攻撃に狙われにくい企業になるには「攻撃者のROI」を引き下げる対策を
サイバー攻撃に狙われにくい企業にするための対策にも、経営のノウハウが適用できると蔵本氏は説明する。「攻撃者側のROI」という視点だ。
企業のセキュリティ対策にROIがあるように、攻撃者側にも“サイバー攻撃のROI”がある。蔵本氏が紹介した2015年のデータ(Trustwave調査)によると、そのROIは「1425%」にも達している。つまり、サイバー攻撃は“効率の良いビジネス”になっているのだが、一方で投資額も高騰しているという。
サイバー攻撃ビジネスのROIは非常に高い。攻撃の方法/機会/動機のいずれかをくじくことで、このROIを引き下げる取り組みが重要
「〔闇市場で入手できる〕ゼロデイ脆弱性の販売リストを見ると、iOSの脆弱性は6000万円、スマホの脆弱性が1200万円、Webアプリが1000万円など。マルウェア作者は、これくらいの初期投資をして攻撃している」
高額な投資をした攻撃者は当然、その投資をいち早く回収したいと考える。したがって、攻撃者にとってROIの低い、“効率の悪い”攻撃ターゲットは狙いたくない。ここが防御側が考えるべきポイントだ。
「せっかくハッキングできたのに、データが暗号化されていて読めないとか、100万件を根こそぎ持ち出そうとしたら1件ずつしか持ち出せないとか。攻撃のROIが低い、そんな会社を攻撃者は狙おうとは思わない」
具体的な対策の例として蔵本氏は、重要データの暗号化などの被害軽減策を挙げた。
「NIST(米国立標準技術研究所)では、攻撃のROIを下げるために4つのフェーズで対策を考えよ、としている。〔最初の侵入を防ぐ〕防御力向上や検知分析だけでなく、〔侵入後の〕被害軽減、事後対応までを考えること」
NISTが掲げるサイバー攻撃防御の「4つのフェーズ」。最初の防御に失敗しても、事後的な対策で被害を軽減することはできる
蔵本氏は、多くの企業が「被害ゼロ、ダメージゼロ」を意識しすぎるあまり、防御力向上や検知分析のための対策にばかり注力しているが、その目標は現実的ではないと指摘する。
「『ダメージゼロ』になるまで対策することを考えると“ハマる”。攻撃を防げなくとも、即『ダメージ100%』になるわけではない。現実には、それを5%や10%に抑えること、致命傷ではなくかすり傷で済ませることが重要」
そして蔵本氏は、Windows 10やAzure RMS、Azure OMSといったマイクロソフトの最新テクノロジーを使い、上述した4つのフェーズの対策がどう実現できるのかを紹介した。
* * *
同セミナーの別セッションでもレポートしたとおり、セキュリティはもはや大きな経営課題の1つとなっている。しかし、経営層の持つ情報や知識で正しく判断できることは少ないのが現実だろう。経営層と現場セキュリティエンジニアの円滑かつ充実した情報共有は、企業経営の重要な鍵を握るものとなっている。
それを実現するためには、蔵本氏が繰り返し指摘したように、特にエンジニアの側から「半歩だけ」歩み寄る姿勢が必要になる。しかしそのハードルは、思っていた以上に低いのではないだろうか。
■Amazon.co.jpで購入
もしも社長がセキュリティ対策を聞いてきたら(日経BP Next ICT選書)蔵本 雄一(著)日経BP社
