サイバー攻撃は脆弱性があるからではなく、ハッカーに目をつけられるから起きる
「脆弱性があるからサイバー攻撃の被害に遭う」は正しいのでしょうか。ご存知の通り最近はサイバー攻撃のビジネス化が進んでいますから、手当り次第攻撃するようなリスクの高いことをしません。慎重に法的にクリアか見極めながら目立たないように情報収集しながら淡々と仕事をします。
社会的・政治的な主張を目的としたハッキング活動を行うハクティビストや捕まってでも目的を達成しようとするスーサイドハッカーのような目立つ行動をするサイバー攻撃者の方が一般にごく少数派です。
正直マーケティング目的のソフトウェアの方がリテラシが低い利用者が少なくなく、マルウェアまがいのソフトウェアでの収集や問い合わせ目的以外でヘルプデスクや社員にコンタクトをとり非公開情報を得るなどのは能動的偵察行為といい違法行為となる可能性があります。
脆弱性診断を多くの企業で行う中で、もっとも関心があるのは「脆弱性を放置するとどれほどリスクがあるか」です。
攻撃は動機・脆弱性・手段が揃った時におきます。これは犯罪発生の3要素といわれているMOM(Motivation:動機,0pportunity機会=脆弱性,Measure:方法)がそのまま当てはまります。
脆弱性診断はあくまでも狙われた前提でどんな脆弱性(0pportunity)があるか調査・報告するものです。
従って、狙われるリスクを考えるためにはハッカーに目を付けられる要素、つまり動機があるかが重要となります。
動機(Motivation)が思想や政治に関する場合、利益度返しでくるので最も脅威となりますが、
大多数はビジネス目的であれば動機(Motivation)は利益、対費用効果を考えてれば良いことになります。
この時考えるべきはハックバリューとインパクトアナリシスです。
ハックバリューとインパクトアナリシス
ハックバリューは実行するに値することで今回の場合、収益の期待値です。
ハックバリューを下げたいからといって情報資産そのものの一般価値を下げるのは最もやってはならないことです。
インパクトアナリシスは予期せぬ事態によって停止または中断した場合に事業全体が受ける影響の度合いです。
その両方で重要になるのが多層防御です。多層防御は侵入対策、拡大対策、漏洩対策と大きく3要素あるのですが、侵入対策に傾向し、拡大対策、漏洩対策は不十分なところが少なくありません。侵入対策としては不正アクセスを検知し、アラートを出すIDS(Intrusion Detection System),不正アクセスを検知した場合は通信を遮断し防御するIPS(Intrusion Prevention System)などはどの企業でも見かけます。拡大対策として重要業務を行う端末やネットワークの分離や封じ込め、証跡保全、漏洩対策としては持ち出しの制御やデータ暗号化などがありますがまだまだ浸透してないかなといった印象です。
低い情報リテラシが露見するとサイバー攻撃に狙われやすい
多層防御を推奨する本がたくさん出てきたため認知度の高い言葉になっています。しかし、実際は多重防御を施策してる企業が多く正しく理解されていないのが現状です。もしかすると防御を突破された後の事を前提に考えることがまだまだ御法度のような企業は少ないことや、多層防御を試算したら突き返され足りない予算で防御するため多重防御にしたなどといった事情も考えられます。この場合、本当の問題は低い情報リテラシーです。多重防御されてる層は突破が困難ですが、鍵の付いたドアこど外されたり思わぬところから突破される可能性はあり得ると考えるべきです。その場合、拡大対策、漏洩対策がなされていなければ被害は極大化してしまいます。
低いリテラシーはハックバリューとインパクトアナリシス双方にハッカーの優位性を与えてしまします。
低いリテラシーへの対策はアウェアネストレーニングです。日本企業では「意識」と誤解されていることが多いようですが、アウェアネスの正しい解釈は「推理して判断する」ことです。そしてアウェアネストレーニングは正しく推理して判断するための具体的な基準と方法論を提供する教育です。「怪しいメールは開かない」ではダメな訳です。「該当メール以前に送信者から予告なく、添付付きのメールが送られた際は怪しいメールと判断し、・・・」など推定するための条件を具体的に示せていなければ意味がありません。
IC友連れや会話の内容から低い情報リテラシは宣伝され、無償かつ法的にもクリアな情報として不特定多数に提供されてしまいます。アウェアネストレーニングが第三者から見て具体的な内容になっているか見直すことも重要なセキュリティ対策になります。
重要度の高い機関・有名企業またはその関連企業は狙われる
官公庁やCMで見るような上場企業は狙われるだろうけど、うちみたいな小さい企業はと考える方は少なくありません。このため、うち狙っても大した情報無いしと管理がおざなりになっている企業が少ない印象です。しかし、実際のサイバー攻撃ではそのような大きな組織と関連があるセキュリティのゆるい末端の開発企業の情報を元に関連する大きな組織が攻撃するということが起きています。
問題をトリアージ(優先順位付け)しロール&レスポンシビリティを明確にする
ここまでの話で狙われるかもしれないと少しでもよぎったなら、対策を考えましょう。
トリアージはもともと医療用語で「大事故・災害などで同時に多数の患者が出た時に、手当ての緊急度に従って優先順をつけること」ですが転じてセキュリティでは復旧作業をする対象や優先順位を決める作業のことです。
問題は取り掛かる順番がとても重要です。サイバー防災訓練などでは同時に複数インシデントを起こし対応順や方法などを評価しますが、例えば、「メールサーバがダウンする」と「不審なメール開く」があった場合、目立つのは「メールサーバがダウンする」ですが、「不審なメール開く」がその後の感染拡大や被害を鑑みて優先度の高い問題となります。
最後にロール&レスポンシビリティです。取り掛かるべき優先順位がわかっても、どこの誰にその時何をすればいいかどんな役割でどんな責任を果たせばいいかがわからなければ対処のしようがありません。また役割を分担せずに取り掛かれば収拾がつかなくなること容易に想像がつくと思います。ここで大事なのはロール&レスポンシビリティを決めることでなく、ロール&レスポンシビリティを明確にすることです。
しっかり法律は知っていないと守ってもらえない
最後に法律に関して触れて起きましょう。運悪くサイバー攻撃やインシデントが発生した場合、法律の基準を鑑みることは避けては通れません。一方、しっかり把握して適用条件を満たさなければ守ってくれないのも法律の特徴です。
例えば不正アクセス方で次のことはご存知でしょうか。
キーボードと本体とのケーブルは「電気通信回線」とはみなされないため、対象機器のキーボードから他人のパスワードを入力してなりすましを行っても「不正アクセス」にはならなりません。
「デフォルト・ユーザーのみ」のは使用権者を区別するものではなく,識別符号(パスワード)とならないため「不正アクセス」にはならなりません。ただし1人でも別ユーザ作っておけば不正アクセスにできます。
最低3つ以上のNTPで同期された時刻がわかる電子証跡でないと証拠として受け付けられません。つまり犯罪の徹底的証拠を見つけても証拠採用されない可能性がある訳です。
「狙われやすさ」を第三者視点で分析して、予期せぬサイバー攻撃の被害を最小化するべく適切な対策をしていきましょう。
以上です。参考頂けますと幸いです。