検索
特集/連載

セキュリティ担当者が今すぐやるべき「5つの重要ミッション」はこれだ「セキュリティ7大課題」への向き合い方【中編】

さまざまなセキュリティの課題が浮上する中で、セキュリティ担当者は何から優先的に取り組めばいいのか。特に警戒すべきセキュリティの脅威や課題をまとめた。

Share
Tweet
LINE
Hatena

 人工知能(AI)技術をはじめとした新しい技術は、ユーザー企業に新たな脅威をもたらしている。予算や人手が不足する中、セキュリティを強化するためのポイントになるのは「本当に重要な課題」から手を付けることだ。本稿はセキュリティの7大課題のうち、3つ目から7つ目までを取り上げる。

3.メールだけじゃない、さまざまなフィッシング手法

 フィッシング攻撃は認証情報といった機密データが流出してランサムウェア攻撃など他の攻撃につながる恐れがあるため、決して軽視してはいけない。フィッシング攻撃の種類は主に以下の通りだ。

  • メールによる一般的なフィッシング
  • スピアフィッシング
    • 悪意のあるURLや添付ファイルを開くよう促す手口
  • ビジネスメール詐欺(BEC)
    • 関連会社や取引先になりすまして詐欺メールを送信する手口
  • ホエーリング
    • 企業幹部を狙ったフィッシング
  • ビッシング
    • 電話を使ったフィッシング

 ここで、過去に注目を集めたフィッシング攻撃の事例を紹介しよう。

  • Facebook(現Meta Platforms)とGoogle
    • 2013年から2015年にかけ、パートナー企業になりすました攻撃者から約1億ドルをだまし取られた。
  • Sony Pictures Entertainment
    • 2014年、同社の経営幹部を狙ったフィッシング攻撃の被害に遭った。この攻撃により、100TB以上のデータが盗まれたとみられる。
  • 航空防衛企業のFACC
    • 2016年、同社CEO(最高経営責任者)を装ったフィッシング攻撃を受け、従業員が約5400万ドルを送金させられた。

4.ランサムウェア攻撃

 ランサムウェア(身代金要求型マルウェア)攻撃は引き続き猛威を振るっている。通信大手Verizon Communicationsによると、2023年、全攻撃の24%にランサムウェアが関与していた。セキュリティベンダーSophosは組織の66%が過去1年間(2023年時点)にランサムウェア攻撃を受けたという。ランサムウェア攻撃はシステムの暗号化にとどまらず、データの盗難や転売といった「多重恐喝」の手口が広がりつつある。ユーザー企業は自組織が必ずランサムウェア攻撃を受けると想定し、侵入検知やバックアップなどのセキュリティ対策を講じておくことが欠かせない。

5.サプライチェーン攻撃

 ユーザー企業は、部品供給会社といった取引先や関連会社を標的にした「サプライチェーン攻撃」に注意する必要がある。こうした“間接攻撃”によって、自社システムも影響を受ける恐れがあるからだ。もう一つのサプライチェーン攻撃として、ソフトウェアの開発から提供までの工程(ソフトウェアのサプライチェーン)を狙った攻撃がある。不正コードの挿入などによってソフトウェアに脆弱(ぜいじゃく)性を持たせ、そのユーザー企業を攻撃しやすくするものだ。

 後者の事例として、「Log4Shell」として知られる、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性「CVE-2021-44228」が2021年から幅広い組織に影響を与えた。CVE-2021-44228は悪用された場合、標的システムに対して任意のコード実行が可能になる。

 大半の組織は、自社・他社のソフトウェアに含まれるコンポーネントの詳細を把握していない。そのため、脆弱性があっても発見しにくい。対策としては、定期的にソフトウェアの更新プログラムを実行することが推奨される。「SBOM」(ソフトウェア部品表)を使用してコンポーネントを管理することもセキュリティ対策として有効だ。

6.IT予算の削減

 経済的な不安要素が増大する中で、IT予算を減らしているユーザー企業がある。セキュリティの費用対効果は測定しにくい。セキュリティは単なる「コスト」と捉えられがちなため、IT予算削減の影響を受ける可能性が高いと考えられる。セキュリティ予算が削られたら、セキュリティ担当者を減らしたり、導入するセキュリティ製品を絞ったりせざるを得ないため、攻撃を受けるリスクが高まる。

7.人手不足とスキルギャップ

 人手不足とスキルギャップはセキュリティ分野の深刻な問題だ。巧妙な手口の攻撃が活発化する中では、本来であれば人員を増やしたりスキルを磨いたりすることに投資すべきだ。しかし上記で取り上げた予算削減の問題もあり、それができるとは限らない。。セキュリティ団体ISC2(International Information System Security Certification Consortium)によると、全世界でセキュリティ人材不足は年々、広がっている。組織はこの問題を意識し、セキュリティ人材の採用や育成にできる限り予算を回すべきだ、


 後編は、セキュリティを高めるための施策を紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る