サイバー保険提供企業が語る、セキュリティ動向とインシデント時の企業の損害 調査・対策費用に加え、ノウハウ流出など金額換算できない被害も

IT・情報セキュリティ

目次

  1. サイバー攻撃は、愉快犯的な手法から金銭目的のターゲティング攻撃に変化
  2. トップダウンでセキュリティ対策に取り組む企業が増加
  3. インシデント時には調査・対策等の費用が発生、ノウハウ流出など金額換算できない損害も

サイバー攻撃により、数百億円の被害が発生――。

サイバー攻撃や内部不正をはじめとした、企業におけるセキュリティ被害の報道が続いています。被害発生時には、原因調査や顧客への補償、事後対策などの対応が必要になるとともに、独自のノウハウなどが流出した場合は、金額では換算できない損害が生じてしまうことも考えられます。一方で、そのような実情を理解しつつもセキュリティ対策予算と人的リソースが潤沢でなく、とれる対策が限られる企業もあるでしょう。

そうしたなかセキュリティ被害を見据えて活用されているサービスの1つがサイバー保険です。被害発生時の事故対応コストに加え、賠償・訴訟費用などを補償、企業の適切なセキュリティ対応とそのスピード向上をサポートします。

本稿では、サイバー保険「事故補償パック for JSOC®」を提供する株式会社ラックの武田 一城氏と西川 晃央氏に近年のセキュリティ被害の傾向や、被害発生時に企業が受ける損害について伺いました。また後編では、サイバー保険の概要と活用例、および法務・コンプライアンス担当者のセキュリティ対策への関わり方について解説いただきます。

サイバー攻撃は、愉快犯的な手法から金銭目的のターゲティング攻撃に変化

2019年も多くのサイバー攻撃被害が報じられていますが、近年のサイバー攻撃やセキュリティ被害の動向について教えてください。

武田氏:
近年のセキュリティ動向については、独立行政法人情報処理推進機構(IPA)が毎年公表している、情報セキュリティの「10大脅威」が参考になります。サイバー攻撃に限らず、物事は急に発生するのではなく、段階を追って進展します。そのため、サイバー攻撃の本質を理解するためには、現在の1点を見るよりも、過去からの経緯を積み重ねた線として見ることが重要です。全体像を把握した上で個々の状況をあてはめると、より理解の精度が上がるでしょう。

10年以上前は、現在より愉快犯に近い攻撃が多かった印象です。また、攻撃手法のルーチン化や攻撃ツール類の整備、自動化が進んでいなかったこともあり、サイバー攻撃自体が1つの業界のようになっている現在と異なり、特殊技術を持った一部の人々の違法的な行為だったと思われます。

それが徐々に金儲け目的の攻撃が顕著になり、サイバー攻撃は儲かる「ビジネス」になったのです。現在は、攻撃者自身がサイバー攻撃によって得る利益はもちろん、攻撃のためのツールや脆弱性のありかに関する情報を売買するような周辺ビジネスも拡大しており、サイバー攻撃ビジネスの裾野は拡がっています。

その中で発生した事件や事故は数多くありますが、それ自体を深く掘り下げても個々の事案の要因が明確になるだけで、一般の方にはあまり意味はありません。しかし、2011年に国内の大手重工業企業が、標的型攻撃とみられるサイバー攻撃被害を公表したこと(通称:標的型攻撃事件)は、日本国内のセキュリティ市場に与えた影響を考えると無視できません。この事件を契機に、日本国内のサイバー攻撃に対する意識が大きく変わりました。「10大脅威」でも、この事件のあった翌年の2012年版では標的型攻撃がトップにランクイン、以降、常にトップ3に挙げられ続け、最新の2019年までの8年間で6回トップになっています。ランキングの傾向からもわかるように、事件から10年近くが経過したいまも、攻撃者が多くの時間と手間をかけた執拗な攻撃(標的型攻撃)に対する抜本的な解決策はありません。現在も多くの企業で対策しなくてはならない課題として、取り組まれています。

標的型攻撃は攻撃者にも非常にコストがかかるため、必ずしもどの会社も狙われるわけではなく、すべての企業が万全な対策をしなくてはならないわけではありません。無作為に攻撃しても攻撃者は儲かりませんので、お金が確実に手に入るところを狙います。これはマーケティングや販売戦略と同じです。攻撃者はより大きな成功を目指してPDCAサイクルを日々回しているのです。

一方、防御する企業側はわざわざ外国から「うちの会社なんか狙う訳がないだろう」と思ってしまいがちです。たとえば海外のミサイルが自国に向けて攻撃をしてくると言われても、なかなかピンときませんよね。しかしサイバーの世界では、地球の裏側でも、隣の人でも攻撃する手間は大きく変わりません。日本国内のごく一般的な企業が狙われる可能性は十分考えられるのです。攻撃者は単に儲かる算段がつけば、攻撃を実行に移すだけです。

近年注目されているサプライチェーン攻撃も、最終製品を製造する大企業を正面突破するのではなく、比較的対策が手薄な中小企業の含まれる部品メーカー等を狙います。つまりサイバー攻撃によって儲かる要因を見つけた場合は、脆弱だというだけで攻撃対象になり得るということです。

攻撃手法はどんどん進化する一方、狙われる企業側の意識がその進化に追いついていない状況といえそうですね。そのほか近年、特に企業が注意すべきセキュリティ被害はありますか。

武田氏:
単なるサイバー攻撃とは異なる点もありますが、内部不正による被害も続いています。発生件数の絶対数は多くないですが、深刻なリスクと言えるでしょう。攻撃者がサイバー攻撃によって得た情報には、間違った情報や古い情報、ダミーなどが含まれている可能性もあり、必ずしも正確性が担保されているとは限りません。一方、取得したい情報に精通している組織内部の人を味方につけられれば、正確性の高い情報だけを入手できます。攻撃者が数億円、数十億円を狙う場合、多くの手間や時間をかけるより、内部の人をたらしこんでその人に数千万円払った方が得だという論理が働きます。

そのため企業はサイバー攻撃に対する直接的な防御だけを気にするのではなく、ログの取得、解析をはじめ、攻撃されていることに気づく仕組みをつくり、外部からのアクセスだけでなく、組織内の誰が何をしたかがちゃんとわかる仕組みを持っておく必要があります。

このように、企業は様々な攻撃・被害に備えた対策を行わなければならないのですが、一般企業がすべて実行することは難しく、対応が追いつかない企業が出てくるのが実情です。企業が頭を抱えているあいだに、攻撃者は何度もトライ&エラーを重ねて攻撃の効率を上げ、どんどん攻撃者に有利な世界になっていく、というまずい状況になっているといえます。

企業はどのような考えを念頭にセキュリティ対策に取り組むべきなのでしょうか。

武田氏:
「こんな対策をすれば万事OK」という秘策は残念ながらありません。どれだけ高い防御壁を備えても、攻撃者は小さい穴や裏口がないか狙っています。普段、ちゃんと家の戸締まりをしていても鍵を締め忘れてしまうようなことが、企業のシステムでも起きてしまうものです。システムは人間が利用し、管理しているので、100%の防御を続けることはできません。攻撃者は、そのようなちょっとした隙をついて侵入するのです。企業がビジネスを行う以上、社員が日々利用するシステムの防御をガチガチに固めて利便性を大きく損なうことは企業の存在意義を失う事にもつながるため、必要以上に厳しい運用はおすすめしません。人間が運用している仕組みである限り、必ず穴が開く可能性があることを念頭に置き、攻撃者に侵入された場合にも適正に対処するための対策をすべきだと思います。

たとえば、ログを定期的に確認するだけでも、有効なセキュリティ対策と言えます。ログの確認であれば、新たな設備投資もいらず、手間もそれほどかかりません。きちんとしたログ解析をしようとすると専門的知識が必要な部分もありハードルが上がりますが、この10年ほどで普及した次世代型ファイアウォールなどのセキュリティ対策製品にはそれを支援してくれる機能があるものも多いです。具体的には、その機器を通過した通信の情報を可視化して見せるダッシュボード機能です。これを見ることでネットワークの定点観測ができ、ある日いきなり通信が異常値を示した場合など、セキュリティ対策製品の持つセンサーに引っかからなかった攻撃者の侵入などにも気づくことができるでしょう。

攻撃者も目をつけた企業へすぐに攻撃するだけではなく、別ルートを模索したり、タイミングを待ったりすることもあるのですね。

武田氏:
はい、事件後の公開情報や、セキュリティリサーチャーと呼ばれる専門家の調査からはそう推測されます。効果的な対策が普及すれば攻撃者は別の方法を考えます。結局はいたちごっこなのですが、セキュリティ対策を行う側は、複数の情報ソースを持って攻撃者の動向を掴みながら、最善を尽くさなければなりません。

トップダウンでセキュリティ対策に取り組む企業が増加

多様な攻撃手法が考えられるなか、企業で対策が進んできている領域はあるのでしょうか。

武田氏:
セキュリティ対策製品が攻撃を跳ね返す「壁」から攻撃を検知する「センサー」化してきており、そうしたソリューションを駆使して攻撃の検知に取り組む企業も増えてきています。しかし、それらが十分に運用され、機能してはいないのが現状です。高い危機意識を経営層が持ち、積極的に対策に取り組んでいる企業は、当社はじめセキュリティベンダーが提供するセキュリティ監視サービスを利用しています。しかし、それはまだまだ一部の大企業に限られるのが現状です。一般的な規模の企業では、PCやネットワーク機器の整備・リプレースだけでシステム関連の予算がひっ迫され、セキュリティ対策に費用を割けないことも珍しくありません。また、現状のセキュリティ対策はシステムによる完全な自動化からはほど遠い状況で、システムから出るアラートに人間が対応しなければなりません。

ここ数年、CSIRT(Computer Security Incident Response Team)と呼ばれる、コンピュータセキュリティに関するインシデントへ対処するための組織体制の整備が進みました 1。2015年に経済産業省とIPAから公表された「サイバーセキュリティ経営ガイドライン Ver1.0 2」 でCSIRTの整備について言及されて以降、各社で取り組みが進んでおり、現在、日本シーサート協議会(NCA)の一般会員数は約370社にのぼっています。

何十万社もある日本企業のうちまだ400社未満とも言えますが、こうした取り組みに積極的な企業が増え、セキュリティ対策の知識を持つ人が増えてきたという意味では、ここ5年くらいで大きく状況が変わってきたと思います。

そうした取り組みを先導するのは、システム部門が多いのでしょうか。

武田氏:
そこが面白いところで、NCAに加入した企業のうち最初の50~100社くらいまでは、ほぼシステム部門が主管していたのですが、最近の加入企業の半分以上はコンプライアンス部門、リスク管理部門がCSIRTの主管部門だといいます。これは、セキュリティ対策がシステム部門内の限定的な問題から、企業全体の問題になったことを示しています。ある意味では、企業経営におけるパラダイムシフトともいえるでしょう。現場の方にお話をきくと、まだまだITの専門用語が理解できないというコミュニケーションレベルの課題などで問題は山積という例も多いようですが、それは今後に期待しましょう。

全社の意思決定としてセキュリティ対策に取り組む企業が増えてきているのですね。

武田氏:
はい。自社と同規模の企業がセキュリティ体制を整備しはじめたり、セキュリティによる被害を受けてしまったけれども、その際にしっかりと対処をして褒められる企業が出てきたりするなかで、「うちもやらなきゃな」という動きが広がっていると感じます。

株式会社ラック サイバーセキュリティ・公共事業部 担当部長 武田 一城氏

株式会社ラック サイバーセキュリティ・公共事業部 担当部長 武田 一城氏

インシデント時には調査・対策等の費用が発生、ノウハウ流出など金額換算できない損害も

サイバー攻撃等によるセキュリティ被害を受けた際、どのような対応に苦労する企業が多いですか。

武田氏:
企業が一番困るのは、自分達では何が起こったのかを把握できないことです。たとえばログの取得や管理をしていないと被害や経緯を調べられません。被害に遭ったことでパニックになり、怪しい端末をすべて再インストールして証跡を消してしまったり、企業のシステム担当者がわからないなりに様々な操作をしたりすることで、被害を受けた時点の設定や異常な挙動など本当に知りたい攻撃者の痕跡がわからなくなってしまうのもよくあるパターンです。セキュリティ被害に遭った際は基本的には何もいじらず、フォレンジック調査等を含む緊急対応サービスを提供できるセキュリティ対策の専門事業者に依頼すべきでしょう。

セキュリティ被害を受けた企業は、具体的にどういった損害を被ることが想定されますか。

西川氏:
まず調査費用や、問い合わせ対応を含めた緊急対策費がかかります。またWEBサービス事業者などでは、機会損失を含めたサービス停止に関わる損害が生じます。名前の知れているコンシューマー向け商材などでは、ブランドの毀損や不買運動への発展、WEB等に情報が残ることによる損害なども考えられるでしょう。

そのほかノウハウや知識などの機密情報の流出による損害は金額換算しようがありません。個人情報が漏えいしたケースなどでは補償の費用も必要となるでしょう。また発生事象への対応が終わったあとに、今後、同様の被害を発生させないための対策費用もかかります。システム面はもちろん、人の教育やオペレーションによる対策を行うこともあります。過去の被害例では、ユーザーの個人情報流出を経験した教育機関において、臨時で260億円の対策費用を積み立てたと発表されています。

多額の費用が生じるとともに、金額に換算できないような情報の流出、ブランド毀損などの損害に見舞われることが考えられるのですね。

西川氏:
はい。こうした被害額の算定や事後報告も、事前の対策を行っている会社だから出せるのであって、どんな被害に遭ったのか把握すらできない企業は非常に多いです。そうした企業では、再び被害に遭ってしまい相談に来るケースも多いですね。

株式会社ラック サイバーセキュリティ・公共事業部 パートナービジネス推進部 パートナー推進G 担当部長 西川 晃央氏

株式会社ラック サイバーセキュリティ・公共事業部 パートナービジネス推進部
パートナー推進G 担当部長 西川 晃央氏

後編では、セキュリティ被害への対策の1つとして、サイバー保険の概要や補償内容について紹介。また法務・コンプライアンス担当者はサイバーセキュリティ対策にどう関わっていくべきかについて解説します。

(取材・文・写真:BUSINESS LAWYERS 編集部)

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する