サイバーセキュリティとは？

サイバーセキュリティは、ビジネス課題として取締役会で長年にわたり提起されていますが、説明責任については依然としてITリーダーが主に担っているのが現状です。

ガートナーの2022年取締役サーベイでは、取締役の88%がサイバーセキュリティをビジネス・リスクとして捉えており、テクノロジ・リスクと捉えている取締役はわずか12%でした。しかし、2021年の調査によれば、CIO、CISO (最高情報セキュリティ責任者)、またはこれらと同等の役職がサイバーセキュリティに関する説明責任を担っているという組織は、85%に達していました。

今やデジタル情報／テクノロジが日常業務に深く浸透していることから、組織はサイバー脅威に対して極めて脆弱になってきています。一方で、攻撃そのものは、情報と重要インフラを標的とし、極めて高度になりつつあります。

サイバーリスクの高いインシデントが起こると、組織の運営、財務、評判、戦略に影響が及び、そのすべてに多大なコストがかかる可能性があります。こうした中、既存の対策では十分な効果が得られなくなってきており、大半の組織がサイバーセキュリティ対策を強化する必要があると考えられます。 

ロシアのウクライナ侵攻は、軍事的および破壊的なマルウェア攻撃によって特徴づけられています。侵攻が拡大するにつれ、重要インフラへの攻撃の脅威、そして致命的な機能停止の可能性が高まっています。どの組織も無関係ではいられません。

多くの組織は、すでにセキュリティ上のさまざまな問題に直面していますが、今、特に重要なのは、自社向けにカスタマイズされた脅威情報を活用し、政府関係者から、対応できない可能性のある攻撃にどのように備えるべきかのガイダンスを得ることです。

ロシアのウクライナ侵攻への対応について経営幹部が戦略を練る際には、サイバーセキュリティの計画を優先してください。例えば、コントロール可能な課題に集中し、インシデント対応計画が最新のものであることを確認します。潜在的な脅威の増加を検出し、防御するために意識と警戒を高めます。それと同時に組織が感じているストレスとプレッシャーが増していることも意識しましょう。これらの威力による人為的なミスは、実際のサイバー攻撃よりも大きな影響を組織に与える可能性があるからです。

重要インフラの分野には、エネルギー生産と送電、上下水道、ヘルスケア、食品と農業が含まれます。多くの国では、重要インフラは国有であるが、米国のように民間企業がその大部分を所有し運営している国もあります。

こういった重要インフラの分野は、現代社会が適切に機能するために不可欠であるだけでなく、相互に依存しており、あるひとつの分野へのサイバー攻撃は他の分野に直接影響を与える可能性があります。攻撃者は、サイバー・フィジカル・システム（CPS）に対する攻撃を展開することを選択するようになってきています。

ロシアがウクライナに侵攻する以前から、そのリスクは非常に現実的なものでした。重要インフラ分野の組織へのサイバーセキュリティ攻撃は、2013年の10件未満から2020年には約400件に増え、3,900%の増加となっています。そのため、世界中の政府がミッション・クリティカルなCPSに対してより多くのセキュリティ管理を義務付けているのは驚くべきことではありません。

ロシアのウクライナ侵攻は、すべての組織にとってサイバー攻撃の脅威を増大させます。重要インフラに対する新たなセキュリティ勧告もガバナンスに取り込みながら、全体的かつ協調的なCPSセキュリティ戦略を策定する必要があります。例えば、米国の「National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems」では、電力と天然ガスのパイプライン部門を最優先とし、次いで上下水道、化学部門を優先対象としています。

問題の本質は、今日のサイバー攻撃のスピードと複雑さに対抗するには、従来のネットワーク中心のポイント・ソリューション型のセキュリティ・ツールではもはや不十分であることです。特に、産業界のオペレーション（産業用機械）を接続、監視、保護するオペレーショナル・テクノロジ (OT) が、組織のインフォメーション・テクノロジ（IT）を処理するテクノロジ・バックボーンと融合し続けているため、このような状況が生じているのです。

組織内で使用されている OT/IoT（Internet of Things: モノのインターネット）セキュリティ・ソリューションの完全なインベントリを作成しましょう。また、スタンドアロンまたは多機能プラットフォーム・ベースのセキュリティ・オプションの評価を行い、CPSセキュリティ・スタックの収束をさらに加速させることが重要です。

最も一般的かつ注目すべきサイバーセキュリティ攻撃には以下のようなものがあります。

• フィッシングやソーシャル・エンジニアリングを利用した攻撃
  攻撃者が、適切なアクセス権を持つ正規ユーザーを騙して、権限のないユーザーでも入り込めるよう操作させ、情報やデータの外部転送 (データ流出) を誘導する攻撃です。
• インターネット接続サービスのリスク (クラウド・サービスを含む)
  企業、パートナー、ベンダーが、クラウド・サービスをはじめとするインターネット接続サービスを既知の脅威から適切に保護できていないこと (構成管理ミスなど) が原因で生じる脅威です。
• パスワード関連のアカウント不正利用
  権限のないユーザーが、ソフトウェアなどのハッキング手法を用いて、よく使われるパスワードや再利用されているパスワードを特定し、それを悪用して機密システム／データ／資産にアクセスする攻撃です。
• 情報の誤用
  権限のあるユーザーが、正当なアクセス権のある情報やデータを過失または故意により広めたり、またはその他の方法で誤用したりすることです。
• ネットワーク関連／中間者攻撃
  組織のファイアウォール内外でメッセージを暗号化しなかったために、攻撃者によって、セキュリティ保護されていないネットワーク・トラフィックの盗聴や、トラフィックのリダイレクト／中断が可能になることです。
• サプライチェーン攻撃
  パートナー、ベンダー、その他のサードパーティの資産やシステム (またはコード) によって侵害される攻撃です。企業システムへの攻撃や情報流出のきっかけとなります。
• DoS (サービス妨害) 攻撃
  攻撃者が企業システムに過剰な負荷をかけ、一時的なシャットダウンやスローダウンを引き起こす攻撃です。DDoS (分散型DoS) 攻撃もシステムに過剰な負荷をかけるフラッド型攻撃ですが、デバイスのネットワークを利用する点が異なります (「DDos攻撃とは何か」も参照してください)。
• ランサムウェア
  組織のシステムに感染する不正なソフトウェアであり、身代金が攻撃者に支払われるまで、暗号化されたデータやシステムへのアクセスを制限します。身代金を支払わないとデータを流出させると脅す攻撃者もいます。

DDoS攻撃とは、サイバー攻撃者がデバイスのネットワークを利用して、企業システムに過剰な負荷をかける攻撃のことです。この形態のサイバー攻撃はサービスをシャットダウンさせることが可能ですが、実際のところ、ほとんどの攻撃は、サービスを完全に中断させるのではなく、混乱を引き起こすよう設計されています。

現在、何千件ものDDoS攻撃が毎日報告されていますが、その大半は、通常業務の中で軽減されており、特別な注意を払う必要はありません。しかし、サイバー攻撃者は攻撃範囲を拡大することができ、DDoS攻撃は複雑さ、量、頻度において増大し続けています。そのため、小規模な企業であっても、ネットワーク・セキュリティに対する脅威が高まっています。

また、アプリケーションを直接狙うDDos攻撃も増えています。したがって、このタイプの脅威に対して有効かつ費用対効果の高い防御策を講じるには、以下のような多層的なアプローチが必要になります。

• 内部：ファイアウォールの内側にある企業ネットワーク内部での防御
• エッジ：オンプレミスのソリューション (企業のファイアウォールやエッジ・ルーターの上または外側にある物理デバイス)
• 外部／クラウド・プロバイダー：インターネット・サービス・プロバイダー (ISP) など外部に対する防御
• 人とプロセス：インシデント対応や軽減策のほか、攻撃を阻止するために必要なスキルセットの強化

DDoSの軽減には、他のタイプのサイバー攻撃に対する防御策とは異なるスキルが要求されるため、ほとんどの組織はサードパーティのソリューションによる機能強化が必要になります。

IT／情報システムのさまざまなコントロール領域を用いて、サイバー攻撃に対して技術的な防御ラインを形成します。これには以下のものがあります。

• ネットワークと境界のセキュリティ
  ネットワーク境界とは、組織のイントラネットと外部／一般向けインターネットの境界を定めるものです。脆弱性があると、攻撃者がインターネットを利用し、それに接続されているリソースを攻撃するリスクが生じます。
• エンドポイント・セキュリティ
  エンドポイントとは、ノートPC、携帯電話、サーバなど、ネットワークに接続されたデバイスのことです。エンドポイント・セキュリティは、こうした資産、ひいては資産に接続されたデータ／情報／資産を、悪意ある攻撃者や一連の攻撃から保護します。
• アプリケーション・セキュリティ
  クラウド・ベースと従来型の両方のアプリケーション内にあるデータやコードを、アプリケーションのデプロイ前後に保護します。
•  データ・セキュリティ
  転送中または保管中の機密情報資産を保護するためのプロセスと関連ツールで構成されます。データ・セキュリティの手法としては、機密データを確実に消去するための暗号化や、データのバックアップなどがあります。
• アイデンティティ／アクセス管理 (IAM)
  適切な個人が適切な時間に適切な理由で適切なリソースにアクセスできるようにします。
• ゼロトラスト・アーキテクチャ
  絶対的な信頼 (「セキュリティ境界の内側にいるユーザーは信頼できる」) を排除し、代わりに、適応性の高い明示的な信頼 (「セキュリティ・スイートが機能している企業のノートPCから、多要素認証を用いて認証されているユーザーは信頼できる」) を取り入れます。

サイバー攻撃に対する防御ラインは、テクノロジ・コントロールだけではありません。先進的な組織は、自組織のサイバーリスク文化と関連部門の成熟度を厳密に調べ、サイバー防御策を拡大しています。これには、従業員の意識向上と安全な行動の確立が含まれます。

一言で言えば、適切なコントロールの欠如が原因です。100%安全な組織は存在しません。組織は脅威や悪質な攻撃者をコントロールすることはできません。組織がコントロールできるのは、セキュリティ対策における優先事項と投資だけです。

ITコントロールとサイバー防御策に対して、いつ、どこで、どのように投資すべきかを意思決定するには、人、プロセス、テクノロジのセキュリティ能力をベンチマークで評価し、不足している点と、目標とすべき優先事項を明らかにする必要があります。

特に、サイバーセキュリティ・リスクには人的要素が深く関わってきます。サイバー犯罪者はソーシャル・エンジニアリングの専門家となり、従業員を騙して不正なリンクをクリックさせるために、ますます高度化した手法を使用するようになっています。こうした攻撃への防御力を向上させるために、従業員に情報とノウハウを確実に身に付けさせることが重要となります。

主に以下のように、サイバーセキュリティの未来は想定され、環境そのものが進化しつつあります。。

• ネットワーク、インフラストラクチャ、アーキテクチャが複雑化し、サイバー攻撃の標的となり得る接続の数や種類が増えています。
• 脅威が高度化し、脅威の検出が十分にできないため、増え続ける情報セキュリティのコントロール、要件、脅威を把握し続けることが困難になっています。
• サードパーティの脆弱性は、今後も続くと思われます。なぜなら、組織はサードパーティに対して、最低限かつ堅牢なコントロールを確立するのに苦心し続けているためです。特に、大半のベンダー (とりわけクラウド・ベンダー) が、自らサードパーティ (当該組織にとってはフォースパーティなどに相当) に依存している点も大きな要因です。
• サイバーセキュリティの負債は、かつてないレベルにまで膨らんでいます。セキュリティ問題に対処する前に、パブリック・クラウドをベースにした新しいデジタル・イニシアティブが導入されることが多いためです。
• サイバー・フィジカル・システムは、センシング、計算、コントロール、ネットワーキング、アナリティクスを全体的に調和することで、物理世界 (人間を含む) と相互作用するように設計されています。スマート・ビルディングのように、デジタル世界と物理世界をつなぐことで、脆弱性が潜む独自の領域が生じ、それが拡大していきます。

サイバーセキュリティは、ほかの多くの企業リスクと相互に関連しており、脅威やテクノロジは急速に進化しています。こうした状況を考慮すると、複数のステークホルダーが協力して、適切なレベルのセキュリティを確保し、盲点が生じないようにする必要があります。しかし、サイバーセキュリティはビジネス・リスクであるという認識が広がっているにもかかわらず、サイバーセキュリティに関する説明責任については、依然として主にITリーダーが担っています。

2021年にガートナーが実施した調査によれば、CIO、CISO、またはこれらと同等職がサイバーセキュリティに関する説明責任を担っている組織は、85%に達しています。IT部門以外の上級管理職が説明責任を担っているのは、調査対象組織のわずか10%であり、取締役会レベルで専任のサイバーセキュリティ委員会を設置している組織も12%に過ぎません。

十分なセキュリティを確保するために、CIOは取締役会と協力して、企業のセキュリティに影響を及ぼすビジネス上の意思決定を下す全ステークホルダーが、責任、説明責任、ガバナンスを共有できるようにする必要があります。

現在使用されているサイバーセキュリティ指標のほとんどは、組織がコントロールできない要素の遅行指標です (「先週受けた攻撃回数」など)。それよりも、サイバーセキュリティ・プログラムの信頼性と防御力を証明する、具体的な成果に関連した指標を重視すべきです。

2024年までに、サイバーセキュリティ侵害の発生後に規制当局が課す罰金額の80%は、侵害の影響ではなく、注意義務を果たしたことを証明できないことに起因すると、ガートナーは予測しています。

ガートナーでは、成果指向の評価指標 (ODM) から、以下の「CARE」モデルを提唱しています。

サイバーセキュリティに投じる金額には、保護レベルは反映されません。また、他社がサイバーセキュリティに投じる金額が分かっても、それで自社と他社の保護レベルが比較できるわけでもありません。

リスク／セキュリティ対策を金額で表したもの (「リスクは500万ドル相当か、5,000万ドル相当か」など) の大半は、信頼性も防御性もありません。また、信頼性がある場合でも、セキュリティにおける優先事項や投資に関する日々の意思決定をサポートするものではありません。

サイバーセキュリティの優先事項と投資に関する効果的なガバナンスを実現するには、評価指標 (ODM: Outcome-Driven Metrics)を使用すべきです。ODMは、脅威タイプごとに投資を測定／報告したり、投資に影響を及ぼしたりするものではありません。ランサムウェア、攻撃、ハッキングに対処するために、支出を調整することはできません。むしろ、そうした脅威に対処するためのコントロールに合わせて投資を調整すべきです。

例えば、組織はランサムウェア攻撃を受けるかどうかをコントロールすることはできませんが、バックアップ／リストア、事業継続、フィッシング詐欺トレーニングという3つの重要なコントロールに合わせて投資を調整することは可能です。これら3つのコントロールに関するODMは、組織がランサムウェアからどの程度保護されているか、またそのレベルの保護にどの程度のコストがかかるかというビジネス・ベースの分析を反映したものです。ビジネス・ベースの分析により、取締役会やその他の上級リーダーに説得力のあるストーリーを伝えることができます。

コントロールでは、組織を保護するために所有／管理／配備している人、プロセス、テクノロジを組み合わせることがあります。各コントロールについて、コスト (投資)、価値 (メリット)、管理されているリスクのレベルを評価するために、コスト最適化のアプローチを取り入れるべきです。一般的に、保護レベルが高いほど (リスクが低いほど) 高額になります。