主要な業界向けガイドラインの改訂にあたって、「サイバー攻撃対応」に関する記述を盛り込む動きをとりはじめています。
【表:サイバー攻撃を念頭においたFISC安全対策基準の見直し方針】
【表:サイバー攻撃を念頭においたFISC安全対策基準の見直し方針】
主な検討テーマ | 改定のポイント |
---|---|
金融機関におけるサイバー攻撃対応体制について | 「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」を踏まえ、サイバー攻撃の対応態勢の整備について、事前対策、検知策、対応策、教育・訓練に関する基準を新設、また、インターネットバンキングにおける不正送金防止策や、利用時の注意事項について、運用基準、技術基準を改訂する予定。 (安全対策基準とは別に、サイバー攻撃の手口や被害の事例、対策例等、金融機関がサイバー攻撃対策を検討するにあたり、参考となる情報を集約し、情報提供する予定) |
金融機関におけるクラウドサービス利用について | 「金融機関におけるクラウド利用に関する有識者検討会報告書」を踏まえ、以下の観点から【運用基準No.108(クラウド利用に関する基準)】の全面改訂を行う予定。 ○ クラウド事業者の選定手続きの明確化 ○ クラウド事業者との安全対策に関する契約内容の明確化 ○ サービス利用中の情報漏洩防止策 ○ 利用終了時の情報漏洩防止策 ○ 立入監査・モニタリング態勢の整備 |
外部委託先による不正な引出し事例に関する検討について | 不正な引出し事例のヒアリング調査等から得られた対策をもとに、今回の改訂では、暫定対応として、技術的な対策を対象とし検討を行う。 委託先管理態勢等のガバナンスについては、次年度計画している有識者検討会において議論し、その結果を踏まえ改訂検討(本格対応)を行う予定。 <暫定対応における主な検討事項> ○ 重要なデータへのアクセス制限の対策例 ○ 外部記憶媒体の利用制限、持込み・持出制限の対策例 等 |
(出典:金融情報システムとFISC安全対策基準について)
企業は何が必要なのか?
こうした攻撃に対して、企業は複数手段を併用して防御態勢を整える必要があります。冒頭で「手口が狡猾さを増している」と述べましたが「狡猾さ」を表す近年の典型的な攻撃の一つが「標的型メール攻撃」(詳しくはNAVI記事「標的型メール攻撃」を参照ください)です。「標的型メール攻撃」とは、特定の攻撃対象に対しメールを使って不正ファイルを開かせ、その組織のネットワークにセキュリティの穴を開ける攻撃手法です。攻撃対象を定めた上で、その対象組織が信頼できる名を語って、あたかも重要な用件であることを装い本文を送りつけ、不正な添付ファイルを開かせるのです。
こうした例からもわかりますように、サイバー空間における攻撃手法はますます高度化、巧妙化してきています。ある意味では、こうした攻撃を技術的に完全に防ぐことは困難と言えます。だからこそ、複数の視点から、対策を講じることが必要なのです。
複数の視点から対策を講じるための手法は様々です。近年のサイバー攻撃に対しては、入口対策(外部から内部のネットワークに入ってくる通信への対策)だけでなく出口対策(内部ネットワークから外部へ出て行く通信への対策)も重要であるとはよく言われることです。加えて、例えばBow-tie-Analysis(蝶ネクタイ分析)と呼ばれるアプローチも有効な手段の一つです(下図参照)。この技法を用いると、原因と結果の両側面から分析することが可能です。
こうした例からもわかりますように、サイバー空間における攻撃手法はますます高度化、巧妙化してきています。ある意味では、こうした攻撃を技術的に完全に防ぐことは困難と言えます。だからこそ、複数の視点から、対策を講じることが必要なのです。
複数の視点から対策を講じるための手法は様々です。近年のサイバー攻撃に対しては、入口対策(外部から内部のネットワークに入ってくる通信への対策)だけでなく出口対策(内部ネットワークから外部へ出て行く通信への対策)も重要であるとはよく言われることです。加えて、例えばBow-tie-Analysis(蝶ネクタイ分析)と呼ばれるアプローチも有効な手段の一つです(下図参照)。この技法を用いると、原因と結果の両側面から分析することが可能です。
【図: Bow-tie-Analysisによるサイバー攻撃対応に関するリスクアセスメント(例)】
サービス一覧
ニュートン・コンサルティングでは、近年注目が増しているサイバーセキュリティについて、お客様のセキュリティ強化のお手伝いをする各種サービスをご提供しております。