ページの先頭です。
ヘッダをスキップして本文へ。

TOPコラムITコンサルタント美咲いずみが行く > 第21回 サイバー攻撃の最新トレンドと対策(1)~サイバー攻撃の手口

第21回 サイバー攻撃の最新トレンドと対策(1)~サイバー攻撃の手口

サイバー攻撃の被害数も被害規模も増大傾向にありますが、その対策への投資は必要不可欠でありながらリターンを生まないため、経営者が率先して指示することが必要となっています。つまりサイバー攻撃対策はもはや経営課題なのです。経営者の指示で現場が対策を実施する、つまり全社で取り組む課題なので、誰もがサイバー攻撃に関するポイントを押さえておく必要があると言えます。


第21回 サイバー攻撃の最新トレンドと対策(1)~サイバー攻撃の手口


CISOとは?

埼玉県にある従業員約280人のEMS(Electronics Manufacturing Service)企業、YMC電子工業(仮名、以下YMC)。同社の顧問ITコンサルタントである美咲いずみ(仮名)は、週はじめのシステム部門の定例ミーティングに参加した後、同社の山田昭(仮名)CIO兼システム部長の相談を受けるという形態のコンサルティングをしている。

進捗報告や課題管理など定期報告の後、山田はため息交じりにこう言った。「実は社長からCISOに任命されてしまってね」

「何ですか? そのCISOって?」と、山田の片腕と自他ともに認める真鍋勇(仮名)課長が即座に反応した。

「“Chief Information Security Officer”の略だよ。日本語にすれば、『最高情報セキュリティ責任者』だ」

ため息交じりだったのと「されてしまった」というネガティブな言い方だったのを見逃さなかった木村美佐子(仮名)主任が質問する。「それが、どうして重荷なんですか?」

「結構面倒くさいんだ、これが。いや企業が社会的責任を果たすうえで必要なことだから『面倒くさい』という言い方は不適切だと思うのだが…」

サイバー攻撃対策はもはや経営課題

この後の山田の話を簡単にまとめるとこうだ。

昨年(2015年)の12月28日、つまり正月休みの直前に経済産業省から「サイバーセキュリティ経営ガイドラインを策定しました」というニュースリリースが発行された。「なんで、こんな年末に」と思いながらも目をとおしたら、こんなことが書いてある。

「サイバー攻撃は増加傾向にあり、その手口は巧妙化しています。(中略)そこで、企業戦略として、ITに対する投資やセキュリティに対する投資等をどの程度行うかなど、経営者による判断が必要となっています」

「経営者による判断が必要」ならば、これは社長に報告すべきだと、経産省のホームページから「サイバーセキュリティ経営ガイドライン Ver 1.0」という32ページのPDFファイルをダウンロードして印刷し、社長に渡しておいた。

年明けになって社長から「とにもかくにもCISOというのを任命しないと始まらないので、昭、おまえがやれ」ということになったのだと言う。

理由は「ほかにいないから」という単純明快で反論のしようがないものだった。ちなみに社長の山田勝は山田CIOの叔父である。気安い口調はそのためだ。

さて「サイバーセキュリティ経営ガイドライン」には、「情報セキュリティ対策を実施するうえでの責任者となる担当幹部(CISO等)に指示すべき「重要10項目」というものがあるのだが、これがどの項目を取っても一筋縄ではいかないことばかりなのだ。

たとえば項目3には次の内容が記載されている。

「経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること」

さらりと書いてあるが、これがどれだけ大変なことか。守るべき資産を特定するためには、当然ながら全資産を洗い出すことを先にしなければならない。どれだけの工数がかかるかを考えるだけで気が遠くなりそうだ。

問題は手間ひまだけではない。セキュリティへの投資は、守りの投資である。被害のことを考えると実施せざるを得ないが、お金をかけてもリターンがない。つまり売り上げや利益にはつながらない。

だからこそ、どこまでやるかを経営者が判断しなければならないのである。そして経営判断のための材料を出すのもCISOの仕事だ。とにかく大変な役割だといえる。

サイバーセキュリティ対策本部設立

運用担当の宮下浩二は、山田の困った様子がついついおかしくなってしまい、ニヤッとしてしまったのだが、こういうときに限って山田と目が合ってしまう。

山田は少し怒気を含んだ声で「宮下くん、笑っているけれど、一番たいへんなのは君なんだぞ」と言う。確かに運用担当の宮下は大変に違いない。

さらに山田は言う。「いや。宮下くん以外は油断しているようだが、そうでなくても人が少ないんだ。全員で協力しあって体制を作らないといけない」

そして、山田は高らかに宣言した。「だから、社長、CISOの私、および君たち情報システム部員全員で『サイバーセキュリティ対策本部』を設立することになった。よろしくお願いします」

「ええ~」全員の声が会議室に響く。

そのとき会議室のドアが開き、咳払いが聞こえた。全員が振り向くと、そこには社長がいたのである。

サイバーセキュリティ勉強会開催

「なぜ社長が…」と驚きを隠せない真鍋がつぶやく。

社長が答えた。「私から説明しよう。『サイバーセキュリティ経営ガイドライン』にこうある。『経営者とセキュリティ担当者、両者をつなぐ仲介者としてのCISO等からなる適切な管理体制の構築』をすること。そこで、経営者である私とCISOの山田CIO、そして君たち『セキュリティ担当者』が一堂に会する時間を作るように、私から指示したのだよ」

山田CIOは無言で頷いている。相談なしに決められたこととはいえ、社長自らが率先して体制に入っているので、情報システム部員も従うしかない。

山田CIOが続ける。「ということで、毎週定例会の後に『サイバーセキュリティ対策本部』の全体会議を実施することになった。まだできたばかりでこのような体制だが、以後ユーザー部門やグループ企業、あるいはパートナー企業からも出席してもらうことになるだろう。とはいえ、我々自身がサイバーセキュリティについて知らないのでは話にならない。そこで美咲いずみさんを講師として『サイバーセキュリティ勉強会』を開催することにした。美咲さん、よろしくお願いします」

サイバー攻撃の主な手口

いずみは簡単に挨拶を済ませると、さっそく本題に入った。

「サイバーセキュリティについて考えるためには、まずサイバー攻撃の手口を知らなければいけません。宮下さん、どんな手口をご存知ですか?」

「えーと。DoS攻撃というのは聞いたことがあります」

「ほかにご存知の方はいますか?」

木村が手を挙げた。「標的型メール攻撃というのを聞いたことがあるわ」

「僕は身代金ウイルスというのを聞いたことがあります」運用委託先である伊達システムズ(仮名)からの常駐要員である高橋正弘(仮名)が発言した。

「いろいろ出てきましたね。サイバー攻撃の手口は日々新しく開発されていますが、いくつか典型的なパターンがあります。それを見ていくことにしましょう」といずみは言い、ホワイトボードに以下のとおり書き込んだ。

  • プログラムのぜい弱性につけこむ
    ・ バッファーオーバーフロー
    ・ DNSキャッシュポイズニング(カミンスキー攻撃)
    ・ Webサイトの改ざん
    ・ DoS、DDoS攻撃
  • 巧妙な手口でだます
    ・ 水飲み場型攻撃
    ・ 標的型メール攻撃
    ・ ランサムウェア(身代金ウイルス)

「大きく2つ、プログラムのぜい弱性につけこむ方法と、巧妙な手口でだます方法に分けることができます。ただし、明確に分けられるわけではありません。しいて言えばこのように分けられるということです。
代表的な手口としてはまず7つを知っておけばいいでしょう。昔からある攻撃法が『改良』されて今に至っているものもあります。もちろん、私たちから見れば『改悪』ですけれど。これぐらいのパターンを知っておけば、どのような対策が必要か見えてくると思います」

「私にも分かるように頼むよ」と山田社長がリクエストすると、いずみはニッコリ笑って「もちろんです」と答えた。

まとめ

  • 情報セキュリティ対策はいまや経営課題となり、CISO(最高情報セキュリティ責任者)という役職が必要とされるようになった
  • 情報セキュリティ投資は守りの投資であり、リターンが期待できないものである。だからこそ、経営者がどこまでやるのかを決める必要がある
  • 情報セキュリティ対策は、経営者、CISO、およびセキュリティ担当者で体制を作って進めていく必要がある
  • サイバー攻撃の手口は日々新しくなっているが、まず押さえておくべき基本的なパターンは7つであり、これらを知ることで必要な対策がある程度見えてくる

いずみの目

経済産業省が「サイバーセキュリティ経営ガイドライン」を策定した背景には、近年のサイバー攻撃被害の増加と被害規模の大型化に対する危機感があります。これは全世界的な現象ですが、諸外国では6割近くの企業がセキュリティ対策に経営幹部が参画しているのに対して、日本ではわずか27%に過ぎません(「サイバーセキュリティ経営ガイドライン v1.0」)。多くの経営者に「サイバーセキュリティ経営ガイドライン」の内容を知っていただく必要があります。そこで、「サイバーセキュリティ経営ガイドライン」を読み物風に分かりやすくまとめた資料を作成しました。ぜひご活用ください。

お役立ち資料:「サイバーセキュリティ経営」とは(上)

[ITブレークスルー代表 森川 滋之 記]

* この物語は、筆者の見解をもとに構成されています。
  日立システムズの公式見解を示すものではありません。
* 文章中に記載された社名および製品名は各社の商標または登録商標です。

▲画面トップへ戻る

オープンクラウドマーケットプレースでは、セキュリティに関する商品をご用意しております。
条件検索機能より「セキュリティ」に関する商品を検索いただけます。
条件検索画面はこちら


【前回】第20回 進化する運用管理ツール(3)~運用管理ツール、仮想化・クラウド対応
【次回】第22回 サイバー攻撃の最新トレンドと対策(2)~プログラムのぜい弱性につけこむ
ITコンサルタント美咲いずみが行く

資料請求・お問い合わせはこちらから

お問い合わせ

利用開始までの流れ

詳しくはこちらから。

利用開始までの流れはこちら