ITトレンド記事 コラム
IPAの「情報セキュリティ10大脅威 2024」から読み解く
セキュリティ対策の肝とは?(前編)
フリーライター 吉村哲樹
長年同じ脅威がランクインし続けている
「10大脅威」
2024年1月、IPA(独立行政法人 情報処理推進機構)から「情報セキュリティ10大脅威 2024」というレポートが発表されました。このレポートは毎年1回、過去1年間に発生した情報セキュリティインシデントの中から、特に社会的に大きな影響を与えたものを「個人向け脅威」と「組織向け脅威」に分けて、それぞれ10個選び出して公表しているものです。
詳しい内容は「情報セキュリティ10大脅威 2024」(https://www.ipa.go.jp/security/10threats/10threats2024.html)から参照できますので、業務上サイバーセキュリティに携わっている方はぜひ一度目を通して、最新の脅威トレンドをおさらいしておくことを強くお勧めします。
なお「組織向け脅威」の直近数年間のランキングを見てみると、上位の顔ぶれがさほど変わっていないことに気付きます。2024年に1位となった「ランサムウェアによる被害」は、2016年に初めて選出されて以降、9年連続で選ばれています。3位の「内部不正による情報漏えい等の被害」と4位の「標的型攻撃による機密情報の窃取」も、同じく2016年から9年連続で選出されています。
ちなみに2位の「サプライチェーンの弱点を悪用した攻撃」も、初めて選出されたのは2019年でしたが、やはりそれ以降は6年連続で選ばれています。
攻撃側と防御側の間で絶えることがない
「いたちごっこ」
これらのサイバー脅威の被害が相次いでいることは、マスコミの報道などを通じて多くの人が知るところであり、企業・組織も当然のことながらさまざまな手を講じて対策を強化してきました。にもかかわらず、10年近くにも渡って同じ脅威が「10大脅威」にランクインし続けているのは、一体どういうことなのでしょうか?
サイバー攻撃を仕掛ける側の手口は絶えず進化を遂げているため、守る側が最新のセキュリティ技術を導入して対策を講じても、すぐにそれを回避する新たな手口が考案されます。こうした「いたちごっこ」が絶えず繰り広げられているため、なかなか被害が減らないという実態があります。
特に2021年からずっと10大脅威の1位の座をキープしているランサムウェア攻撃などは、攻撃側から見ると比較的手間を掛けずに多大なリターンが得られる「コスパのいい」攻撃手法だと見なされているため、ある手口が攻略されてもすぐに新しい手口が考案されるという、「いたちごっこ」が長年に渡り続いているのが実情です。
大企業だけでなく中小企業も
攻撃のターゲットに
攻撃側が狙う標的の範囲が広がっていることも、被害がなかなか減らない一因になっています。例えば10大脅威の4位に挙げられている標的型攻撃は、かつては高い価値を持つ情報資産を大量に保有する大企業を直接のターゲットにするケースが大半でした。しかし近年では多くの大企業が情報セキュリティ投資を増やして対策を強化しているため、大企業のシステムに直接侵入するのはかなり難しくなってきました。
そこで攻撃者側は大企業を直接攻撃する代わりに、その企業と深い関係がある関連企業や取引先企業などに攻撃対象を広げるようになりました。こうした企業の中には規模が小さく、よって大企業ほどセキュリティ対策に力を入れられていないところも少なくありません。
攻撃者は、そうした"手薄"なターゲットを狙ってまずは侵入し、そこを足掛かりにして本丸の大企業に侵入するという手口を多用するようになっています。こうした攻撃手法は「サプライチェーン攻撃」と呼ばれており、既に紹介した通り10大脅威でも2位に挙げられています。
またこのようにターゲットを絞り込んだ攻撃手法だけではなく、不特定多数にフィッシングメールをばら撒き、その中から感染に成功した対象に攻撃を仕掛ける「ばらまき型攻撃」も多用されるようになりました。特に最近のランサムウェア攻撃の事例を見ると、ばら撒き型の不正メールがきっかけで初期感染してしまうケースが目立ちます。こうした不特定多数を狙った攻撃では、当然のことながら大企業も中小企業も等しくターゲットになります。
事実、警察庁が2024年3月に発表したレポート「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェア被害に遭った企業のうち52%は中小企業で占められているとのことです。未だに多くの中小企業の経営者が「うちのような小さな会社がサイバー攻撃を受けるわけがない」と思い込んでいるようですが、こうした認識が誤りであることは各種統計データからも明らかです。
セキュリティ製品の導入は必要だがそれだけでは……
こうした攻撃の被害を防ぐためには、それ相応の対策を講じる必要があります。まずはファイアウォールやアンチウイルスソフト、UTMといった基本的なセキュリティ対策を導入しておくことが重要です。これらは主に、外部からサイバー攻撃を仕掛けられた際にそれを検知し、マルウェア感染を事前に防いでくれます。
ただしこれらの対策を導入しても、近年のサイバー攻撃の手口は極めて高度化・巧妙化しているため、今日ではマルウェアの感染を100%完璧に防ぐのは事実上不可能だとされています。そのため、あらかじめマルウェアに感染してしまうことを想定し、サーバやPC、ネットワークの状態を常時監視して不正プログラムの活動に目を光らせておくことも重要です。
具体的には、サーバやPCなどエンドポイント端末上の脅威を監視するEDR(Endpoint Detection and Response)や、ネットワーク上の脅威を監視するNDR(Network Detection and Response)といったセキュリティ製品の導入が有効であるとされ、実際にこれらを導入する企業も増えています。ではこうしたセキュリティ製品を導入すれば、ランサムウェアや標的型攻撃、サプライチェーン攻撃などのリスクを確実に排除できるのでしょうか? 残念ながら、答えは"否"です。
セキュリティ製品を導入した後の「運用」こそが、最も重要
もちろん実効性のあるセキュリティ対策を実現するためには、こうしたセキュリティ製品の存在は不可欠です。ただしツールを導入する"だけ"では、その導入効果は発揮されません。
一般的な業務システムやITツールは、導入作業が完了すればあとはユーザーに使ってもらうだけです。従って導入プロジェクトがカットオーバーした時点で、ひとまずは目的を達成したと言えるでしょう。しかしことセキュリティ分野に関して言えば、ツールの導入は「ようやくスタート地点に立てた」ことを意味しているに過ぎません。
サイバーセキュリティの世界では新たな脅威が日々出現しています。導入した製品がそれらにきちんと対応できるよう、こまめにメンテナンスする必要があります。最も分かりやすい例がアンチウイルスソフトのシグネチャファイルの更新作業ですが、その他のセキュリティ製品に関しても同様に、常に最新の脅威情報を反映させておかないと十分に効力を発揮できません。
また脅威を高精度に検知できる製品ほど、数多くのアラートを管理者に通知します。これらのアラートの内容をきちんと読み解き、適切な対応を迅速にとることで被害を未然に防ぐことができるのですが、裏を返せばこうした日々の運用作業を怠れば、せっかく高価なツールを導入しても「宝の持ち腐れ」になってしまうということです。
加えて言うと、たとえ最新の製品を導入していても、その設定が不適切だったり、そもそもツールのインストールを忘れてしまった端末が少しでも存在していると、そこがセキュリティ上の脆弱性となり攻撃者に狙われることになってしまいます。従ってそうした脆弱性が自社の環境に残存していないかどうか、常に目を光らせておく必要もあります。
基本的なセキュリティ運用の徹底で大半の脅威は防げる
このように、たとえ最新のセキュリティ製品をたくさん導入しても、その運用を怠っていてはまったく導入効果が発揮されません。極端に言えば、必ずしも高価な製品を導入せずとも、OSやアプリケーションのセキュリティパッチ適用を徹底したり、攻撃者に狙われそうな脆弱性が自社環境内に残存していないか定期的にチェックするなど、日々の基本的なセキュリティ運用を愚直に回し続けることで、冒頭で紹介した「10大脅威」で挙げられているような脅威の大半は防ぐことができます。
裏を返せば、セキュリティ製品を導入したことで安心してしまい、その後の運用を疎かにしている企業が多いことが、ランサムウェアや標的型攻撃、サプライチェーン攻撃などの被害が一向に減らない一因だとも考えられます。特に中堅・中小企業では自社内にセキュリティ専任の人材をなかなか確保できないため、大企業と比べて運用が疎かになりがちな傾向があるようです。
従って新たなセキュリティ製品の導入を検討する前に、まずは「基本的な対策がきちんとできているか」「既存製品をきちんと運用できているか」といった点をしっかり見直してみることをお勧めします。
なお後編では、10大脅威で挙げられているその他の脅威について、特に「人の脆弱性」に着目しながらその傾向と対策について考察してみたいと思います。
(第2回に続く)
東芝ITサービスでは、ネットワークセキュリティ製品の設計・構築から運用・保守に至るまですべてのフェーズの支援をワンストップで提供する「ネットワークセキュリティ ワンストップサービス」を提供しています。
- ネットワークセキュリティ ワンストップサービス(Fortinet FortiGateシリーズ)
- ネットワークセキュリティ ワンストップサービス(Palo Alto Networks 次世代ファイアウォール)
また、企業のセキュリティ対策の現状を可視化する「統合セキュリティ診断サービス」も提供しています。
これらのほかにも、企業のセキュリティ運用を強力に支援する各種サービスを取り揃えていますので、興味をお持ちの方はぜひ気軽にお問合せください。