なぜ被害は繰り返されるのか? 内部・外部に共通する根本原因
いずれの事案も、過去の事案をもとに対策を行っていれば防げた可能性は高い。なぜ同じような手口による被害が繰り返されてしまうのか。
まず大前提として、サイバー攻撃は「圧倒的に攻撃者が有利な構図」になっていると楢﨑氏は指摘。攻撃者は100回の攻撃のうち1回でも侵入できれば成功だが、組織側は100回防ぎきらなければならない。
しかし、限られた時間や予算の中でリスクをゼロにするのは現実的ではない。それゆえ、「優先的に取り組むべき対策を見極める必要があります」と楢﨑氏。リスクやその影響は組織ごとに異なるため、とりあえずの対策ツールを導入しても、一番高いリスクへの対策になっていなければ本末転倒だ。
また、「守るべき情報資産」が明確化できていないと、被害に遭ったときの影響が広く、大きくなってしまう。一口にデータといっても、チラシと顧客リストでは重要度が違い、「当然、漏洩した際にダメージが大きい情報を優先して守る必要があります」と楢﨑氏は述べた。
組織への影響度や被害の発生確率を予測することで、下図のようにリスクへの対策を大きく4つに分類することができる。楢﨑氏は「組織のリスクを分類していくと、どの優先順位で対策を行っていくべきかが見えてきます」と言い、まずはリスク評価を進めることを呼びかけた。
- リスク転嫁:組織への影響度が高いものの、発生率が低いリスク。組織での対策は講じず、サイバー保険に加入するなど別組織にリスクを担ってもらう
- リスク回避:組織への影響度も発生率も高いリスク。そもそもリスクを背負わなくていいように、発生源を根本から排除する対策を講じる
- リスク受容:組織への影響度も発生率も低いリスク。あえて対策を講じない
- リスク低減:組織への影響度は低いものの、発生率は高いリスク。発生確率をなるべく低減できるような対策を行う
まずはIT資産の把握を 「たった1台でも侵入口になりえる」
楢﨑氏が組織のリスク評価の重要な手段として挙げたのが「IT資産管理」だ。「外部との接触が多いVPN装置はサイバー攻撃のリスクが高いので、強固なセキュリティ対策を講じるなど、資産ごとのリスクを効率的に洗い出せます」とそのメリットを説明。なお、IT資産にはPCやVPN装置など物理的な資産だけでなく、データやソフトウェアも含まれる。
ただ昨今、IT資産を情報システム部門で一元的に管理するのが難しくなっている。スマートフォンやUSBデバイスなどIT資産が多種多様になり、各部署が必要なタイミングで独自に調達することも増えた。特に管理が難しいといわれるのがネットワーク機器で、SIerがシステムメンテナンス目的でVPNを設置するようなケースもある。しかし、「たった1台でも把握漏れがあれば適切な対策が行われず、そこがマルウェアの侵入口となり、サイバー攻撃の被害に遭ってしまう可能性もあります」と楢﨑氏はリスクを指摘する。
