DIME MAGAZINE
近年、深刻なサイバー攻撃が多発したことを受け、2022年12月、政府がサイバー攻撃を未然に防ぐための法整備に乗り出した。そこには、「能動的サイバー防御の導入」という新たな方向性が盛り込まれた。能動的サイバー防御は、攻撃を受けた後の事後対策ではなく、攻撃の兆候をとらえ攻撃されても防御や被害の最小化することや、民間企業がサイバー攻撃にあった際に政府との情報共有および政府から民間企業などへの対処調整や支援などの取り組みを強化するものだ。
こうした措置がとられるほど、事態は深刻化しているようだ。従来のやり方では対応できないことから、各企業では新たなサイバーセキュリティ対策が求められている。そこで今回は、最新の手法について、情報セキュリティ強化のためのシステムソリューションを提供する株式会社インテリジェント ウェイブのサイバーセキュリティ プリンシパルエンジニアの手塚弘章氏に聞いた。
日本に求められるリスクマネジメントは風土作り・重要レベルに応じたシステム構成
手塚氏は、今後の日本に求められるリスクマネジメントとして、まず「サイバー脅威を絶えず考える風土を作る」ことを勧める。
「対策ツールを導入するだけでなく、トップがサイバー攻撃を受けるとどのようなことが発生するかを唱え、組織全体でサイバー脅威に対して意識することが重要です」
また「情報や業務の重要レベルに応じたネットワーク構成やシステム構成」も必要だという。
「取り扱う情報や業務によって、セキュリティの対応レベルを設定し、それに応じたネットワーク構成やシステム構成を行うことで、リスクを抑えることができます。例えば、経営に関わる情報を『最重要』、受発注に関わる情報やシステムを『重要』、メールでのやりとりを『通常』というレベルで分け、アクセスできる人を制限する。ID管理を徹底して、アクセス権限を見直す、各レベル間でのネットワークを分離するなどの対策をとる必要があります」
最悪の状況を想定して判断を下すことも必要
そしてサイバー攻撃を受けた際には、ブランドが失墜する、事業が継続できなくなるなどの最悪の状況に陥るリスクがある。手塚氏はそのことを前提に判断を下すことを勧める。
「サイバー攻撃を受けると、情報が流出したり、稼働させているシステムが止められてしまったりするほか、影響が大きければ、企業のブランドや信頼性が大きく下がってしまうことが考えられます。その結果、事業が継続できなくなってしまうケースもあるため、最悪の事態を想定に入れながら、サイバーリスクに対して取り組む必要があります」
具体的にはどのような対策を講じるべきか。
「これから求められる能動的なサイバー対策とは、サイバー攻撃への耐性を高めるという意味で、サイバーレジリエンスを向上することと理解することができます。そのサイバーレジリエンスを高める手法として基本になるのは、社内のIT環境やネットワーク環境を安全に保つ『サイバーハイジーン』を行ったうえで、攻撃に対し『識別・防御・検知・対応+復旧』を実施する必要があります。サイバーハイジーンとは、資産の把握、脆弱性の診断、運用体制の見直し等を行い、現在保有するIT環境を安全に維持すること(IT環境の衛生管理)を指します。
しかしこの方法は対応すべきことが非常に多く、膨大な時間と費用を要します。そのため、私が第一におすすめするのは『ゼロデイ攻撃』といった高度な攻撃に対しても強力な「防御」を展開することです。どれほど複雑かつ高度な攻撃であったとしても止めてしまう、あるいは成立させなくしてしまうことができれば、その後の対応については、段階的に強化する余裕ができます。それを実現する技術として『Moving Target Defense(MTD)』という技術が近年、注目を集めています。
MTDは、攻撃対象である『的(まと)』を動的に変化させることで、攻撃を当たらなくする(成立させなくする)技術です。攻撃を行う際に、攻撃者はマルウェアが動作するメモリ環境を指定する必要があります。MTDでは、メモリ領域とメモリ番地をプロセスごとに変化させることで、マルウェアが動かない(動けない)環境を作り出します。つまり、攻撃が成立しない状況を生み出すことができるのです。日本においても製品を導入する企業や組織団体が増えています」
最新号
