全4923文字
PR

ITセキュリティーリスク管理は平常時と非常時に分けて考える必要がある。平常時には自社のセキュリティーリスクを特定し、そのリスクを低減する策を講じる。非常時に備え、サイバー攻撃を想定した実践的な演習を定期的に開催したい。

 ITセキュリティーリスク管理にはライフサイクルがあり、平常時と非常時とに分けることができます。

 米国の国立標準技術研究所(NIST)が策定したサイバーセキュリティーフレームワークに基づけば、平常時の管理策は「特定」「防御」、非常時の管理策は「検知」「対応」「復旧」と整理できます。

 平常時は自組織の重要な業務に関わるセキュリティーリスクを特定し、能動的にリスク軽減を図ることが重要です。また「セキュリティー侵害は発生するもの」という認識を持ち、非常時に備えることも必要です。

 今回は、こうした平常時のリスク管理と、非常時の危機対応の考え方について説明します。

サイバー攻撃のWho・Why・How

 サイバー攻撃の被害が世界中で日々報じられています。そのバリエーションは多様で、全体像を把握するのはなかなか容易ではありません。

 しかし、「攻撃者(Who)」「攻撃目的(Why)」「攻撃手法(How)」「結果事象(What)」の関係を整理すると、考慮すべき脅威シナリオが見えてきます。金融業界を取り巻くサイバー攻撃の脅威の構造はおおむねこの4項目で整理できます。

図 サイバー攻撃の脅威シナリオを類型化
図 サイバー攻撃の脅威シナリオを類型化
脅威シナリオを認識してリスク管理態勢を整える
[画像のクリックで拡大表示]

 「攻撃者(Who)」には様々なタイプがあります。腕試しや愉快犯的にサイバー攻撃を仕掛ける、ハッカー予備軍の初心者である「スクリプトキディ」から、思想的な主義主張を展開する「ハクティビスト」、役割を分業している高度に組織化された「犯罪組織」、国家を背景に高い技術力と潤沢なリソースを持っている「国家機関」などです。加えて、内部不正や共謀というケースも考慮に入れる必要があります。

 最近では攻撃に利用するためのツールやサービスが簡単に手に入るようになり、また攻撃者同士での情報やノウハウの共有も活発です。攻撃能力はますます高度化しており、攻撃者の裾野も拡がっています。

 「攻撃目的(Why)」は「金銭目的」「諜報」「主義主張」「インフラ攻撃」の4つに大別できます。4つの目的は攻撃者のタイプと強い関連性があります。例えば犯罪組織の攻撃は専ら「金銭目的」です。金銭を得るためのあらゆる攻撃を仕掛けてきます。

 これに対し国家機関の目的は「諜報活動」や「インフラ攻撃」になるでしょう。サイバー攻撃によって重要インフラをサービス停止に追い込む、といった混乱を狙います。また、資金調達のために「金銭目的」で攻撃する場合もあります。いずれにせよ、巧妙かつ執拗な攻撃を繰り広げます。

 「攻撃手法(How)」について、当社は大きく4つに分類しています。