SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2022レポート

東京電機大学 佐々木名誉教授が経営陣・CISOに期待する役割とは、各ガイドラインや現況から見解述べる

サイバーセキュリティと経営 巧妙化する脅威に立ち向かうためには

 サイバー攻撃が厳しさを増す中、経営者やCISO(Chief Information Security Officer)はサイバーセキュリティの問題にどのように対応すべきなのか。東京電機大学 名誉教授 兼 同大学サイバーセキュリティ研究所 客員教授の佐々木良一氏が、サイバー攻撃の歴史と昨今の動向、そして対策について、経済産業省と情報処理推進機構が策定した『サイバーセキュリティ経営ガイドライン』における、3つの原則と10の重要事項などを参照しつつ紹介した。

サイバー攻撃による被害が大型化し、身代金は億単位に

 はじめに佐々木氏は、今後増加が予想されるであろうサイバー攻撃について、(1)被害の大型化、(2)被害形態の多様化、(3)攻撃対象の多様化、(4)攻撃者の多様化・高度化を挙げる。

 まず(1)被害の大型化について、事例として2018年1月に起きた、コインチェックの仮想通貨580億円相当の不正流出事件を紹介。2021年8月にも、ポリ・ネットワークから660億円の仮想通貨が流失しており、今後とも仮想通貨を中心とした被害の大型化が予想される。

 (2)被害形態の多様化については、これまでは個人情報の流出など機密性の喪失が中心だったが、近年は情報の改ざんやシステムの停止など、“完全性”や“可用性”が喪失するケースが増えているという。その典型的な例が『ランサムウェア』であり、特に近年は、目的とする特定少数の組織を狙う『標的型』、暗号化による業務妨害に加えてデータ公開を行うなどの『2重脅迫型』が増える傾向にあり、『Dopple Leaks』をはじめ、『Maza』『DarkSide』など種類も増えている。件数としても、警察への届け出は令和2年から1年間で4倍以上になり、2重恐喝が85%、暗号資産による支払い要求が91%を占め、復旧に多大な時間がかかることも大きな問題になっている。

[画像クリックで拡大]

 こうしたランサムウェアの被害を防ぐための必須対策について、佐々木氏は「感染防止が重要」として、①OSやソフトの脆弱性を修正すること、②メールのリンクや添付ファイルを安易に開かないこと、③セキュリティソフトを最新の状態で利用することを挙げ、感染した際に備えた『データ復旧準備対策』として、こまめにバックアップを取ることの重要性を強調した。その理由として、データの復旧方法の難しさを挙げる。つまり、かつては『(1)バックアップやクラウドストレージから戻す方法』以外にも、(2)ボリュームシャドウコピーで復元、(3)削除ファイルの復元ツール、(4)メモリー上のデータのダンプ取得による暗号かぎの取り出しなどでも可能だったが、(2)は初期設定が必要であり、(3)はランサムウェアによる被害が単純消去だけでないこと、(4)も難しい状況にある。もはや『バックアップが唯一であり重要な対処法』となりつつあるわけだ。

 そして近年では、最も費用のかからない選択、病院のケースでは即時施術が必要な入院患者など利害関係者の最善の利益になるという観点から『支払いを容認する考え方』も登場している。一方で、『支払いに否定的な考え方』も根強く、復号のためのキーが提供されることを保証するものではないことや、攻撃者に資金を提供することでランサムウェア犯罪サイクルの維持につながってしまうことが、その理由だ。佐々木氏は「支払いはしないのが本筋」と語る。

 実際、米国ではサイバー保険で身代金を支払っている例も多く、逆に保険に入っている企業は、攻撃を受けやすいという説もある。また、FBIなどは、身代金を払ってでも情報を取り戻してほしい立場のように見受けられるという。その一方で、身代金の支払いを禁止すべきであるという意見も強く、『米国財務省外国資産管理室(OFAC:Office of Foreign Assets Control)』が発行した勧告には、『攻撃者への金銭支払い支援はOFACの規制に違反するリスクがある』という厳しい警告が含まれている。つまり、制裁リストにある国の、個人・組織・政府への支払いを手助けすることが“違法”との見解を示しているわけだ。

 実態調査では、ランサムウェアの被害を受けた企業の割合は、日本では61%であり、その半分が身代金を支払っていることになる。その額は433万ドルにもなり、世界的にも高額な身代金を支払っていることがわかる。佐々木氏は「身代金を払うかどうか、経営者は難しい判断を迫られる。それよりもむしろ対策をしっかりと行い、いざというときのためにバックアップを取るなどの対応をするほうが賢明」と語った。

[画像クリックで拡大]

次のページ
IoTを含めてあらゆるものが攻撃対象になる時代

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2022レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16795 2022/10/19 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング