限られた時間の中でサイバーセキュリティリスクを可視化する手法とは?
限られた時間の中で効率的にセキュリティリスクを把握するためには、攻撃により突破された際に被害が大きい対象に調査範囲を絞ることや、適切な外部サービスを活用することが欠かせません。ではどのような対象に、どのようなサービスを適用すべきか、技術と人的要素の視点でそれぞれについて解説します。
1.限られた時間の中でリスク把握を可能にするポイント
限られた時間の中で効率的にセキュリティリスクを把握するためには、攻撃により突破された際に被害が大きい対象に調査範囲を絞ることや、適切な外部サービスを活用することが欠かせません。ではどのような対象に、どのようなサービスを適用すべきか、技術と人的要素の視点でそれぞれについて解説します。
1-1.技術的な脆弱性を診断
サイバー攻撃により侵入を許した際の影響範囲の見積もりは、重要な情報資産がどこに、どのような形態で存在するかによります。
まず、インターネットに公開した重要なサービスについては、早期のリスク可視化よりも、継続的な脆弱性管理に相応のコストをかけるべき対象です。次には、自社内もしくはクラウドサービス上に重要な情報資産があるものの、外部に公開していないことに起因し脆弱性管理にコストをかけていないシステムを対象とすべきと考えられます。従来は境界線防御で守られてきた情報資産であっても、環境変化や攻撃手法の高度化も踏まえ、問題の有無を確認すべきです。ただし、クラウドサービスを利用していたとしても、SaaS上に重要な情報資産があれば、技術的な脆弱性はサービス提供事業者の管理に依存します。クラウドサービスは技術的な対策はサービス提供側の対応であり、ユーザー側の対応範囲ではない一方で、仕様変更に伴う対応や設定についてはユーザー側の責任としてリスクマネジメントしていくことが求めらます。
つまり、リスクを早期に可視化する対象は、自社内(オンプレミス)のシステム及び、AWSやAzure等のIaaS等のシステムと、そこで保存、処理、伝送される重要なデータ等の情報資産や、そこに到達するまでの侵入経路(ネットワーク機器)です。これらの情報資産について、サイバー攻撃により機密性だけでなく、完全性や可用性(事業継続性を含む)が損なわれた場合の影響が大きく、かつ、脆弱性管理に不安がある対象については、技術的な診断をすべきです。
なお、リスクを早期に可視化するために、外部の脆弱性診断サービスを利用する場合、その選定するポイントは品質と優先度の明確化です。企業にとって品質が高い診断とは、誤検知や過検知が少ないことです。さらには、優先度が明確であれば速やかに解消すべき脆弱性を判断できます。リスクを早期に可視化する対象については、細かな脆弱性を多く検出することが良い診断とは限らない、ということです。加えて、脆弱性の解消方法が解説されることや、質問対応なども考慮し、自社内の体制(スキルやリソース)と費用を勘案して、適切なサービスを選定すると良いでしょう。
1-2.人的脆弱性の評価
ランサムウェア攻撃では、従業員へのメールやWeb閲覧によるPCのマルウェア感染が突破口となるケースがあり、データやシステムを扱う従業員の行動や判断が、企業全体に影響を与える可能性があります。そのため、業務の負担を抑えつつ疑わしいメールへの対応力をはじめとするセキュリティ意識の向上が重要になります。擬似的な攻撃メールを従業員に送信し、「メール訓練」はその対応力を観察・評価し、セキュリティ意識の向上に役立ちます。
「メール訓練」を通じて、従業員に疑わしいメールの特徴や対処法を習得してもらうとともに、模擬的なフィッシングメールを使った実践的な訓練を行うことにより、マルウェア感染リスクを低減できます。このような訓練は、経営層から従業員までの全社的な参加を促し、日常業務における対応力の向上を目指すものです。訓練は組織全体を対象としますが、実施時には訓練対象を分散して計画的に展開することも可能です。
リスクを早期に可視化するために、外部のメール訓練サービスを選定するためのポイントは、品質と組織的な改善策の明確化です。
単に疑似攻撃メールを送付するだけなら自社のみで実行できますが、訓練の効果に乏しい内容となったり、多量のメール送付によりシステムやネットワークに影響を及ぼしてしまったり等の問題が生じかねません。専門ベンダーが提供する品質が高いメール訓練サービスでは、効果的な訓練メール内容や送り方、事前の案内、CSIRTへの連絡をどうすべきか等、適切なサポートがあり、さらに、慎重な事前の送信テストなどが行われます。
組織的な改善策については、訓練結果の報告書に記載され、報告会で説明や質疑応答がされるサービスもあります。単にメールを送るだけでは組織的な改善策まで記載できません。アンケートの取得により、疑似攻撃メールに多くの従業員が引っかかった原因を分析する等のアプローチがあることが前提となります。
他にも、人的脆弱性に関する手早いサービスとしてはeラーニングなどもありますが、「メール訓練」は従業員の意識向上とリスク可視化の効果が高い手段です。適切なサービスを選定し、明確化された組織的な改善策をもとに、セキュリティ強化に取り組みましょう。
2.効果的なセキュリティ強化を実現するGSXのサービス
技術的なリスク評価や人的脆弱性の把握など、GSXではセキュリティの課題を包括的にサポートするさまざまなサービスを提供しています。組織全体の防御力を向上させるため、実践的なソリューションを提案いたしますので、自社のセキュリティに課題を感じたらぜひご相談ください。
ここでは、脆弱性を迅速に評価して、サイバー攻撃への態勢を強化するアセスメントサービス、短期間で効果を発揮する診断サービス、従業員のリスク意識を向上させる訓練プログラムをご紹介します。
2-1.脆弱性を包括的に評価するSecurityScorecard
サイバー攻撃を受けた企業だけが被害に遭うのではなく、サプライチェーン全体へも被害が及ぶことも珍しくはありません。「SecurityScorecard」は自社とサプライチェーン全体の脆弱性を、外部からどのように見えているのか、攻撃者の視点で把握できるサービスです。継続的にモニタリングを行うことで、「攻撃されにくい環境を維持し続ける」ことを可能にします。
サプライチェーンを構成する中小企業の多くには、高度なセキュリティソリューションを導入・運用する予算を確保できない、活用するためのセキュリティ人材を確保できないという課題があります。SecurityScorecardであればサプライチェーン全体のリスクを評価できるため、結果として自社のセキュリティリスクの管理につながるのです。また、SecurityScorecardでは攻撃者からの狙われやすさを、100点満点のスコアリングを行うことでリスクを定量化します。これにより、業界平均との比較が可能です。
また、継続的に診断をするプランのほかに、年に1度など断続的に診断を行うスポット診断サービスもご用意しています。スポット診断は、対象の指定から報告会まで2週間程度と、短期間で状況を把握したい場合にもおすすめです。
2-2.業務で利用するシステムの脆弱性を診断する
情報システムやそれによるサービスは現代企業にとって重要な基盤です。サイバー攻撃によりインシデントが発生すると、企業の価値や信頼性に大きな影響を与えるため、十分な注意が必要です。情報システムを自社で保有し運用するのであれば、そのようなインシデントの原因となる弱点がないかの、脆弱性診断による確認が重要です。
GSXのプラットフォーム診断では、診断結果とともに具体的な改善策まで提言します。プラットフォームの脆弱性は増え続けるものであるため、定期的に実施し、状況を把握すること重要です。そのため状況や希望に合わせて、セキュリティ診断ツールを用いた安価かつ広範囲な診断や、お試しで診断を行いたい方に向けたOne-Dayパックなども用意しています。
またクラウドセキュリティ診断ではMicrosoft365と3大クラウド(AWS、Azure、GCP)に対応しており、各種の設定やアクセス権限の設定などを網羅的に診断・評価します。多くの機能があり理解しにくいクラウドの設定を見える化し、セキュアな環境維持を実現します。
2-3.ランサムウェア対策を強化する態勢評価サービス
ランサムウェア被害の勢いは収まりません。強固なセキュリティ対策を行っているつもりでも、攻撃者の手法は日々変化しており、企業は常にアップデートを続けていかなくてはなりません。
GSXの「ランサムウェア態勢評価サービス」は、企業のランサムウェア対策を客観的に評価します。不正侵入されたあとの被害拡大を防げるか、データを人質にされたときにバックアップからデータを復旧できるか、不正侵入時の有事体制が実際に機能するかといった、3つの視点から企業のランサムウェア態勢を把握できるサービスです。利用することで、自社が抱えているランサムウェア被害に対する課題を明確できます。
ランサムウェア態勢評価サービスを利用する際は、VPN装置の脆弱性を狙った不正侵入などシナリオを絞ることで調査期間の短縮や費用の節約が可能になっています。短期間でランサムウェアに対する課題を明確にできるため、効率的に対策へ取り組めるようになるでしょう。
2-4.従業員のセキュリティ意識を高める攻撃メール訓練
サイバー攻撃被害の原因の9割は、メールによるものだといわれています。つまり、システムなどのセキュリティ対策を強化するだけでなく、従業員のセキュリティ意識の向上が重要になるのです。GSX標的型メール訓練サービス 「トラップメール」は、従業員が遭遇するおそれのあるフィッシング詐欺や標的型攻撃メールに対して適切な行動を取れるよう学べる実践的なトレーニングサービスです。
多くの攻撃メール訓練サービスでは、開封率を重要な指針として計測しています。しかし、実際には標的型攻撃メールを見分けるスキルの習得、開封してしまったときに迅速な連絡ができるようになることが重要です。トラップメールでは開封率だけでなく、開封してしまったあとの教育コンテンツを用意し、従業員のセキュリティ意識向上に貢献することが可能です。さらに、導入企業11,000社のデータをもとに他社と比較し、自社の現在地を客観的に評価できます。訓練を通じて、企業全体のセキュリティ体制を一段上のレベルに引き上げましょう。
3.まとめ セキュリティに手が回らないときこそ、意識向上が重要
忙しすぎてセキュリティ対策が後手になってしまう、そんなときはサイバー攻撃のリスクが高まっているときともいえます。急なサイバー攻撃に対応が遅れ、被害が拡大してしまうおそれがあるのです。
範囲を限定して短期間でも行えるセキュリティ診断を導入するだけでも、課題が明確になり、何を優先的に行えばよいのかがわかるため、その後の計画的なセキュリティ対策の立案が可能になります。あわせて、従業員のセキュリティ意識向上となるメール訓練も実施すれば、企業全体のセキュリティがより強固なものとなるでしょう。この機会にGSXのサービスを活用し、サイバー攻撃に備えてはいかがでしょうか。セキュリティに関する不安、お悩みがあれば、気軽にご相談ください。
関連情報
計画的なサイバーセキュリティへの取り組み方と適切な予算の確保
ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】