ファイア・アイはこのほど、「日本企業におけるセキュリティ侵害対策向上のための方策」に関する記者説明会を開催した。説明会には、米FireEye バイスプレジデント 兼 最高技術責任者(CTO)のトニー・コール氏が登壇し、日本企業に対する"セキュリティ指南"を行った。
日本企業は侵入されたことに長期間気づいていない
コール氏は現在の社会インフラにインターネットが深く関与しており、結果としてサイバーセキュリティは生活を脅かす重要な問題になっていると冒頭に説明。世界平均では侵入されてから企業が気づくまで205日かかっており、一方侵入から最短7分でデータ漏えいが起こっているという。
さらに日本では、侵入から発覚までの日数が900日を超えていると日本の対策の遅れを指摘する。特に、外部からの指摘で問題が発覚した割合は69%と、内部で確認できていない現状も説明した。
日本のファイア・アイの顧客で言えば、2割が標的型攻撃を受けており、標的型攻撃が原因となる「内部からC&Cサーバへの通信回数」「不正アクセス、マルウェアのダウンロード数」の両方が、アジアで第2位とあまりよくない現状だという。その理由の1つには、中国拠点の5つの攻撃グループが日本をターゲットに設定していることが挙げられる。狙われている業界のトップ5は「航空宇宙・防衛企業」「運輸」「ハイテク・エレクトロニクス」「建築・製造」「通信」だ。
同社顧客の5社に1社はターゲットにされており、今年上半期には、少なくとも5つのグループから標的型攻撃を受けていた。政府機関がリストアップされていないのはターゲットにされていないか、もしくは、検出機構がないからと指摘していた |
企業の規模と抱えている情報価値によって、対応能力(≒予算)に差があるという。もちろん重要機密や多くの顧客情報を抱えている会社はより高い対応が必要となる |
一方で、セキュリティ脅威をテクノロジーだけで防ぐのは難しく、変化する脅威に対応することが必要だという。しかし、一般企業においてこれらの脅威状況の変化の把握や対策を行うには、「人材的確保とコスト的に難しい」としていた。
最悪の事態を想定し、経営陣を巻き込んだ対策を
そこで、コール氏は「セキュリティ侵害はなくならない」という前提で、侵害が起こった時の準備やインシデントレスポンスの責任者をあらかじめ決めておくよう提言した。また、侵害が起こった際の財政的なインパクトの見積もりや、それに見合う補償保険の手配なども必要だという。
このように、セキュリティ侵害が企業の財政に影響をもたらすことを経営陣に示して改善の予算を割り当て、現在侵害がないかどうかの調査を行うことが有用であるようだ。さらに、被害を最小限にとどめるため、セキュリティ意識と攻撃の手法に関して、社員やパートナーなどに教育し、ログ取得と可視化、ベストプラクティスの対策に投資することを推奨している。
最新の事例としては、10月21日に発覚した英TalkTalkの情報流出事件が紹介された。この事例では、ロンドン警視庁が26日に北アイルランドの15歳の少年を逮捕したと発表。株価が一時急落するなどの影響が短期的に表れている。
最後に、セキュリティ侵害を公表することで、サイバーセキュリティに関する情報や攻撃手法、対処方法の共有につながり、結果として消費者の保護や社会の安全をもたらすと説明。例として米国のISAC(Information Sharing and Analysis Center)を挙げていた。