はじめに
近年、「サイバー脅威の増大」や「攻撃手口の高度化、巧妙化」などのような表現で、組織におけるサイバーリスクが急激に高まっていることが懸念されている中で、残念ながら、国内で事業リスクに直結したサイバー被害が複数発生している。もはや、サイバー攻撃は生産性、評判、知的財産を含む企業資産に大きな影響を与える可能性の高いリスクとなってしまった。そのため、さまざまな業界の企業がサイバーセキュリティの改善および強化の取り組みを始めている。
その取り組みの最初のプロセスにおいて、セキュリティ・インシデントの発生回避、被害抑制、迅速対処、早期復旧を実現するための体制や能力を有しているかどうかを見極めるために「セキュリティ監査」を実施する。具体的には、企業における情報システムについて、セキュリティ対策が特定の水準にどれだけ適合しているかを測定するなどして、情報システムのセキュリティ環境を体系的に評価する。
この評価結果に基づいて、実効性および適正性のあるセキュリティ対策を選択及び集中させることで、サイバー攻撃の脅威に適合した取り組みにつなげていくことができる。
脅威に適合しようとするセキュリティ監査の変化
セキュリティ監査には、実施内容の性質の違いによりいくつかの種類がある。主なものとして、組織のリスクの特定、推定、優先順位付けに役立つリスクアセスメント」、セキュリティ手順、設計、実装、内部統制の欠陥を明らかにする「脆弱性評価」、最近のハッキング手法を使用して ITインフラのセキュリティ上の弱点を明らかにする「ペネトレ ーション(侵入)テスト」、組織が業界でビジネスを行うために必要な規定への準拠状況を確認する「コンプライアンス監査」などを挙げることができる。
これらのセキュリティ監査の手法やプロセスは十分に成熟しており、知識体系や標準的なフレームワークが整備され てい る。多くの企業は、このようなセキュリティ監査を実施することにより、対外的な説明責任や信頼性の確保に役立ててきた。
しかしながら、サイバー攻撃による脅威が急激に増大したことで、これまでのアプローチによるセキュリティ監査では、組織の事業や資産に悪影響を及ぼす箇所 を見過ごしてしまうケースが目立ってきた。この主な要因としては、すでに確立されたセキュリティ監査の設計思想が「単体システム及びその連続したつながり(プロセス)」をベースにしていたことにある。
最近のサイバー攻撃が仕掛けられる対象領域は、「相互に複雑につながったシステム群を基盤とした、エントリーポイント(入り口点)が多数存在するソフトウェアの組み合わせの全て」である。これは、Attack Surface(攻撃表面、攻撃対象領域)という概念で知られているものであるが、これに加えて、ソフトウェアへの依存性を高め ている人間の脆弱性(心理のスキ)を悪用した詐欺的行為も増加しているため、このようなリスクへの対策設計は多種多様な要素の組み合わせとなる。そのため、既存のセキュリティ監査を実施しただけでは、これらを体系的かつ網羅的に評価することが困難になってきているのである。
そこで、最近のセキュリティ監査では、「脅威主体が取りうる攻撃のプロセスや手順を踏襲したアプローチ」を取ることで、網羅性や有効性を少しでも高めようとする努力が行われている。
実際には、次の3つのアプローチがある。
- ブラックボックス監査:監査対象のIT環境について公開されている情報だけで行うもので...