セキュリティ対策を導入したのに、サイバー攻撃の被害が後を絶たないワケ(3/3 ページ)
セキュリティ対策をせっかく導入したのに、なぜかサイバー攻撃の被害に遭ってしまう――。そんな企業が多いことが、ファイア・アイの調査で判明。同社への取材をもとに、その理由を探る。
対策の導入は単なる手段、「有効に機能しているか」の見極めを
これまで企業のセキュリティ対策は、標的型攻撃に代表される、巧妙化の一途をたどるサイバー攻撃からの防御を図るため、複数の対策を積み重ねた「多層防御」の観点で進められてきました。最近では、それでもすり抜けは発生するという視点に立ち、検知や対応を支援する技術も登場しています。
こうした多層防御の有効性を否定するわけではありませんが、さまざまな対策を積み重ねてきた結果、今や1社あたり30〜50種類ものセキュリティ機器を導入し、運用しなければならない状況に陥っています。
岩間氏は「企業では『いかに完全な防御を実行できるか』という観点でセキュリティ対策の有効性を考えてきたはずが、いつのまにか、技術導入が目的になっていないだろうか」と指摘。投資したセキュリティ対策が有効に機能し、思惑通りの効果を出しているかどうかを見極める必要があると主張します。
これはセキュリティ担当者レベルだけでなく、事業継続の観点からセキュリティを経営課題と捉える経営層にとっても重要なポイントです。
最後に岩間氏は、企業がセキュリティ対策の有効性を改善するためのポイントとして、PDCAサイクルを回すことを挙げました。
このサイクルでは、まず初めに、導入したセキュリティ機器の設定やアラートの制御が想定通りにできているか、現状を理解します。次に、その状況を米研究団体が策定した「MITRE ATT&CK」のようなフレームワークと照らし合わせ、理想に近づけていきます。
さらに、実際に攻撃に耐えられるかどうかを、同業種が受けている攻撃手法や戦術、手順を参考にして検証。「自社が同じ攻撃にさらされた時に検知できるのか」「検知できたとして、適切にエスカレーションし、対応できるか」を確認し、攻撃を受けた時の指針(プレイブック)を作成します。
岩間氏は、こうした手順を通じて、セキュリティ対策を定期的に見直し、無駄な部分や重複を排除するとともに、環境変化に対応できるよう継続的に取り組むことが重要だと強調しました。
関連記事
- 偽サイトが大量発生 首相官邸や新聞社も標的に 見破り方と、マネされない方法とは?
首相官邸や新聞社などの公式サイトを模した偽サイトが増加し、IPAや警察が注意を呼びかけている。偽サイトを駆使した詐欺は、活発に活動したり、息を潜めたりという“波”が繰り返されてきたが、最近また盛んになっている。どうすれば見破れるのか。 - SIE、プレイステーションの一般向け脆弱性報酬プログラム開始 PS4の危険度最高なら5万ドルから
ソニー・インタラクティブエンタテインメント(SIE)が、誰でも参加可能な脆弱性報酬プログラム「PlayStation Bug Bounty」を開始した。PS4関連の危険度最高の脆弱性を報告した場合、報奨金は5万ドル(約535万円)からとなっている。 - GitLab、セキュリティ演習で社員にフィッシングメール送信 10人が引っ掛かる
ソースコード管理ツールを提供する米GitLabが、社内のセキュリティ対策演習として社員にフィッシングメールを送信。内容は「あなたのノートPCをMacBook Proにアップグレードすることになりました」。10人が引っ掛かり、ログインページでIDとパスワードを入力した。 - コインチェック標的の攻撃、お名前.comの通信を改ざんする不具合を悪用 運営元のGMOが説明
コインチェックがお名前.com経由で受けたサイバー攻撃を巡り、GMOインターネットが攻撃の概要を発表した。同社サービスの通信が改ざんできる不具合を悪用されたとしている。
Copyright © ITmedia, Inc. All Rights Reserved.