■ 標的型サイバー攻撃発生時に求められる意思決定の難しさ
100万件以上の個人情報が漏えいした2015年6月の日本年金機構の事件後も、企業を狙う標的型サイバー攻撃の被害は後を絶ちません。標的型サイバー攻撃の侵入方法は93%が標的型メールを発端としており、その内容は非常に巧妙で、標的型サイバー攻撃の脅威を完全に防ぐことは難しいのが現状です。そのため、企業は標的型サイバー攻撃の被害に遭った場合を想定した対策、インシデント対応の体制をあらかじめ整えておくことが不可欠になっています。
そうしたインシデント対応の中でも、企業で標的型サイバー攻撃が発生した場合、意思決定者には重要な決断が迫られます。1つのインシデントの中で行う意思決定は必ずしも1つとは限らず、時系列で様々な意思決定を行う必要性に迫られることもあります。そして時にその決断は、自社の存続に関わることもあるでしょう。意思決定者はインシデントが起きている中でも、冷静に状況や情報を整理、判断し、迅速かつ正しい意思決定を行わなければなりません。そのプロセスの中では、上層部からの重圧、社内関連部門との摩擦、企業を狙うサイバー犯罪者の脅威、限られた予算、人員、時間といった様々な条件を考慮したうえで難しい判断をしなければなりません。
例えば、自社のサーバで外部との不審な通信が確認されたとき、どのように対応するべきなのでしょうか。
- サーバをシャットダウンさせずに調査する。
- サーバをすぐにシャットダウンさせ調査する。
- サーバをネットワークから切り離し調査する。
あなたが意思決定者で、この3つの選択肢から1つを選択しなければならない場合、それぞれの選択がもたらす影響をしっかりと検討し、決断できるでしょうか。このサーバ上で自社の運営するサービスが稼働している場合、自社の利益を優先し 1 を選択することもあれば、サイバー犯罪者に情報が盗まれる、あるいはすでに盗まれている可能性を恐れ 2、3 を選択することもあるでしょう。
標的型サイバー攻撃発生時の正しい意思決定は、自社の置かれている環境や状況に左右されるため、これが正しいというものは1つではありませんが、インシデント対応に関与する意思決定者は、セキュリティ事故が起きたときに備え、どういった観点から意思決定をするべきなのか、そのプロセスを学んでおくことが重要です。
■ 標的型サイバー攻撃における内部対策の重要性について
標的型サイバー攻撃に遭った場合、必ずしもサイバー犯罪者に侵入されてから直ぐに被害が発覚するわけではありません。トレンドマイクロの調査では、サイバー犯罪者による初期の侵入から被害に気付くまでに平均156日を要していることが分かっており、被害に気づけないという点が標的型サイバー攻撃の特徴です。そのため、現在被害が顕在化していない企業においても、実は気づかないうちにサイバー犯罪者にすでに侵入されている可能性もあります。従来の入口、出口対策だけでなく、内部ネットワークを可視化し、標的型サイバー攻撃の可能性を示唆する不審な通信や挙動に早期に気づき対応することが重要です。
トレンドマイクロは、企業において情報セキュリティに従事する意思決定者を対象に、インシデント対応時の正しい意思決定や標的型サイバー攻撃に求められる対策を気軽に学ぶことができるビデオシミュレーションゲーム形式の教材「標的型サイバー攻撃ビデオシミュレーションゲーム」を公開しました。このゲームでは、プレイヤーは架空の企業 Fugle社の CIO として、5つのステージで次々に発生するセキュリティ事故を疑似体験し、その中で正しい意思決定をしながら局面を打開していかなければなりません。ビジネスチャンス、予算、人員などの実際企業においてセキュリティ対策を行う上で関係してくる様々な要素を考慮しながら、適切な意思決定を都度していかなければならないという点で実践的なシミュレーションゲームになっています。
この標的型サイバー攻撃ビデオシミュレーションゲームは以下のページからプレイできます。
標的型サイバー攻撃ビデオシミュレーションゲーム URL:http://www.go-tm.jp/targeted-attack-game