2021年、企業セキュリティ分野では特に「サプライチェーン攻撃」や「ランサムウェア攻撃」に大きな注目が集まりました。日本では、内閣府の職員が利用するファイル共有サーバー「FileZen」への不正アクセスや、富士通の情報共有ツール「ProjectWEB」への不正アクセス事件が大きく報じられました。世界に目を向ければ、5月、米石油パイプライン大手のColonia Pipelineがランサムウェア攻撃を受け、すべてのパイプラインの運用を1週間以上も停止。復旧見込みが立たないことから、440万ドル(約4億8000万円)相当の身代金を支払った事件が強く印象に残っています。
参考:
内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府
富士通「ProjectWEB」情報流出問題の真相、ずさんな対応に不満や批判が噴出
Oil settles higher as key U.S. fuel pipeline plans restart | Reuters
その他にも、南アフリカのインフラ大手トランスネット社や、オーストラリア政府所有のCSEnergy社もランサムウェア攻撃の被害に遭うなど、世界中の重用インフラが多大な脅威にさらされた1年となりました。
ランサムウェアの流行、サプライチェーン攻撃の急激な高まり、コロナ渦で急増したリモートワークなど、ここ数年で目まぐるしい変化を見せるセキュリティトレンド。年々多様化する様々な脅威に対し、企業はどのような対策を講じれば良いのでしょうか?
本記事では、2022年、企業のセキュリティ担当者が知っておくべき4つの重大脅威と、その対策方法を解説していきます。
2022年のサイバーセキュリティ動向予測
2022年も「ランサムウェア攻撃」「サプライチェーン攻撃」などの脅威が衰退することは無いでしょう。CrowdStrike社の調査によると、2021年にランサムウェア攻撃に遭った組織のうち「包括的なセキュリティ戦略」を有していたのは30%、サプライチェーン攻撃に遭った組織にいたってはわずか20%に留まっています。
これはグローバル平均の約半分の数値であり、攻撃者から見た日本は「サイバー攻撃の格好の狩場」とも言える現状です。
参考:CrowdStrike、2020年度版グローバルセキュリティ意識調査結果を発表 | crowdstrike.jp
上記の理由から今年も、攻撃者は前年以上に活発に、より巧妙に、悪意のある目的を達成するための活動を続けると予想できます。
また、「ゼロデイ脆弱性攻撃」は改めて注目すべきセキュリティの脅威です。2021年末に公表されたLog4jの脆弱性(CVE-2021-44228)はMinecraft、iCloudなどを初めとする多くの著名なサービスにも影響を与え、脆弱性の悪用を試みる不正コードが世界中を飛び回りました。
新たな脅威とセキュリティトレンド
2022年の新たなセキュリティの脅威を語る上でポイントになるのは「テレワークの増加」と「クラウドの利用拡大」です。エンドポイントが多様化し、重要情報が当たり前のように社内-社外を飛び交うようになったために、従来のセキュリティ対策では根本的な対処が困難になりました。
そこで今、大きな注目を集めているのが「ゼロトラスト(Zero Trust)」と呼ばれる新たな概念です。新たな働き方に対応するゼロトラストは間違いなく、今後数年にかけて、次代のセキュリティ対策のスタンダードとして存在感を強めていくことでしょう。
ここまでご紹介した「ランサムウェア攻撃」「サプライチェーン攻撃」「ゼロデイ脆弱性攻撃」「ゼロトラスト」については、以降の章で詳しく解説しています。
どれも、2022年の企業セキュリティにおいて重要なトピックですので、ぜひ最後までご覧ください。
ランサムウェア攻撃の傾向と対策
データの暗号化や画面ロックなどを行うことで業務に必要な情報・システムへのアクセスを封じ、その解放と引き換えに金銭を要求する「ランサムウェア」は、2022年も最優先に警戒すべきサイバー攻撃の1つです。
世界的な動向としては、特定の企業・国を狙った標的型攻撃に近いランサムウェア攻撃の事例が目立ちますが、ランサムウェアは闇サイト等で比較的容易に入手できるため、攻撃者は必ずしも大きな犯罪組織とは限りません。
また、不特定多数のシステムの脆弱性を無差別に狙う攻撃にも、引き続き警戒と対策が必要です。
最も重要なのは「感染させない」こと
ランサムウェアを含む、全てのマルウェア対策の基本は感染の予防です。社内のセキュリティ教育を徹底し主要な感染経路を周知すること、およびセキュアなシステム構築・運用を行うことが最も効果的な対策となります。
- 不審なメールは開かない
- メールの添付ファイルを安易に開かない
- メール本文中のリンクを安易にクリックしない
- 不審なURLにアクセスしない
- サポートの切れたOSを利用しない
感染を想定した対策も忘れずに
多くのセキュリティ担当者は防御ばかりに気を取られ、感染を想定した対策を怠りがちです。国内事例では、徳島県 半田病院の院内システムがランサムウェアに感染し、2か月以上にわたり、計8万人以上の医療カルテと会計システム等が使用不能に陥っています。
同病院の一番の感染対策不備を挙げるとすれば、電子カルテのバックアップを常時ネットに接続していたことでしょう。それゆえに、メインシステムがランサムウェアに感染したのと同時に、バックアップまでも暗号化されてしまいました。このように、万が一ランサムウェアに感染し業務に必要なデータを全てロックされてしまった場合、事業継続に大きな支障をきたします。
感染を想定した対策として、最低限実践すべき項目は次の通りです。
- バックアップを取得
- バックアップは取得時のみシステムに接続
- ネットワークの分離
- 共有サーバーへのアクセス権の最小化
- 感染から復旧までのシュミレーション
サプライチェーン攻撃の傾向と対策
自社業務の一部を外部委託するケースは、今やどの業界でも珍しくありませんが、委託先のセキュリティ対策状況まで把握・管理できている担当者はどれほどいるでしょうか?
IPAの調査によれば、委託元企業の半分以上が「実施すべきセキュリティ対策を委託先に明示していなかった」ことや、特に製造業・卸売業・小売業においては実に70%以上の企業が明示していなかったことが明らかになっています。このように、日本企業のサプライチェーンセキュリティの意識は依然として低く、攻撃者に狙われやすいのが現状です。
参考:「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について:IPA 独立行政法人 情報処理推進機構
日本におけるサプライチェーン攻撃事例
日本における代表的な事例としては、2017年4月にバスケットボールリーグ「Bリーグ」のチケットサイトがサイバー攻撃を受け、クレジットカード情報を含む15万件以上の個人情報が流出した事件が挙げられます。この事件は、チケットサイト運用の外部委託先企業が構築したサイトに脆弱性が存在したこと、および当該企業が予め取り決められた運用ガイドラインに沿った業務を行っていなかったことなどが、攻撃を許した主な原因とされています。
参考:https://corporate.pia.jp/news/files/security_incident20170425.pdf
このように、外部委託先・再委託先・再々委託先までを含めたセキュリティ管理はハードルが高く、対策されづらい傾向にあります。
急増するソフトウェア・サプライチェーン攻撃
これまでは、セキュリティの脆弱な関連組織を起点(踏み台)にして目的の企業へサイバー攻撃をしかけるのが、一般的なサプライチェーン攻撃とされてきました。
しかし最近は、多数の企業・ユーザに利用されるソフトウェアの開発段階(もしくはアップデートデータ)で脆弱性を仕込むことで、より広範囲にわたって効果的に攻撃を仕掛ける「ソフトウェア・サプライチェーン攻撃」が日に日に存在感を強めています。
残念なことに、このような攻撃をソフトウェアを利用する企業・ユーザ側が100%防ぐことはほぼ不可能です。なぜなら、外部の企業が開発したソフトウェアの脆弱性を自社内で確認することなど出来るはずがないからです。
よってこの場合、重要なのは「被害の予防」ではなく「被害の最小化」です。
例えばサービス、共有サーバ、アクセス権限などを細分化し、1つのシステムが攻撃を受けてもその他のシステムに影響が及ばないよう、内部対策を最適化すると良いでしょう。
できうる限りの対策を
外部委託先・再委託先、あるいは利用しているソフトウェアまでを含めた、総合的なセキュリティ管理を実践するのが非常に困難であることは、紛れもない事実です。
しかしだからこそ、セキュリティ担当者はより効果的・効率的にサプライチェーンリスクを低減するために、あらゆる工夫を凝らす必要があります。
ここでは、代表的なサプライチェーン攻撃対策をいくつかご紹介します。
- 基本的なセキュリティ対策の実施
- 信頼できる委託先企業の選定
- 委託先のセキュリティ対策の監査
- こまめなパッチ適用やアップデート
- ネットワークや通信内容を監視する
- システムや権限を細分化する
- インシデント後の対応体制の整備(例:CSIRTの設置)
ゼロデイ脆弱性攻撃の傾向と対策
発見されて間もない脆弱性を利用し、未対策のソフトウェアに攻撃をしかける「ゼロデイ脆弱性攻撃」は、今年、改めて警戒すべき脅威といえるでしょう。
特に近年は、脆弱性情報の公開~攻撃コードが流通するまでの時間が極端に短くなっており、セキュリティ担当者にはより迅速な対応が求められます。
また、IPAの情報セキュリティ10大脅威 2022では、近年最も注目されたゼロデイ脆弱性であるApache Log4j(以後Log4j)の一件を受け、第7位に「ゼロデイ攻撃」が初めてランクインすることになりました。
2021年12月初旬に明らかになったLog4jの脆弱性情報は瞬く間に拡散し、それが著名なロギングライブラリであったことから「Minecraft」「iCloud」などを始めとする、世界中の様々なソフトウェアに影響が及び、開発者は対応に追われました。
Log4jの一件は多くの事業者・セキュリティ担当者に、改めて、ゼロデイ脆弱性の危険性と迅速な対応の重要性を認識させたのです。
初心者でも分かるLog4jとその脆弱性、影響範囲から対策方法のすべて
こまめな情報収集と迅速な対応が肝心
ゼロデイ脆弱性対策において、もっとも重要なのは「こまめな情報収集」と「迅速な対応」です。Log4jほど脆弱性情報が大々的に取り上げられることは稀といっていいでしょう。
通常、セキュリティ担当者はより敏感にアンテナを張って、業務に関連するソフトウェアを出来る限り詳細に把握し、各脆弱性情報や他組織の被害事例をキャッチアップしなければなりません。また、該当する脆弱性情報を見つけた場合は速やかに関係各所に報告し、調査・修正等の対応(指示)を迅速に行う必要があります。そのための対応体制(例:CSIRTの設置)の整備や、脆弱性発見時の対応手順をあらかじめシュミレートしておくことも重要です。
ゼロトラストセキュリティの重要性
セキュリティ担当者が、2~3年後を見据えて、今年から準備を始めておきたいのが「ゼロトラスト」と呼ばれる新たなセキュリティモデルです。
ゼロトラストが注目される背景
既存の標準的なセキュリティモデルは、社内を「信用できる領域」社外を「信用できない領域」として境界線を引き、社外からのアクセスを解析・遮断することでセキュリティを強固に保つ「境界型セキュリティ」と呼ばれるものでした。
しかしコロナウィルス感染拡大によるテレワークの増加で、社外から社内システムに接続することが当たり前となり、中には、セキュリティ対策が不十分な私用端末や公衆Wi-Fiを使用するケースも急増しました。また、クラウド利用拡大の波も重なり、社内の情報資産を外部で保管する企業も増えています。
このような変化によって社内と社外の境界線は曖昧になり、既存の境界型セキュリティモデルではサイバー攻撃の脅威を防ぎきれない現況となっています。
ゼロトラストとはなにか?
ゼロトラストはよく「すべての通信を信用しないセキュリティ」と説明されますが、正確には「すべての通信を監視し、信用度を評価するセキュリティ」と理解すべきです。
ゼロトラストはネットワークの場所(社内社外)に関係なく、すべてのデバイス・通信・ユーザ・ネットワークを監視します。また、都度その通信の信用度を評価しその如何で認証を行うこととしています。
この仕組みにより、社員がどの場所からどんな端末でアクセスを試みても、高い機密性と完全性を保つことができるのです。
ゼロトラストの導入と実践
ゼロトラストの具体的な導入・実践手順については、IPAの中核人材育成プログラムにて作成されたゼロトラスト導入指南書や、あらた有限責任監査法人がまとめたゼロトラストの現状調査と事例分析に関する調査報告書が、非常に参考になります。
本格的にゼロトラストの導入を検討される際は、ぜひご活用ください。
参考:ゼロトラスト導入指南書
また、ゼロトラストは一朝一夕で導入できるようなセキュリティモデルではありません。ゼロトラストの実現には、既存の様々なセキュリティ製品等を複合的に活用する必要があり、専任のチームや相応の労力が必要となります。準備が整ったとしても、既存のセキュリティモデルからゼロトラストへ一斉に切り替えるとなれば、あらゆるコストが膨れ上がることでしょう。
よって、まずは自社のセキュリティ課題を整理・評価したうえで、自社の環境に合ったゼロトラスト対策を始めることを推奨します。まず簡単に始められるゼロトラストセキュリティ対策として当社のクラウド型の「ZTNA(Zero Trust Network Access)」ソリューション」のCloudbric RASがあります。二要素認証を追加し、あらゆる端末からの安全なアクセスをサポートします。更にクラウド型サービスで提供されるため、Direct ConnectやVPNのような複雑なインストールが不要で簡単に高度なセキュリティを実現できるという特徴があります。
Cloudbric RASのご紹介はこちら
基本のセキュリティ対策を万全に
すべての脅威を一度に取り払う、包括的で完全なソリューションは存在しません。セキュリティポリシーの策定や社員教育など、基本的なセキュリティ対策からしっかりと行い、全社的なセキュリティ意識を高める事が、よりセキュアな組織作りへとつながります。また、セキュリティ製品の導入を検討されている方は、一度ペンタセキュリティの製品に目を通してみてください。
DB暗号化ソリューション D’Amoはこちら