EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第一回:ニュートン・コンサルティング著『企業を強くするサイバー演習』抄録 企業を強くするサイバー演習 #01:サイバー演習の重要性

 ニュートン・コンサルティング 内海良氏の著書『企業を強くするサイバー演習』(翔泳社)の内容からエッセンスを数回にわたって紹介します。企業へのサイバー攻撃による被害が後をたたない中で、実践的な「サイバー演習」をおこなうための基礎的な考え方、種類やその概要を解説してきます。セキュリティ担当者の方に参考にしていただける、実践マニュアルです。第一回は、サイバー演習の重要性とサイバー演習が注目される理由を解説します。

深刻化するサイバー攻撃

 サイバー攻撃による被害が後を絶ちません。サイバー攻撃に起因する情報漏えいや仮想通貨の不正送金については、広く報道され、IT業界のみならず世間一般にまで知られるようになってきました。また経営者が懸念するリスクの調査やグローバル・リスクレポートでも、サイバー攻撃は常に上位に位置しています。

 近年のサイバー攻撃は、完璧に守るというのが難しいほど高度化・巧妙化し、その被害も経営を揺るがすほどの大きなインパクトを与えるようになっています。それが、サイバー攻撃がリスクの上位に位置する理由です。有名な事例を挙げただけでも次表のような多数のサイバー攻撃被害が発生しています。なぜ被害が大きくなっているのでしょうか。

近年のサイバー攻撃被害[クリックして拡大]

 まず、あらゆるものが電子データ化し、オンラインでサイバー空間とつながり始めているという点が挙げられます。情報漏えいといっても紙に書かれた情報の量は、たかが知れています。電子データとなると、漏えいする情報は紙の情報量とは比べるまでもなく膨大です。また膨大であるがゆえに、機密情報も含まれている可能性もあります。それが個人情報であれば、一人ひとりへの連絡や損害賠償を検討するには大変な労力とコストが必要となります。

 しかし、事例で取り上げた企業がセキュリティに取り組んでいなかったかというと、決してそうではありません。様々な対策を取られていたのですが、それでも被害が発生しています。

 攻撃者は常に防御の隙を見つけ、新たな攻撃手法を考え出し、様々な手口で攻撃してくるのです。
たとえば「ゼロデイ攻撃」と呼ばれる手法は、ICTシステムの未知の脆弱性を突いてくる攻撃です。未知ですから、企業組織が防ぐことは極めて困難になります。脆弱性をタイムリーに把握し対応するのは、ほぼ不可能でしょう。その脆弱性を悪用された場合、企業が多層防御といわれる様々な対策をとっていても、攻撃者の糸口を与えることになり、サイバー攻撃を防ぐのはとても難しくなります。

 また新たなインフラともいわれ、私たちの生活に欠かせないEコマースを考えてみましょう。一般消費者からの膨大な数の問い合わせがコールセンターに日々入ってきています。最初はログインができない、配送状況が確認できない等のやりとりが数カ月行われ、その後、マルウェア付きの添付ファイルを送られてくれば、そのファイルを開き感染してしまうのは仕方ないのかもしれません。感染後、攻撃者はC&Cサーバを利用して遠隔操作を行い、社内にどんどん侵入して、最終的に機密情報を盗むこともできます。

 こういった攻撃を完全に防ぐのは極めて難しく、「完全に防ぐ」から「いかに被害を軽減するか」というマインドチェンジが求められているのです。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 内海 良(ニュートン・コンサルティング)(ウチミ リョウ)

    ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。    日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサルティング、脆弱性診断、ペネトレーションテスト、IT ガバナンス構築など数多くのプロジェクトをこなす。2010年に帰国し現職。以降、責任者として内閣サイバーセキュリティセンターや東京都、様々な民間企業へのサイバー演習やサイバーセキュリティ監査、CSIRT 構築、リスクマネジメント等の支援を実施。お客様の本質を理解し、ゴールまで遵進するスタイルは多くのお客様か ら評価されている。 JIPDEC( 日本情報処理開発協会)BCMS 技術専門部会委員 CISSP, LPT(Licensed Penetration Tester), ECSA(EC-Council Security Analyst), CEH(Certified Ethical Hacker)

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:翔泳社の本

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5