最近の共同通信の調査によると、企業を狙ったサイバー攻撃によって、昨年は少なくとも1260万件の個人情報が流出した恐れがあるということです。組織の幹部やパートナーなどとの信頼関係を偽装して被害者を騙すランサムウェア、フィッシング、ビジネスメール詐欺(BEC)攻撃の急増を考え合わせると、日本の組織は金銭や機密情報を盗むことを目的としたサイバー犯罪者によって包囲されているといっても良いでしょう。脅威環境を取り巻く状況は絶え間なく変化しており、攻撃に先回りした防衛が必要です。状況は厳しいと思われるかもしれませんが、どのような組織でもサイバー犯罪に対して主導権を握ることができる、3つのシンプルなステップをお勧めします。
組織内ユーザーの行動パターンを知り、理解する
電子メール、ソーシャルメディア、モバイルエンゲージメントなどのデジタル通信チャネルは、他の主要なグローバル化された経済と同様に、日本全国で活用されています。しかし、日本のビジネスは世界的に見ても相互の繋がりが最も強いため、サイバー犯罪者のターゲットとなることが多いのです。実際、IPA によれば、 日本のサイバー攻撃の85%以上が電子メール経由です。
皆様の組織のセキュリティ戦略は、このような状況を考慮して設計する必要があります。ネットワークエッジでの従来型の防御を維持することも重要ですが、これからのセキュリティは、従業員やパートナーの仕事のやり方にも配慮しなければなりません。それによって、脆弱性を最小限に抑えながら効率を最大化するためのベストプラクティスを導入できるのです。
例えば、パスワードをかけたファイルを電子メールに添付して送信し、その後でパスワードを記載された電子メールを送信するということが習慣的に行われているとしたら、その組織は危険にさらされているということができます。その他の例としては、様々な従業員が非常に機密性の高い情報にアクセスできる状態にあるような場合も、リスクが高いといえるでしょう。
従業員一人一人が、自らが所有する情報の価値を理解し、それを守るために備えることも重要です。そのためには教育が有効ですが、人的ミスは完全に無くすことはできません。最悪の場合に備えて、技術の導入と経営層の関与が必要です。
経営層のリーダーシップが不可欠
情報の流出は、単なる現代的迷惑に留まらず、企業、経歴、評判を破壊する可能性があります。サイバーセキュリティは、企業にとっての優先事項として、強力なリーダーシップの元で推進されなければなりません。企業を守ることは経営層の仕事であり、IT部門またはCIO (最高情報責任者) だけの仕事では無いのです。
残念ながら、IT部門の中ですら、サイバーセキュリティが重要視されていないことがしばしばあります。IT部門内に、最高情報セキュリティ責任者 (CISO) または最高セキュリティ責任者 (CSO) を中心に組織される専用セキュリティチームを組織し、それを維持することが重要です。これらの役職は「あった方が良い」では無く、必須かつ基本的なものと考えられるべきであり、お飾りではなく、実際の権限を持つ経営層としての地位が与えられなければなりません。彼または彼女には、最新の脅威がについて説明し、脅威にさらされるリスクを最小限に抑えるベストプラクティスを導入し、適切にポリシーをアップデートするために、経営層のバックアップが必要です。
経営層の明確な優先度づけが、効果的なセキュリティを可能にします。すべての従業員には自らが所属する企業を守る責任があり、積極的に行動することでリスクを大幅に減らすことができます。
戦略的な多層防御が必要
私の経験では、一部の組織では、すべてのセキュリティ問題の解決策としてツールを位置づけており、結果として翌年には別のソリューションが必要になる、ということを繰り返しており、これは経営層を疲労と混乱に陥れます。そうではなく、企業には統合された多層防御戦略が必要です。注意を怠ることを許さず、常に細かい調整が必要な現代経済において、サイバーセキュリティを動的な機能として捉えなければなりません。
効果を発揮させるためには、ニュースで騒がれている脅威だけでなく、全体の脅威環境を調査する必要があります。断片的な解決策の寄せ集めでは無く、包括的なサイバーセキュリティ戦略を採用しなければなりません。
例えば、ランサムウェアは日本中の組織に影響を与えており、引き続きニュースでも注目を集めています。これは減速する兆しも見られない重要な問題ではありますが、ビジネスメール詐欺 (BEC) 攻撃のような脅威が増え続けていることも、見失わないことが重要です。
BEC攻撃では、サイバー犯罪者は悪意を持って幹部やビジネスパートナーなどの信頼関係を偽装して、組織内の人々を騙して攻撃者に金銭や機密情報を送ります。日本語が障壁となって電子メール攻撃の多くを防いでいるとも言われていますが、私たちは多くの日本企業が餌食になるのを見てきました。日本におけるBEC攻撃は他の国ほど普及していませんが、その差は縮小しています。
サイバーセキュリティ戦略を、保険を掛ける以上のものにしなければなりません。侵害による財務上の影響には、生産性の低下、ブランドに対する消費者の信頼の喪失、それらを払拭するための訴訟費用、知的財産が盗まれた場合の競争力の低下などがあります。さらに、サイバーセキュリティ保険からの支払いを受けるためには、組織が違反や資金の損失を避けるためにできることをすべて行ったことを証明する必要があります。Proofpointの研究によると、現在のサイバー攻撃者の主な狙いは「人的要因」ですが、これは多くの場合補償されません。最後に、これらの保険は往々にしてコストがかかり過ぎ、今日の脅威環境に適応するのは難しいといえます。
ホームランを狙う
セキュリティ戦略を策定するための第一歩は、監査を実施することです。自らの組織を評価し、最も機密性の高い情報を特定し、その情報にアクセスできるユーザーを決め、保護手段を適用します。従来型の電子メールセキュリティ技術に、標的型攻撃からの保護と自動的な脅威対応を付加することも重要です。もちろん、ソーシャルメディアとモバイル通信チャネルも統合するようにしてください。
野球には「ボールがあなたを見つける」という言い回しがあります。自分自身や自分の能力に自信が持てない場合、そこをめがけてボールが飛んでくるというのです。相互に接続されたビジネスの世界では、サイバー犯罪者があなたを狙っており、これは避けられません。現状に目を向けない断片的なアプローチは戦略とは呼べず、最終的には最悪の結果を招きます。
皆様、皆様の組織、皆様のパートナー、そして最も重要な皆様のお客様は、高度で気が利いたアプローチを望んでいます。サイバー攻撃は組織にとって不名誉なだけではなく、潜在的な地雷であるといえます。サイバー犯罪者がどのように従業員を狙うか、それに対してどのように組織を保護したら良いかについて、詳しくは「Human Factor 2017レポート」をダウンロードしてご覧ください。