現在、「不確実性の時代(VUCA)」という言葉が示すとおり、将来の先行きが見え難く変化の激しい社会を迎えています。この影響は、現実社会に留まらずサイバー空間においてもさまざまなリスクを生み出しており、ときにはインシデントという形で顕在化しています。
このようなリスクの高まりに応じて、企業のセキュリティ投資も増加の一途をたどっています。限りある経営資源の中で投資対効果の高いセキュリティ対策を実現するためには、サイバーインテリジェンスの活用は欠かすことのできないテーマとなります。
本レポートでは前回調査で提唱した「機先を制するセキュリティ」から歩を進め、サイバーインテリジェンスをいかに企業のセキュリティ戦略に統合すべきかを考察します。
これらの調査結果から得られる示唆が、日本の企業の皆さまの効果的なセキュリティ対策を講じるための一助となれば幸いです。
2023年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。
ランサムウェアの流行に伴って、従来のサイバークライムへの回帰も発生している中、サイバークライムにより金銭的要求をされた場合の対応について、各企業がどのように考えているかについて質問したところ、「対応方針が決まっていない」(61.5%)が最も多い回答となりました。
ランサムウェアによる金銭的要求には対応しないことがスタンダードとなっている中で、より広いサイバークライムという単位にはまだ意識が向けられていないことが読み取れます。
サイバークライムがこのまま増加すれば、今後、ランサムウェアの対応と同様に金銭的要求をされた場合の対応方針の検討が必要となるでしょう。
業界ごとに、当該業界を標的とする脅威アクター数を集計すると、中国を拠点とする脅威アクターでは、テクノロジー、政府、航空宇宙、防衛、教育(学術界)が上位に入る一方で、北朝鮮を拠点とする脅威アクターでは、資産管理や金融サービス業界が上位に入るのが特徴だと言えます。
これらの業界を事業領域に含む日本の組織は、中国および北朝鮮を拠点とする脅威アクターによる攻撃を脅威シナリオとして想定すべきです。
また、脅威シナリオへの対策は、変更がより困難なTTPs に基づいて実施することが合理的です。米国の非営利団体が作成している攻撃者の戦術・手法に関するナレッジベースATT&CKでは攻撃手法ごとに回避策、検出方法、およびそのデータソースが整理されているので活用を検討するのがよいでしょう。
ひとえに「サプライチェーンを悪用した攻撃」といっても、その形態は多岐にわたり、以下のような事例が確認されています。
①外部委託先の従業員による不正
②外部接続されたシステムを介した不正アクセス
③SaaSなどの外部プラットフォームの侵害
④調達ソフトウェア・システムへの不正コードの混入
⑤自社で利用しているサードパーティソフトウェアの脆弱性を狙った攻撃
こうした攻撃の中でも近年特に注目を集めているのが上記③~⑤に相当するソフトウェアのサプライチェーンに関する脅威です。
一般的にセキュリティ人材には、幅広いITセキュリティ知識とリスク管理能力、豊富なインシデント対応の経験、経営者とのコミュニケーション能力などが求められます。このように高度なスキルや能力を持ち合わせるセ
キュリティ人材は獲得が容易ではありませんが、組織が人材の獲得競争において優位な立場を取らなければ、セキュリティ施策の推進が困難になり、レジリエンスを高めることが難しくなるため、早急な対策が必要です。
「サイバーインテリジェンス」とは、自組織に発生し得る脅威を予測し、脅威が発生した際に対応できるよう備える活動を指します。これを実現するためには、セキュリティ対策に脅威アクターのプロファイルを活用する「脅威インテリジェンス」と呼ばれる取り組みが重要となります。
一方で、サイバーインテリジェンスはこうした技術的観点(Technology)に留まらず、組織がどのようなセキュリティ戦略を採用・実施すべきかといった戦略的観点(Strategy)、セキュリティ運用の設計やその改善・高度化に関する運用観点(Operations)が包含されます。
企業はこうしたインテリジェンスを活用し、インシデントが発生した場合であっても被害を極小化・最小化し、しなやかにシステムを回復させてレジリエンスを向上させなければなりません。そのために必要なのが、「組織におけるCyber IQの向上」です。次の図は、過去のセキュリティ戦略とCyber IQの高い組織の戦略立案を比較した表です。
Cyber IQの高い企業は、戦略インプットにサイバーインテリジェンスを活用しています。自社が属する業界に対し、「どのような攻撃グループが」「どのような攻撃手法を用いて」「どのような攻撃キャンペーン(作戦活動)を展開するのか」を分析しながら、ダイナミックなセキュリティ対策を考えて、最も費用対効果の高い対策を導出しているのです。
組織のCyber IQを高めるためには、サイバーインテリジェンスの活用とセキュリティ管理体制をタイムリーに照合することが求められます。そのアプローチはPDFをご参照ください。
