9月12日~15日に開催された「TECH+ EXPO for セキュリティ2023」に、サイバーセキュリティの分析官・コンサルタントを務める名和利男氏が登壇。どのような組織が攻撃の標的になってしまうのか、そこにどんな問題があり、どう対策すべきかについて解説した。
攻撃者にとって価値がある資産とは
講演冒頭で名和氏は、攻撃者は標的となる組織を、資産価値や脆弱性、可視性、成功の確率といった要素で選んでおり、その動機には個人的思考や政治的、社会的イデオロギーがあると述べた。
資産価値とは、組織や企業が有する資源や情報の重要性のことだ。ただし、中小企業であっても資産価値がないとは限らない。対象となるのはあくまでも攻撃者にとって価値のあるものであり、中小企業がその顧客となる大企業や官公庁の情報を有している場合も考えられるためである。
「ここで大事なのは、攻撃者の視点から資産の価値を見極めることです。自分たちの尺度で『盗まれるような情報を持っていないだろう』と決めつけてはいけません」(名和氏)
攻撃の対象となる資産には、「財政資源」、「価値の高いデータ」、「知的財産」の3種類がある。財政資源は、身代金目的でランサムウェア攻撃の対象になりやすい。その対策として身代金を補填する保険商品もあるが、それで安心はできない事情もある。保険料を支払う能力があることが経済的な余裕があると判断され、攻撃の対象になる恐れもあるのだ。個人情報や顧客データ、財務情報など、価値の高いデータも対象になる。そして特許や営業秘密、研究データといった知的財産は、産業スパイの対象になるだけでなく、国家単位で狙われることすら考えられる。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
