「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
今だから再認識したいセキュリティの原則 彼を知り、己を知る
2021-07-06
今回は、サイバーセキュリティ対策を考える上で、その脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
「彼を知り、己を知る」
孫子に、「彼(敵)を知り己を知れば百戦殆(あや)うからず」という教えがあります。これは、相手を理解し、自分の弱点をよく知っていれば、負けることはないという意味です。セキュリティ対策にも似たところがあります。以前、セキュリティ対策を考える際は、脅威と脆弱性を同時に考慮することが重要と解説しました。これは、この孫子と同じ考え方だと思います。では、順を追って説明します。
脅威を知るということは、彼(敵)を知るということ
脅威とはリスクを発生させる要因のことで、損害につながる要因と言い換えることができます。また、脅威とは組織の外にあるリスクの要因であり、情報セキュリティの分野においては、発生原因に応じて(1)環境、(2)ミス、(3)故意の3つに分けて整理することがあります。これにより対策を検討しやすくなります。
では、これらに起因した脅威シナリオを考えてみましょう。
(1)環境 落雷の過電流によるコンピュータの故障、地震で電源を喪失したことによるシステム停止、洪水でサーバーが浸水したことによるハードの故障、火災によるサーバー焼失
(2)ミス 作業ミスによるデータの消去、設定ミスによる重要データの外部への暴露、プログラム忘れによるシステム破壊
(3)故意 管理者権限のある内部者による重要データの持ち出し、設定ミスを利用して管理者権限を取得した外部者による重要データの破壊、OSの脆弱性をついて管理者権限を取得した内部者による重要システムのプログラム改変
このような脅威シナリオが発現しないよう、対策を立てることが求められます。対策ができていないところが弱点、すなわち脆弱性であり、リスクなどを踏まえて対処することが必要です。
脆弱性を知るということは己を知るということ
脅威に対する自らの弱点、つまり脆弱性を知るためには、自らをよく理解することが必要です。そして、脅威に対する脆弱性を無くすことがセキュリティ対策といえます。自らをよく見ることが、自らの弱点を無くしていくことにつながるのです。
セキュリティ対策を検討するにあたっては、情報セキュリティマネジメントの国際標準であるISO/IEC 27001や、米国のサイバーセキュリティフレームワークといった標準的なセキュリティ管理基準などと比較することでその網羅性を確認したり、脆弱性テストや擬似ハッキングを行うことで対策の実効性を調べたりすることが有効です。これにより、自らの脆弱性をより深く理解することができます。
サイバーインシデントを想定した訓練で対策の実効性を確認したり、内部監査の過程を通じて管理体制の課題を把握したりすることもできますが、これらも広い意味では脆弱性を理解するための行為と言えます。
高まる外部からの脅威
インターネットが普及する1990年代前半以前は、故意による脅威の中心は内部者、そして物理的に侵入する外部者によるものでした(もちろん電話回線経由のハッキングの可能性もありました)。
しかしインターネットが普及した現在、その脅威の中心は内部者とインターネット経由で侵入する外部者となりました。特にインターネット経由で侵入する外部者の脅威は、その他の脅威と比べても歴史が浅いうえ、技術的な変化も速く、迅速な対応が重要になっています。
外部者による攻撃への備え
インターネットの「向こう側」にいる攻撃者は、こちらからは物理的に姿が見えず、誰が、なぜ攻撃をしてきているかを知ることは容易ではありません。攻撃の意図がわからなければ、どのような資産を重点的に守るべきかを見極めることは困難です。
また、誰が攻撃をしてくるかがわからなければ、どのような手法で攻撃を仕掛けてくるのかも判断しにくく、効率的な「守り」を考えることが難しくなります。
したがって、誰が、どのような意図を持って攻撃しようとしているのかを知ることが、外部者による攻撃への備えとして重要となります。
世界中にはさまざまな意図を持った攻撃者がいるため、それらを全て把握することは不可能です。このため、現実的には自社の組織と関係がありそうな攻撃者と、その意図を理解しようとすることが重要です。
そのためには何が必要でしょうか。
例えば、特定の国家が背景に存在するとみられる攻撃者であれば、国際政治情勢を理解しなければなりません。また、ベンダーなどが公表している脅威に関する情報から、どのような攻撃者がどのような手法で攻撃をしているかを学び、自社への攻撃の可能性や守りの状況などを確認することも重要です。
これまでは自らの脆弱性を理解し、そこに対応することでセキュリティ対策は一通り成立していたのかもしれません。しかし、外部攻撃者の脅威がますます強まってくる状況下においては、攻撃者とその意図を知る、つまり「彼を知る」ことがますます重要になってきます。
このように「彼を知る」ための対策として、近年注目を集めているのが「サイバーインテリジェンス」です。PwCコンサルティングでは、マクロ環境、攻撃者動向、組織のビジネス特性という3つの観点からサイバー脅威の全体像を捉え、顕在化前の脅威を読み解き、先回りのアクティブ防御を実現するサイバーインテリジェンスサービスの提供が始まります。本サービスを通じ、私たちもセキュリティ対策の高度化支援により一層励みたいと思います。
今だから再認識したいセキュリティの原則
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
セミナー
4 results
Loading...
Digital Trust Forum 2025
PwC Japanグループは、5月19日(月)より表題のセミナーをオンデマンド配信します。
Digital Identity Forum 2025
PwC Japanグループは、2025年2月26日(水)に開催した本セミナーを、3月31日(月)よりオンデマンドで配信します。
【セミナー】プライバシー保護対応におけるOneTrustの利活用
PwCコンサルティング合同会社は1月27日(月)より、表題のセミナーをオンデマンド配信します。
【セミナー】サプライチェーン・デジタルリスク -サイバー攻撃やデジタル法規制に迅速に対応するレジリエントなサプライチェーンの構築-
PwCコンサルティング合同会社は10月29日(火)より、表題のセミナーをオンデマンド配信します。
Loading...
