ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
前回、情報セキュリティ業界の年中行事として、独立行政法人情報処理推進機構(以下、IPA)が1月末に発表した「情報セキュリティ10大脅威2025」(以下:10大脅威)を紹介した。その後、2月には企業など組織に関するセキュリティについて『「情報セキュリティ10大脅威2025」解説書』(以下:解説書)が公開された。さらに解説書を自組織のセキュリティ脅威にどのように役立てればよいかのヒントが書かれた『「情報セキュリティ10大脅威」解説書の活用法(組織編)』(以下:活用法)も同時に公開された。今回はその概略を紹介する。
前回、本連載で「情報セキュリティ10大脅威2025」を取り上げ、上位に「ランサム攻撃による被害」や「サプライチェーンや委託先を狙った攻撃」などの常連が並ぶ中、7位に「地政学的リスクに起因するサイバー攻撃」が初登場したと紹介した。
10大脅威の発表だけでなく、詳細な解説書や活用法を公開した目的は「自組織にとっての脅威と対策を考える」ことだ。活用法の冒頭では、解説書を読む上で(1)順位にとらわれず、立場や環境を考慮する、(2)ランクインした脅威がすべてではない、(3)「情報セキュリティ対策の基本」が重要、という3つの留意事項を上げている。
組織の中には解説書を参考に10大脅威のランキングの上位から対策を講じていこうとするケースも見受けられるが、それは効果的ではなく、かといって関係ないと済ませてしまえば脅威がなくなるものではない。
活用法が推奨するのは、3つの留意点を踏まえながら10大脅威のランキングにこだわらず、実効性のある対策を立てることだ。そのためには自組織にとって重要な脅威を抽出し、その対策候補を洗い出し、予算などを考慮して実施する対策を選択していく必要がある。活用法はその具体的なアプローチを解説している。
自組織にとって重要な脅威を抽出するには、まず「守るべきもの」を明確にしなくてはならない。対象には、業務プロセス、保有する重要な情報やデータ、それを利用し提供するサービスやシステム、サービスやシステムを構成する機器などがある。
活用法では事例としてオンラインショッピングサイトを立ち上げた日用生活雑貨を販売する企業を設定し、組織での検討例を取り上げている。ここで守るべきものは、オンラインショッピングシステム、ITシステム、保有する情報やデータとしている。
次に、自組織にとって守るべきものへの脅威を抽出する。10大脅威を参考に、自組織の守るべきものに被害をもたらす可能性がある脅威を洗い出す。また脅威が大きな損害、損失につながる場合には、具体的な被害も想定する。
自組織の守るべきものに対する脅威が見つからなければ、過去の10大脅威にさかのぼって自組織に関係する脅威を見つけることも大事なプロセスだ。今回ランクインしていなくても、今でも存在する脅威があるからだ。
具体的な被害を書き出す際には、その被害がどの脅威に対応するのかもメモする。脅威の抽出と被害の想定が完了したら、発生してほしくない順番に脅威を並べ替える。想定被害額が大きい順番に並べ替えるのも一つのやり方だ。
前述の事例では、被害額に会社の経営方針を考慮して順位付けを行い、ランサム攻撃、システムの脆弱(ぜいじゃく)性を突いた攻撃、不注意による情報漏えいという順番で整理している。活用法では、検討内容について経営者などからお墨付きを得るよう勧めている。
最後に対策候補の洗い出しを行う。脅威に対して考えられる対策候補を列挙していく。情報セキュリティの世界では脅威と対策の関係がN対Nになる場合も珍しくない。そこで活用法では表形式にして検討する方法を紹介している。
その上で実施する対策を選択する際には、予算や時間、システムの状況から一部実施などの条件を付けたりして実施の優先順位を決めるだけでなく、実施予定日を明確にしておくのが望ましい。
このように活用法を参考に実行計画を立案し対策を講じると、どの組織でも実効性の高い対策を実現できるはずだ。
執筆=高橋 秀典
【TP】
最新セキュリティマネジメント