最近のサイバー攻撃に対して効果的な対策を導入するためには、「サイバー攻撃を正しく怖がる」ことが肝要だ。そのためには攻撃者のモチベーションや攻撃の背景といった事情も知る必要がある。経営層にセキュリティ対策の必要性を訴える際には、こういった攻撃者に関する知識も欠かせない。

 今回は、セキュリティ対策の方向性やセキュリティの現状について経営層とコミュニケーションをとる際に有効な考え方や表現を紹介する。

攻撃者の費用対効果は非常に高い

 最初に紹介するケーススタディーは、相次ぐセキュリティ事故の報道に不安を隠し切れない経営層の問いかけから始まった次の会話である。

経営層:今日の朝刊にもサイバー攻撃で経営に致命的なダメージを被った企業の記事が出ていたな。この1カ月にこの手の記事を何度読んだことか。ウチもセキュリティ対策には最優先で取り組むことを考えている。しかし、ここまでサイバー攻撃の被害が頻発すると、対策として何を目指せばよいのか、さっぱり分からなくなってきた。

セキュリティ担当者:確かにサイバー攻撃がやむことはありません。とにかく社内ネットワークに侵入されないようにすべきです。そのためのセキュリティ対策を充実させています。

経営層:しかし、被害に遭った企業も、飛び抜けたレベルではないかもしれないが、侵入されないための対策をそれなりに講じていたはずだろう。本当にその対策で十分なのか。

セキュリティ担当者:…。

 このケーススタディーでは、セキュリティ対策の優先度を高める方針は決まり、「とにかく侵入されないこと」を対策のゴールとしている。この場合は攻撃者の目的を知っておくことが重要になる。

 サイバー攻撃の初期の頃、攻撃者の目的と言えば「技術力の誇示や自己顕示」だった。しかし最近では、攻撃者の目的は金銭へと変わってきている。例えば詐欺サイトへ誘導したり、ファイルを勝手に暗号化して読めなくしたりして、元に戻すために金銭を要求するウイルスが登場している。こうしたウイルスや攻撃ツールは業者から買えたりするため、攻撃者の費用対効果は非常に高く、1000%を超えているというデータもある。例えば1万円で購入したウイルスなら、単純計算で10万円以上を回収できるという試算になる。つまり、攻撃者にとってサイバー攻撃は非常にコストパフォーマンスの高い投資ビジネスとなっているわけだ。

 逆に言えば、「攻撃者の費用対効果を下げる」というセキュリティ対策は、極めて効果的となる。そのためには攻撃を防ぐだけでなく、万が一侵入されたとしても段階的にリスクを低減するようにしたい。

 これには NIST SP 800-61に準拠した考え方が参考になるだろう。例えば「攻撃もなかなか成功しない」「侵入してもすぐに検知されてしまう」「端末の乗っ取りが進まない」「せっかくファイルを入手したのに暗号化されていて読めない」といったセキュリティ対策は、攻撃者にとってはやっかいだ(図1)。サイバー攻撃にかけるコストを高めることができる。

図1●攻撃者にとってやっかいな対策とは
図1●攻撃者にとってやっかいな対策とは
段階的にリスクを低減するような対策は攻撃者にコストをかけさせることができるため、やっかいな対策となる。
[画像のクリックで拡大表示]

 目的の見えないセキュリティ対策を闇雲に実施しても経営層を説得できない。「何を目指しているセキュリティ対策なのか」を明確にして、説得力のある説明をしたい。

NIST SP 800-61▲
NIST(米国立標準技術研究所)が体系化した、英文で80ページほどの文書。セキュリティ対策を次の4つのフェーズに分けて考えている。(1)準備:やられないよう備える、(2)検知・分析:やられてもすぐに察知できる、(3)根絶・復旧・封じ込め:やられた場合の被害を小さくし、すぐビジネスを復旧させる、(4)事件発生後の対応:再発防止と最後の水際の対策を考える──である。