セキュリティ対策技術は日々進化していますが、サイバー攻撃者もレベルアップしています。特に、サイバー攻撃者が組織化したことで、サイバー攻撃に費用対効果を求めるようになり、被害額は増大しています。急速に普及したテレワークにもサイバー攻撃者は敏感、迅速に反応し、テレワーク環境を狙った攻撃を行っています。こうした状況では、自社のみでセキュリティ対策を行うことが難しくなっています。ここでは、セキュリティアウトソーシングサービスのメリットについて紹介します。
ITやデジタル技術、そして世界の変化に合わせて、サイバー攻撃も変化しています。こうした脅威の変化を把握するためには、IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威」が有効です。過去1年間の脅威の傾向をランク付けしているもので、近年は個人向けと組織向けの2つの脅威ランキングを発表するようになりました。
「情報セキュリティ10大脅威 2021」(組織編)(※)では、大半を外部からの攻撃による脅威が占めています。また、今回新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしました。具体的には、「テレワーク用ソフトの脆弱性を悪用した不正アクセス」や「急なテレワーク移行による管理体制の不備」が挙げられており、コロナ禍への対策として広まった急なテレワークが大きなセキュリティリスクになっていることが分かります。
サイバー攻撃者も変化しています。20世紀では自己顕示を目的とした愉快犯、単独犯が主流でしたが、21世紀になると経済犯、組織犯が主流になり、金銭、示威(ハクティビズム)、諜報(サイバーエスピオナージ)を目的とした活動が目立つようになりました。現在は、ランサムウェアによる金銭要求、外部公開Webサイトへの攻撃によるコンテンツ改ざんやサービス停止、標的型攻撃による情報漏えいといったものが多くなっています。
最近のサイバー犯罪組織は、ブラックマーケットからの依頼を受けてサイバー攻撃を行うようになっています。依頼を受けるとコミュニティから攻撃支援者を雇い、企業の重要な情報を狙います。盗み出した情報により得た報酬は支援者に分配します。こうした犯罪者グループが世界中に複数いて、ビジネスとしてサイバー攻撃を行っています。
一方、サイバー攻撃から防御する企業/団体側は、当然ながら攻撃者のような経済循環はなく、指示命令のみで動くことになります。コミュニティとの連携もなく、防御の取り組みへのモチベーションは低くなりがちです。その結果、攻撃に脆弱な状況が続いています。
攻撃側と防御側でモチベーションが大きく異なる
実際にサイバー攻撃を受けてしまうと、企業はどのくらいの被害に遭うのでしょうか。被害による損失額の一例を挙げてみましょう。年商1000億円のモデル企業におけるサイバー攻撃の被害は、直接被害と間接被害に分けることができます。直接被害には、「情報漏えいによる金銭被害」(80億円)、「ビジネス停止による機会損失」(5営業日あたり20億円)、「法令違反による制裁金」(40億円)、「事故対応費用」(0.6億円)といったものがあります。
間接被害には、「純利益への影響」(10.5億円)、「時価総額への影響」(300億円)などがあります。サイバー攻撃対策の重要性を取締役や経営者等に理解してもらうためには、彼らの共通言語である「金額」を用いて議論をすべきであるといえます。情報セキュリティは経営課題であり、情報セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須な「投資」と捉えてもらうことが重要です。情報セキュリティ投資は必要不可欠かつ経営者としての責務であるのです。
サイバー攻撃による企業の損失額の例
高度なセキュリティ対策を実現するには、セキュリティに精通した人材は欠かせません。しかし、セキュリティ人材は世界的に不足している状況にあり、日本においても約20万人も不足しているとされています。また、自社でセキュリティ人材を抱えることにも課題があります。セキュリティ人材は給与レベルが高く、引く手あまたのためせっかく獲得できたとしても転職リスクが高いのです。また、それらが他のメンバーのモチベーションに影響するといった問題もあります。
そこで求められているのが、セキュリティ対応のアウトソーシングです。セキュリティにおいては、アセスメント、エンジニアリング、運用が重要ですが、いずれも高度な専門知識が必要です。これらをアウトソースすることで、多くの課題を解決できます。
企業のセキュリティ対策にアウトソースを活用
企業におけるセキュリティのコンセプトも変化しており、従来の「大事なものは安全な場所に」という考え方から、現在は「安全な場所はない」という考え方が主流になりつつあります。いわゆるゼロトラストネットワーク、SASEといった考え方です。そこでは、強固なセキュリティとユーザーエクスペリエンスの両立が求められます。具体的には、人、端末、場所と情報の価値に合わせた制御です。
現在のテレワークが主流となっている状況では、AVD(Azure Virtual Desktop)に代表される仮想デスクトップソリューション(DaaS/VDI)がセキュリティ対策に有効とされています。AVDでは業務環境や情報資産はすべてAzure上にあり、リモートアクセスによってデスクトップ環境を利用します。自分の手元の端末には情報を保存しておく必要がなく、やり取りはデスクトップ画像のみのため、全ての情報をやり取りするVPNよりも情報漏えいのリスクを大幅に低減できます。
AVDを導入しても、インターネットへの接続点はリスクが残りますが、ここにSWG(セキュアウェブゲートウェイ)とEDR(エンドポイントにおける検知と対応)を加えることで、優秀なAVD環境をより強固にできます。例えば、マイクロソフトのEDR製品「Microsoft Defender for Endpoint」(MDE)を導入することでマルウェアの侵入を早期に検知したり、「Zscaler Internet Access」(ZIA)を導入することで危険サイトへのアクセスや不正な通信を検知できたりするようになります。
AVDにMDEとZIAを加えることでセキュリティを強化
さらにセキュリティ対策を強化できるのが、SOCごと外部にアウトソーシングする方法です。SOCはセキュリティ・オペレーション・センターの略で、セキュリティ機器が発するアラートを分析したり、適切な対応を行ったりする部署です。SOCには高度な専門知識を持つセキュリティ人材が必要ですので、アウトソースすることでセキュリティ対策のレベルを上げつつ、運用の手間を大きく軽減することができます。
NSSOLの「SOCサービス」は、同社のセキュリティ専門チームによりSOCサービスを提供するものです。例えば、MDEやZIAの導入はセキュリティ対策として有効ですが、これらから得られた情報の分析が非常に重要です。情報を分析することで、AVDに潜んだリスクの早期発見が可能になります。MDEやZIAで検知されたアラートはNSSOLのセキュリティ専門チームが解析を行い、解析結果は即時に連絡します。もちろん、セキュリティに関する相談も可能です。
NSSOLのSOCサービスのイメージ
自社でセキュリティ専門家を抱えて対応していたり、セキュリティ対応の全てを自社で実施したりしようとした場合、セキュリティ専門家の確保・育成はかなり困難かつ継続して行う必要があるため、将来的な不安が残ります。SOCサービスを導入することで、NSSOLの高度な知識を持つセキュリティ専門チームが対応し、お客様業務の多くをセキュリティの専門家が巻き取ります。これにより、お客様はインシデント対応に専念することができるようになるのです。
※1 出典:独立行政法人情報処理推進機構 「情報セキュリティ10大脅威 2021」
日鉄ソリューションズ株式会社 ITインフラソリューション事業本部 デジタルプラットフォーム事業部 デジタルワークプレース部 木村 直樹
