この記事は日経 xTECH有料会員限定ですが、2018年3月15日5時まではどなたでもご覧いただけます。
「被害」が従来の定義に収まらない
なぜサイバーセキュリティは情報セキュリティに完全に包含されないのか。これを端的に示す例が、「サイバー犯罪予告」や「踏み台攻撃」といったサイバーセキュリティに特有の脅威だ。
サイバー犯罪予告では、攻撃集団が特定の組織に対するサイバー攻撃をほのめかす書き込みをインターネット上で行う。恐喝や脅迫にまで踏み込んだ悪質な要求の場合もある。踏み台攻撃では、攻撃者がセキュリティ管理の脆弱なIT資産(PCやサーバー)をマルウエアに感染させたりして、それを経由して別のIT資産に攻撃を仕掛ける。
情報セキュリティは情報の機密性・完全性・可用性の維持が目的だ。ところが、サイバー犯罪予告や踏み台攻撃では、これらの観点で見た被害は発生していない。サイバー犯罪予告は“兆候段階”であり、その時点では情報の機密性・完全性・可用性の侵害には至っていない。そもそもどのような被害が発生しうるのかも分からない。
踏み台攻撃では、自社の情報資産への侵害が発生するわけではない。実際、ある企業から「セキュリティ対応で困っている」と打診を受けたことがある。その企業は機微な技術情報や顧客情報を保有しているとは思えず、会うまでは少し不思議に感じていた。話を聞いてみると、その企業のサーバーが踏み台となり、他社のサーバーを攻撃していた。その企業が実際に困っているセキュリティ対応とは、踏み台攻撃に対する他社からのクレーム対応だった。
これらのケースは、従来型の情報セキュリティの侵害に当てはめて考えるのが難しい。従来の情報セキュリティの枠組みで対策を検討すると、サイバーセキュリティ特有の脅威の考慮漏れが起こり得る。冒頭の経営者A氏のような発言が出てくるのはそのためだ。
ISO/IEC 27032が示す情報セキュリティとサイバーセキュリティの関係は理論としては正しい。しかし実務では、情報セキュリティとサイバーセキュリティの間で違いがあると考えるアプローチを推奨したい。
両者の関係の理解しやすい見せ方
サイバーセキュリティ特有の脅威に対応するには、新たな対策が必要になる場合もある。代表例は「SIEM」(セキュリティ情報イベント管理)や「サイバーインテリジェンス」だ。
SIEMは複数のセキュリティ機器のログを相関的に分析したり、ユーザーID単位で一連の挙動をトレースするような高度な監視をしたりするソリューションである。従来のIDS/IPSによる個別のログ監視のみでは、近年の進化したサイバー攻撃の不審な挙動を見つけるのが難しくなっている。サイバーインテリジェンスはダークウェブ(インターネット上で一般に公開されていないアンダーグラウンドのコミュニティ空間)などでのサイバー犯罪者の動向を分析して、将来起こり得るセキュリティ被害を分析・予測する情報収集サービスだ。
従来の情報セキュリティの枠組みだと、これらに投資する理由をうまく説明できない。ここからは情報セキュリティとサイバーセキュリティの関係と差分をシンプルに捉え、経営層や利用部門に伝える2つのテクニックを紹介しよう。いずれも実際のプロジェクトで経営層にサイバーセキュリティの必要性を訴求するために使用して、うまく伝わったという手応えを得た方法だ。
1つめはベン図の活用だ。情報セキュリティとサイバーセキュリティが対象とする脅威の例示を用いて、共通するものと固有のものを明示する。その中で、サイバーセキュリティは最新のトレンドとして生じている脅威にフォーカスしていることを強調する。前述した通り、踏み台攻撃はサイバーセキュリティ特有の最新トレンドとして生じている脅威だ。
2つめは比較表の活用だ。情報セキュリティとサイバーセキュリティにおける攻撃の特性を列挙し、それぞれの違いを対比して説明する。その中で、サイバーセキュリティの対応として求められる要件を強調しておく。複雑な攻撃手法が特徴のサイバーセキュリティでは、継続的な情報の入手や定期的な脆弱性チェックなどがより重要になる。
