トレンドマイクロが振り返る国内サイバーリスク動向
2024年も猛威を振るったランサムウェア、求められる「リスクの可視化」と「セキュリティ前提の契約」
2025年01月16日 08時00分更新
資産:ランサムウェア被害の深刻化とサプライチェーンリスク
最後は、最終的な攻撃対象である資産の振り返りだ。サイバーリスクにおいて、「脅威」と「脆弱性」はサイバー被害に直接関連するが、「資産」は被害の影響度を決める。年々、組織の抱える資産は増え続けており、それにつれて守るべき箇所も増え、被害発生時の影響も拡大している。
特に、ランサムウェア被害は深刻化しており、トレンドマイクロの調査では、過去3年間における国内組織の累計被害額は約2億2000万円で、2023年時と比べて約4400万円増加している。
ランサムウェアの被害経験企業の過去3年間の累計被害額
また2024年は、サプライチェーンリスクにおける「データサプライチェーン」が注目を浴びた年になった。業務を他組織に委託する中で、特にデータが集積される業種が被害を受けると大規模な情報漏えいが発生してしまう。
象徴的な事例が、イセトーのランサムウェア被害だ。同社への攻撃ひとつで、業務の委託元である50組織以上から預かった約150万件の個人情報が流出。加えて、契約上削除するべきだった個人情報が保存されており、奪取された点にも注目が集まった。
トレンドマイクロの調査では、2023年からデータサプライチェーン被害を受けた「委託先」数は大きく変動はないが、委託先の被害から影響を受けた「委託元」の数は、2023年の103社から、2024年(12月15日時点)は218社まで増加。それに伴って、流出したデータ数も急増している。
委託先が被害を受けたことで漏えいした受託データ数
岡本氏は、「委託元にとって、委託先に渡した情報は管理から離れたものと捉えがちだが、アタックサーフェス(攻撃対象領域)のひとつ。ただ、イセトーの事例のように、契約上削除が決められていたにも関わらず情報が漏れることもあり、管理しきれないのが現状」と説明。
加えて、「突き詰めると委託先に渡す情報は、流出することを前提で考えなければいけない。少なくとも、インシデントに備えて、どんな情報をどこに渡したかをセキュリティ部門などが把握する必要がある」と指摘した。
対策:キーワードは「サイバーリスクの可視化」と「セキュリティ前提の契約」
最後に、2024年の動向から、今後どのような対策が求められるかが語られた。岡本氏が挙げたキーワードのが「サイバーリスクの可視化」と「セキュリティ前提の契約」だ。
サイバーリスクは、決してゼロには抑えられないため、リスクを低減させることを目指すことになる。そのための第一歩となるのが、サイバーリスクの可視化だ。攻撃対象領域を可視化するASM(アタックサーフェスマネジメント)も注目度が高まってきた。
トレンドマイクロが提供する、攻撃対象領域のリスク指標も算出できるASRM(アタックサーフェスリスクマネジメント)機能のデータをみると、ランサムウェアに感染した組織は平均よりもリスク指標が高く、リスクの可視化から対策を進める重要性が浮き彫りになっている。
ASRM機能による法人組織のリスク状況とランサムウェアの感染状況
もうひとつのキーワードがセキュリティ前提の契約だ。
サプライチェーンリスクの高まりに加えて、個人情報保護法においても、委託先への適切な監督が求められている。データ管理には、「同じデータは同じ管理の下に置かれるべき(Same Data, Same Management)」という原則もあることから、「委託元と同じ管理体制が構築できないのであれば、データを委託すべきではない」(岡本氏)というのが基本になる。そのためには、契約を結ぶ際に、適切なデータ管理体制を要求しなければならない。
脆弱性対応においても、契約の見直しが求められる。岡本氏は、脆弱性が放置されている背景には、ユーザー企業とベンダー企業との期待値の齟齬があると指摘する。
例えば、人材不足のユーザー企業は、運用保守の範囲で脆弱性対応をして欲しいが、実際の対応には追加コストが発生する。ベンダー企業は、脆弱性情報を都度開示しているが、ユーザー企業は適切に届いていないと主張する。半田病院のランサムウェア被害も、同じ構図から引き起こされており、これらの齟齬を解消するには、脆弱性管理を踏まえた契約が必要となる。
岡本氏は、「システム開発や人材派遣、クラウドサービスなど、様々な契約において、リスクをどう抑えるかを事前に考慮しなければいけない。また、イセトーの事例から、契約の遵守状況を把握することも求めれられている」と強調した。
