コラム

 公開日: 2016-03-23  最終更新日: 2016-09-06

サイバー攻撃は「鉄壁の防御」で防ぐのではなく、「耐える」ことが重要

先日、海外からサイバー攻撃に関する、ある調査結果が公開されました。その調査の結論としては、
「(標的型攻撃でなければ、)サイバー攻撃に9日間耐えられれば、サイバー犯罪者は攻撃を諦める」
というものでした。
国内企業、特にITベンダーは、
「絶対に破られない」
ことを前提にしたセキュリティ対策を考えることが多いのですが、世の中に「絶対」ということはまずありえません。サイバー犯罪者はセキュリティを破ることを生業にしているため、ITベンダーを含む一般企業の従業員よりもスキルが高いことが多く、それ故に「絶対に破られない」セキュリティ対策を構築することは至難の業であることを前提に考えるべきです。
今回はこの調査結果の内容から、セキュリティ対策に対して多大なコストをかけることなく、どのような対応を行うべきか確認したいと思います。

セキュリティ対策に関する調査結果概要

冒頭で述べた調査は、米国のセキュリティ会社であるPalo Alto Networksから発表された
For Cyberattackers, Time Is The Enemy
に基づく内容です。この調査は米国などのセキュリティ専門家に対するアンケートを集計した結果です。

まず、サイバー攻撃者がセキュリティを破るためにどのくらいの時間をかけるのか、言い換えれば、何時間経過したら攻撃をあきらめるのか、という問いに対しては、40時間、つまり2日弱の時点で60%のサイバー攻撃者はあきらめる、という結果でした。
サイバー攻撃をあきらめるまでの時間

この結果からサイバー攻撃者が攻撃をやめるまでの時間を想定したところ、209時間となりました。つまり、9日間を経過すれば、ほとんどのサイバー攻撃者は攻撃をあきらめ、他のターゲットを探すということです。

また、セキュリティ強度という観点では、高度なセキュリティレベルを備えた企業に対して、サイバー攻撃者が攻撃計画と実行にかける時間は、一般的セキュリティレベルの2倍以上となる147時間、つまり6日以上を費やす必要があるということです。
サイバー攻撃の計画と実行にかける平均時間

その他に確認された結果は以下の通りです。
・サイバー攻撃者の69%は金銭的な利益を目的としています。
・アンケート回答者の53%は、攻撃を成功させるために費やすコストが低下していると感じています。それは、既存のマルウェアや脆弱性の流用、攻撃者のスキルが向上、効果的な攻撃用ツールキットの存在、といったことが主な要因だとしています。
・サイバー攻撃者の72%が、すぐに高い価値を産み出さない情報のために時間を浪費せず、目先の利益を追求しています。

どのような対策を行うか

以上から、サイバー攻撃を受けても2日間持ちこたえれば50%以上の確率で、そして9日間耐えることができれば、ほとんどのサイバー攻撃者はあきらめて他へ行ってしまうということです。
この調査結果を現実世界に置き換えると、空き巣の行動パターンと似ていることが分かります。つまり、目的は金銭目的であり、侵入するために時間をかけず、時間がかかりそうな場合は他のターゲットを見つける、といったことです。
こうした傾向を考えると、現実世界で行われている様に鍵の二重化・三重化、開けにくい鍵の設置、防犯会社のステッカー、といった防犯対策と同様の対策をネットワーク上に施すことで、サイバー攻撃に対処することも可能になると考えられます。例えば、内部ネットワークに侵入されないように構築する障壁を一つの手段に依らず、サイバー攻撃者の手間をかけるような幾つもの障壁を重ねることで、途中で侵入をあきらめてくれることが期待できます。さらに、ネットワークやサーバー機などのログ監視等を行い、不審な動きにピンポイントで迅速に対処することができれば、通常のサイバー攻撃者であれば他の、より侵入し易いターゲットを見つけに行くことにするでしょう。例えば、ほとんどの企業ではインターネットとの境界にはファイアウォールを設置していますが、さらに内部ネットワークにも保有する情報の重要性に応じて二重、三重の対策、例えばゲートウェイ設置、ネットワーク監視ソフトの導入、データファイルの暗号化、アクセス権の絞り込み、認証強化、といった手法を組み合わせることが重要です。そのような対策ができれば、仮に最初の障壁を突破されても重要情報にたどり着くまでに多くの労力を必要となるため、多くのサイバー攻撃者は攻撃をあきらめることが期待できます。またこうした対策は特別な機器やサービスを購入する必要は無いため、それほどコストをかけずに対処することは可能です。さらには、従業員に対する教育やセキュリティポリシーの励行により、より攻撃を受けにくい状況をつくりだすことも可能になると考えられます。

標的型攻撃にはどう立ち向かうか

以上の内容は、特定の攻撃対象を持たない、金銭欲に基づいて活動するサイバー攻撃者には有効であると考えられますが、一方で、最近話題となっている標的型攻撃を目的とするサイバー攻撃者に対する効果は限定的となります。つまり、標的型攻撃の場合は、サイバー攻撃者が政治的、あるいは宗教的な信条、ターゲット組織にしか存在しない情報の獲得、等の理由でターゲットとなる企業や組織を狙っているのであり、どんなに費用や時間がかかろうとも内部ネットワークに侵入し、目的を達成することが重要であるからです。そうなれば、サイバー攻撃者との根競べになる可能性もあります。
その様な場合、上記に述べたように対策を構築するだけでなく、ネットワークやログのモニタリングが重要となります。つまり、モニタリング作業によって攻撃を受けていることを検知し、積極的な対応を行うことによってサイバー攻撃者を撃退する活動が必要になるからです。また、標的型攻撃を受けていると判明した場合は、関係のある企業や組織に対してもアナウンスし、セキュリティ対策を強化させるよう働きかける必要があります。例えば、サイバー攻撃者がターゲットとする企業に対するサイバー攻撃をあきらめた場合、子会社や取引先等、セキュリティ対策が十分でなさそうな企業や組織のネットワークに侵入し、そこからマルウェア入りの攻撃メールを送付する等の活動を行う様、攻撃方法を修正するからです。
よってサイバー攻撃者をあきらめさせるだけでなく、積極的に撃退するにも、ネットワーク内への侵入に時間がかかるような重層的なセキュリティ対策は有効であると考えられます。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

企業や組織はIT部門やITリーダーに対して、戦略的にITを活用したビジネスを実施するための貢献を期待する様になっています。一方で、IT部門の多くは以下の理由により...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
FAKEニュース(偽ニュース)に惑わされないために

最近はネット上にFAKEニュース、または偽ニュースと呼ばれる、事実とは異なるニュースが氾濫しています。先日も「...

[ リスク管理 ]

長期休暇のセキュリティ対応 − IT機器も休暇入りさせましょう

今年もお盆休みの時期が来ました。全社で夏期休暇が設定されている会社もあるでしょう。こうした長期休暇は、年末...

[ セキュリティ ]

世界規模のランサムウェア攻撃に注意

現在、世界規模でランサムウェアによる感染被害が報告されいることはご承知だと思います。今回観測されているラ...

[ セキュリティ ]

事業者が取り扱う「個人情報」とは?-改正個人情報保護法施行前の確認

2015年夏に改正された個人情報保護法が今年(2017年)の5月30日に施行されることが正式に決定しました。現行法では...

[ 個人情報保護 ]

ネット通販の詐欺サイトによる被害に遭わないために

ネット通販における詐欺の被害が続いています。こうした詐欺サイトで商品購入手続きを行うと、代金を振り込んでも...

[ リスク管理 ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ