会社をサイバー攻撃から守るためにセキュリティ対策にお金を投じました。しかし攻撃者はなんとかして侵入を試みるため、100%万全な対策は取ることができないということは理解しています。そうだとすると、重要な資産を適切に攻撃者の侵入から保護することはできていると言えるのでしょうか?
企業と協力してセキュリティ対応の向上に取り組んでいるエフセキュアのプリンシパルコンサルタント、 Tom Van de Wiele(トム・ヴァン・デ・ヴィーレ)によると、これに対する答えは非常に多くの企業で「ノー」であることが判明しています。
「ほとんどの企業は何を保護すべきか、また、守る価値があるものが何なのかをよく分かっていません。」 最新のポッドキャスト(英語)でVan de Wieleはこのように述べています。Van de Wieleによると、侵害が頻繁に発生する理由の一つはここにあります。「つまり、対決する相手が本当に分かっていないと、会社のビジネス上最も重要なものに接近を試みる人たちのやり方を試したり検知したりすることは残念ながら不可能です。」
もちろんネットワーク全体を保護する必要はあります。しかし、ネットワーク内にあるものすべてが同じように機密というわけではありません。それでは管理を強化すべき資産をどうやって見分ければいいのでしょうか。やり方は3つあります。
- 「重要資産」の確認: これらはビジネスの成功に不可欠な、ミッションクリティカルな資産です。常に内容と保管場所を把握し、高いレベルのセキュリティで保護することが非常に重要です。従業員の情報や知的財産、会社のビジネスプランまたは個人を特定できる情報(PII = personally identifiable information )などが該当します。
- 他の機密データの確認(「重要資産」のカテゴリーに必ずしも入らないもの):たとえば顧客リスト、未発表のプレスリリースや会社業績などです。漏洩によって組織の機能が停止するわけではありませんが、会社のビジネスや信用に悪影響を及ぼす可能性があります。
- 脅威モデルを把握: ビジネスを標的にする攻撃者とは、どのような資産を狙っているのでしょうか? 明確な目的を持ち、意欲的で高度な技術を持った攻撃者が、あなたの会社に関心を向ける可能性はあるでしょうか? あるいは、会社を狙う可能性が最も高い攻撃者はデータを手っ取り早く換金することを考えている犯罪者でしょうか? これらについては会社の業種が大きく関わってきます。たとえば、医療業界は患者データが攻撃されることが多く、サービス業ではPOSシステムへの侵入、製造業では知的財産を狙った攻撃が多く発生しています。
「すべてを保護できるようなリソースや予算はありません、人員もいません」とVan de Wieleは言っています。「すべてが同じように重要で同じように保護すべきというわけではありません。つまりここでは、脅威モデルの一部として最悪の事態を想定し、対決する相手を把握することが資産保護を成功させる重要な鍵となります。」
では実際に攻撃者は関心のある資産をどのように狙うのでしょうか? エフセキュアがいくつかの実際の攻撃を基に作成した製造業の企業に対する標的型攻撃の詳しい事例をご紹介します。攻撃者の目的は、紙パルプ工場の製造工程を破壊し、それを復旧させるための金銭の要求です。攻撃者が会社の資産を探す一部始終をThe Hunt(追跡)で是非お読みください。
カテゴリ