サイバー攻撃の巧妙化とともに生み出される新たな防御・対策ビジネス Part1

サイバー攻撃に用いられるテクノロジーや攻撃手法は日々変化している。脅威に対抗していくためには、防御する側も新たなテクノロジーを採用した製品やサービスが必要だ。こうしたセキュリティ領域の分野において、近年、新しいカテゴリーの製品・サービスを開拓する新興企業の参入が相次いでいる。従来の大手セキュリティベンダーに加えて、こうした新たな製品やサービスにも注目していく必要がある。それは新たなビジネスチャンスにつながるきっかけにもなっていくだろう。

情報処理推進機構(IPA)は、2006年から情報セキュリティ対策の普及を目的に、前年の情報セキュリティ事故や攻撃の状況などから脅威を選定した「情報セキュリティ10大脅威」を発表している。2024年1月24日には、2023年のセキュリティ脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。本記事ではその最新のセキュリティ10大脅威から、今後求められるセキュリティ対策を見ていこう。

　情報セキュリティ10大脅威は、家庭などでPCやスマートフォンなどのデバイスを利用する人を対象とした「個人」向け脅威と、企業や政府などに勤める従業員やシステム管理者を対象とした「組織」向け脅威の二つに分けて発表されている。どちらも選出された脅威は全て昨年と変わらないが、2023年版と異なるポイントとして個人向けの10大脅威では順位を掲載せず、五十音順で並べている点がある。「順位付けを行うと、順位が高い脅威から優先的に対応し、下位の脅威への対策がおろそかになる傾向があります。順位の変動はありますが、多くが何年も前から存在する脅威です。順位にかかわらず自身に関係のある脅威に対して対策を講じることが必要です」と語るのは、IPA キュリティセンター 対処調整部 エキスパート 土屋 正氏。組織向け10大脅威では前年と変わらず順位付けがされているが、こうしたセキュリティ対策への姿勢は、個人向け、組織向け問わず重要と言えるだろう。

組織向けの10大脅威は以下の通り。
　1位：ランサムウェアによる被害
　2位：サプライチェーンの弱点を悪用した攻撃
　3位：内部不正による情報漏えい等の被害
　4位：標的型攻撃による機密情報の窃取
　5位：修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
　6位：不注意による情報漏えいなどの被害
　7位：脆弱性対策情報の公開に伴う悪用増加
　8位：ビジネスメール詐欺による金銭被害
　9位：テレワーク等のニューノーマルな働き方を狙った攻撃
　10位：犯罪のビジネス化（アンダーグラウンドサービス）

　この内、1位、3位、4位が9年連続9回目のランクインだ（図参照）。また2024年の脅威傾向として土屋氏は「脅威同士の関連性がより高まっています」と指摘する。

　例えば、9位のニューノーマルな働き方を狙った攻撃は2021年から4年連続4回目の取り扱いだが、調査対象となる2020年はコロナ禍に伴う感染症対策を目的にテレワークが実施された。それ故、当時は急造のテレワーク環境で業務を行っていたケースが少なくなかった。昨今の脅威では、そうしたコロナ禍当時のまま運用しているテレワーク環境の脆弱性を狙って攻撃したり、テレワーク用に導入しているVPNなどの脆弱性や設定ミスなどを悪用して不正アクセスをしたりするケースが増えているという。

　このような脆弱性を狙った攻撃は7位のほか、5位のゼロデイ攻撃も該当する。また、Aという企業を攻撃するため、関連する企業に攻撃を仕掛ける2位のサプライチェーン攻撃も、システムの脆弱性を狙って侵入する。そうして侵入された結果、ランサムウェア攻撃によって秘密情報を窃取したり、身代金を要求したりする。「かつては4位の標的型攻撃が1位を取り続けている時期がありました。2024年では見かけ上4位に落ちていますが、これらの脆弱性を突いた一連の攻撃は、特定企業を狙った標的型攻撃をするための手口です。1位、2位、4位、5位、7位、9位の脅威が絡んで一連の攻撃となっていると言え、依然として標的型攻撃の脅威は下がっていないと言えるでしょう」と土屋氏は指摘する。これらの攻撃に使われるランサムウェアや、サイバー攻撃のビジネス化も進んでおり10位にランクインしている。

　新しい技術によるセキュリティ被害の可能性も出てきている。8位のビジネスメール詐欺では、メールと電話を併用したなりすまし詐欺の事例が紹介されている。本事例ではなりすましに気が付いたことで金銭的な被害は発生しなかったものの、電話音声のなりすましに生成AIを活用したディープフェイクの音声が悪用された可能性が指摘されている。

　土屋氏は「こうしたAIに関連した技術や脅威に関しては、今回の情報セキュリティ10大脅威2024の解説書の中でコラムを設けて紹介しています。例えば生成AIを活用すれば、機械的な翻訳も滑らかな日本語の文章にできるでしょう。この技術を悪用すれば、これまでぎこちない文面であったから詐欺に気が付けた標的型攻撃メールにも、気が付かずにマルウェアなどに感染したり、情報を窃取されたりするかもしれません。ディープフェイクによる動画生成も米国ではかなり進んでいるようです。一方で、こうした新しい技術による脅威も、もともとの手口は以前から存在します。重要なのは、受け取った情報を鵜呑みにせず、精査する心構えになるでしょう」と話す。

　また、2024年の10大脅威の特長として「組織内の人が原因となる脅威」が前年と比べて順位を上げている。土屋氏は「3位の内部不正による情報漏えい、6位の不注意による情報漏えいは、悪意の有無の違いはあるものの、いずれも人に依存する脅威です。これら二つの脅威は長い間10大脅威にランクインしており、外部からの攻撃などへの対策だけでなく、内部の不正やミスといった人への対策も重要です」と指摘する。IPAでは2022年4月に「組織における内部不正防止ガイドライン」を改訂しており、働き方や新技術など、変化に合わせた対応が必要だと指摘している。

　このようなセキュリティ脅威に対して、土屋氏は「中小企業では、セキュリティ対策への投資が難しいケースも少なくありません。その場合、まずはコストを抑えた対策を講ずるのが良いでしょう。ソフトウェアを最新にする、セキュリティソフトを導入するといったような基本的な対策をしっかりと行うことが重要です。またIPAでは『SECURITY ACTION』という、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度を用意しています。例えば一つ星を宣言するためには、中小企業の情報セキュリティ対策ガイドライン付録の『情報セキュリティ5か条』に取り組むことで、ロゴマークを取得できます。ロゴマークは企業の封筒や名刺に付けることが可能で、自社がセキュリティ対策に意欲的に取り組んでいることをアピールできます。当機構が公開している『中小企業の情報セキュリティ対策ガイドライン』もセキュリティ対策強化の参考になるでしょう」と語る。

　また、複数の脅威に有効なセキュリティ製品も存在する。パスワードの適切な運用や情報リテラシー・モラルの向上といったセキュリティ意識に関することから、サーバーやクライアント、ネットワークに対する適切な対策、バックアップ運用などだ。

「まずは入口対策として、IDS（不正侵入検知システム）やIPS（不正侵入防止システム）といったネットワークレベルでの監視のほか、Webアプリケーションの脆弱性を突いた攻撃から保護するWAFなどの導入が有効でしょう。ランサムウェア被害への対策として、バックアップを取っておくことも重要です。万が一暗号化されても、バックアップデータが残っていればそこからシステムの復旧が可能になります。特にここ数年、大企業と中小企業のランサムウェア被害の割合はほぼ同じという統計が警視庁から出ています。中小企業だからといって対策をおろそかにするのではなく投資と考え、セキュリティ対策にお金をかけていくことが重要と言えるでしょう」と土屋氏は訴えた。

サイバーセキュリティの脅威が深刻化する一方で、その防御や対策に携わるセキュリティ人材の不足も深刻化している。セキュリティ人材を獲得するのは難しいが、人口減少が続く中で新たに人材を獲得して育成するのも厳しい。そこで中堅・中小企業向けにサイバーセキュリティソリューションをワンストップで提供しているグローバルセキュリティエキスパートでは、ITエンジニアにセキュリティスキルを身に付けさせる「プラス・セキュリティ」によってセキュリティ人材を確保することを提案している。

　サプライチェーン攻撃の被害が深刻化している。親会社がセキュリティ対策を強化しても、グループのイントラネットに接続される海外の現地法人や国内の子会社などのセキュリティ対策が不十分だと、そこから侵入されて親会社が攻撃されるインシデントが以前より問題視されている。

　グローバルセキュリティエキスパート（以下、GSX）の上席執行役員でサイバーセキュリティ事業本部長およびサイバーセキュリティ研究所長を務める鈴木貴志氏は「グループ会社に限らず、例えば流通・小売業では多数の仕入れ先と取引して商品を仕入れなければなりません。そのためサプライチェーンあるいはバリューチェーンの全体でセキュリティ対策を強化する必要があります。しかし取引先のセキュリティ対策に関わることは困難です」と指摘する。

　サプライチェーンおよびバリューチェーンの全体でセキュリティ対策を強化するには、中小企業のセキュリティ対策の底上げが欠かせない。セキュリティ対策が不十分な中小企業が、サプライチェーン攻撃の入り口として狙われるケースが多いからだ。
　しかし中小企業がセキュリティ対策を強化したくても、人材や予算を確保できないという根本的な問題がある。また運用中のシステムや、利用中のクラウドサービスにおける脆弱性を把握することも困難だ。

　GSXでは運用中のシステムや利用中のクラウドサービスの脆弱性などのセキュリティリスクを診断する「セキュリティスコアカード」というサービスを提供している。鈴木氏は「自社のセキュリティリスク評価は実施しているものの、取引先のセキュリティリスクまでは捉えられていないケースが見受けられ、取引先のセキュリティ態勢を評価する動きが加速しています」と説明する。
　GSXのセキュリティスコアカードには自社の国内および海外拠点、グループ企業全体のセキュリティリスクを把握するため、取引先に求めるセキュリティ対策の指針に、診断結果を経営陣向にレポートするため、さらにはサービスプロバイダーがマネージドサービスに活用するためなどの用途がある。

　セキュリティスコアカードで把握したセキュリティリスクに対して、対策を支援するサービスも提供している。鈴木氏は「中小企業は予算を十分に確保できないケースが多いため、当社ではリスクレベルに応じた対応策を、例えば3カ年計画で改善していくなど、予算に応じて取り組みやすい形で支援するサービスも提供しています」と、中小企業のセキュリティリスク解消に向けた取り組みを説明する。

　中小企業はもとより大企業においてもセキュリティ人材の不足は深刻化している。業種、規模を問わずDX推進が喫緊の課題となっている現在、ユーザー企業はもちろんSIerなどサービスを提供するIT企業ではデジタル人材の多くがDX推進に携わっている。本来はDXとセキュリティは一体で取り組むべきだが、そもそもデジタル人材以上にセキュリティ人材が不足しているのが実情だ。

　鈴木氏は「当社はセキュリティ人材育成に向けて多様かつ豊富な講座を提供しており、受講者数がここ3〜4年で激増しています。例えば2020年3月期は560名、2021年3月期は1,299名、2022年3月期は2,996名、2023年3月期は4,217名、直近の2024年3月期は5,959名と、2020年から2024年にかけて10倍以上に増加しています」と説明する。不足人数が増加を続ける中で、セキュリティ人材の育成が急務になっていることを物語っている。

　鈴木氏は「人口減少が続く中で、新たに人材を確保するのは非常に難しいと言わざるを得ません。そこで社内のITエンジニアにセキュリティスキルも身に付けてもらうことが、セキュリティ人材を確保する上で効率が良く確実な方策です。当社ではITエンジニアをセキュリティ人材に育成する「プラス・セキュリティ」という考え方で人材とビジネスを生み出すサービスを提供しています」と説明する。その人材育成に向けたサービスが「SecuriST（セキュリスト）」だ。

　SecuriSTは短期間でセキュリティの勘所を習得でき、資格として対外的に提示できるセキュリティ人材育成サービスだ。ITエンジニアだけではなく、営業や事業企画に携わる人材も受講できるのが特長だ。

　ITエンジニア向けにはWebアプリケーションやネットワークの脆弱性を特定できる「Webアプリケーション脆弱性診断士」および「ネットワーク脆弱性診断士」、Webアプリケーションの開発においてセキュアな要件定義と設計ができる「セキュアWebアプリケーション診断士」などの資格取得コースが用意されている。

　これらは単科で受講できるが、このほかに以前より提供されているEC-Council International（電子商取引コンサルタント国際評議会）認定の「EC-Council」が総合コースとして用意されている。中でも「EC-Council CCT（認定サイバーセキュリティ技術者）」はサイバーセキュリティの基礎力を習得するのに適している。

　営業や事業企画の人材向けにはゼロトラストの理解からセキュリティリスクの現状把握およびその方策、これらに関わる技術的要素を理解する「ゼロトラコーディネーター」の資格取得コースがある。

　鈴木氏は「アプリケーション開発やインフラ構築において、脆弱性診断で問題が把握された場合、開発や構築が手戻りしてしまいます。ITエンジニアがセキュリティスキルを身に付けることで、セキュアなアプリケーションの開発やセキュアなインフラの構築ができるなど、セキュリティの強化に加えて工数の低減とコストの削減にもつながります。また営業がセキュリティの知識を身に付けることで、顧客への提案の幅が広がりビジネスの成長に寄与します。特にSIerは顧客のインフラに入り込んでいるため、セキュリティの提案で案件を獲得しやすいというメリットがあります」と説明する。

　SecuriSTなどGSXのセキュリティ人材育成サービスを通じて育成したセキュリティ人材のスキルを、セキュリティ人材を必要とする企業にサービス提供するビジネスモデルも確立している。これがプラス・セキュリティのビジネスの領域だ。

　具体的にはGSXが今年4月1日に新たに設立した日本初のセキュリティ専門人材会社となるCyberSTAR（以下、サイバスター）の事業だ。GSXが戦略的パートナーのITエンジニアにセキュリティスキルを習得させ、サイバスターがその人材をセキュリティSES（システムエンジニアリングサービス）契約に基づいて顧客にサービス提供する。

　GSXとサイバスターによるビジネスモデルは不足人数が増加の一途をたどるセキュリティ人材を補完し、日本の企業のサイバーセキュリティにおける自衛力を高めるとともに、ITエンジニアを擁するIT企業に新たな収益源を提供するものと言えよう。