NRIセキュアテクノロジーズ(NRIセキュア)は2013年7月10日、「サイバーセキュリティ 傾向分析レポート2013」を発表した。NRIセキュアが企業に提供している情報セキュリティサービスで蓄積したデータを分析し、顕在化している現状の課題を整理したもの。具体的には142台のファイアウォール、42台のIDS(侵入検知システム)/IPS(侵入防止システム)、664のWebサイトの情報を元に分析している。
同レポートでNRIセキュアは、巧妙化するサイバー攻撃から企業などの組織を守るキーワードとして「トリアージ」「セキュリティアウェアネス」「多層防御」の3点を掲げた。
レポートを解説したNRIセキュアの中島智広セキュリティコンサルタントは、まず現状のサイバー攻撃事情を整理。海外でDDoS攻撃による被害が増えている、脆弱性情報が公表直後に攻撃に悪用される、2割以上のシステムで脆弱性に対するパッチ適用などが不十分、管理の行き届いていないWebサイトが全体の4割に上る、Webアプリケーションの3分の1に危険な問題が存在、ブログサービスなど既成のWebアプリケーションを狙った攻撃が増加――といった状況を解説した。
これら攻撃への対策について中島氏は、「対策に真新しいものはない」と、以前から言われているセキュリティ対策が徹底されていないと指摘した。具体的には、システム開発プロセスの改善やパッチマネジメント体制の構築、多層防御デバイスの活用などが必要という。
こうした事情をまとめて、中島氏は企業を守るキーワードとして「トリアージ」「セキュリティアウェアネス」「多層防御」の3点を挙げて対策を解説した。
トリアージとは、災害発生時などに医療行為の対象者の優先度を選別する行為から派生した用語で、サイバー攻撃を受けた場合に深刻度と緊急性から対応の優先度を付ける行為のこと。セキュリティにかかわる事故の対応で被害を拡大させないために、的確なトリアージが可能な体制作りが必要という。効果的な実施のためには、外部リソースの活用を視野に入れる必然性も指摘した。
セキュリティアウェアネスとは、従業員に対しセキュリティにかかわる意識を向けさせること。標的型メール攻撃など外部からの攻撃が増加している現状に対し、社内の従業員にセキュリティ全般に意識を向けさせる必然性を説いた。従業員の意識を高め継続的な取り組みを続けることで、企業としての防衛線を形成できるという。
多層防御とは、脆弱性の公表から悪用されるまでの期間が短期化している攻撃などに対して、すべての面での早急な対策は難しいことを意識して、多層的な防御体制を築くこと。システム面だけでなく、開発プロセスや運用スキームにわたる広い多層防御の取り組みが必要となる。
ただ標的型攻撃への対策を強めると、セキュリティ対策機器から白黒をはっきりつけられない「グレーイベント」の検出が増えたり、セキュリティ意識が高まった従業員から問い合わせが増加するなど、対応にかかる作業量が増える問題も指摘した。中島氏は、「限られた人員で効果を得るために、迅速な優先度付けが必要になる」と注意を促した。
[サイバーセキュリティ 傾向分析レポート2013のダウンロードページへ]
