近年、新型コロナの影響で国内の企業におけるDX推進の機運が高まっている。さらに2021年9月には「デジタル庁」の設置が予定されており、国内企業のデジタル化推進の大きな機会になることが予想される。一方でサイバー攻撃の脅威は年々増加し、従来のセキュリティ対策だけでは安全性を担保できない、デジタル化に伴う様々なリスクが顕在化しつつある。
そうした中で株式会社サイバーセキュリティクラウドでは、2021年5月に発表された内閣サイバーセキュリティセンターが掲げる次期サイバーセキュリティ戦略骨子にある、地方・中小企業の「DX with Cybersecurity」の推進に関連し、今回メディアを対象にしたサイバーセキュリティに関する勉強会を開催することに至った。
■サイバーセキュリティの脅威に対抗できる⼒が必要
株式会社サイバーセキュリティクラウド 代表取締役 兼 CTO 渡辺洋司氏より、サイバーセキュリティについての報告があった。
世界のサイバーセキュリティの全体像として、この20年間を振り返ると、OSの脆弱性を利用した攻撃から始まり、ワームの大規模感染が広がった。その後、IoTも攻撃の対象となり、現在に至る。
最近はメールやウェブサイトだけでなく、個人のパソコンもターゲットにされており、身代金型ウイルスまで登場している。最初は自己顕示や見せしめだったサイバー攻撃がより危険度を高め、現在は金銭などを目的とする経済犯・組織犯へと変貌を遂げている。
2021年のサイバーセキュリティ対策の動向としては、下記のとおり。
トレンド1:サイバーセキュリティメッシュでツールを連携
トレンド2:IDファーストセキュリティが必須に
トレンド3:テレワークのセキュリティサポート向上が必要に
トレンド4:取締役会レベルでサイバーセキュリティに取り組む
トレンド5:ベンダーの集約が進む
トレンド6:プライバシーを⾼める計算技術の導⼊
トレンド7:侵害と攻撃のシミュレーションが役⽴つトレンド8マシンID管理が進む
トレンド8:マシンID管理が進む
「サイバーセキュリティ10⼤脅威2019」の資料によれば、10⼤脅威のうち、3件がWebに関する脅威だった。
渡辺洋司氏
「企業が取り組むべきセキュリティとしては、社内セキュリティとウェブセキュリティです。社内セキュリティはパソコンや社内ネットワーク、ウェブセキュリティは会社のウェブサイトやECサイトになります。」
社内セキュリティへの対策としては、ソフトウェアアップデート、ウイルス対策ソフト導⼊、パスワード管理、アクセス制御、従業員の教育などがある。
一方ウェブセキュリティで注意しなければならないのは、情報漏洩による企業リスクだ。具体的には、サービスの停止、売上機会の損失、ブランドイメージの毀損、上場延期、株価の下落、株主代表起訴などがあげられる。
攻撃者が不正アクセスにより企業・組織のシステムに侵入されると、Web改ざん、情報漏えい、踏み台などの脅威にさらされる。とくにWebサイトの改ざんでは、訪問者に個人情報などを入力させて、その人のなりすましを行ったり、個人情報を売買されたりする。
渡辺洋司氏
「サイバーセキュリティベンダーに必要不可⽋な技術⼒としては、多様化。複雑化するサイバーセキュリティの脅威に対抗できる⼒が必要になってくるかと思います。」
具体例としては下記の4つが必要であるとし、進化する攻撃者に対して対抗していくのが必要不可欠とした。
1. システムやソフトウェアに関する知⾒
2. 脆弱性およびサイバー攻撃及び防御⼿法に関する知⾒
3. 法令・ガイドラインに関する知⾒
4. ユーザー体験を含むサービスコンセプト企画と実現
同社が提供する「攻撃遮断くん」「WafCharm」は、こうしたサイバーセキュリティへの脅威に対抗する継続的なサービスとして企業に提供され、日夜進化し続けている。
■他人事ではなく、十分に意識していただくことが大事
引き続き、株式会社サイバーセキュリティクラウド 代表取締役社長 兼 CEO 小池敏弘氏より、サイバーセキュリティの最新トレンドについての報告があった。
サイバーセキュリティの最新トレントとしては、下記の3つがあげられる。
1. セキュアコーディングの対策が不⼗分であったために発⽣→ セキュアコーディング
サンリオWebサイトにSQLインジェクション攻撃、会員メールアドレスが流出
2. クラウドのアクセス権限設定が不⼗分であった事により情報漏洩→ アクセス制御
ワクチン接種予約システムの不具合、500⼈の個⼈情報が閲覧された可能性
3. なりすましメールを開いてしまった事により発⽣→ 従業員の教育
社員PCがなりすましメール受信、添付ファイル開封後に⼤量の迷惑メールを送信
こうした状況を踏まえ、行政はサイバーセキュリティ対策強化を急いでいる。2021年5月13日、内閣サイバーセキュリティセンターが「次期サイバーセキュリティ戦略の⾻⼦」を発表。今後の⽇本における対策や重点施策などに関する⽅向性を⽰した。
具体的な施策としては、
・経営層の意識改⾰
デジタル経営に向けた⾏動指針の実践を通じ、サイバーセキュリティ経営のガイドラインに基づく
取組の可視化・インセンティブ付けを⾏い、更なる取組を促進。
・地域・中⼩企業におけるDX with Cybersecurityの推進
地域のコミュニティの推進・発展、中⼩企業向けサービスの審査登録制度を通じ、デジタル化
に当たって直⾯する知⾒や⼈材等の不⾜に対応。
・サプライチェーン等の信頼性確保に向けた基盤づくり
Society5.0に対応したフレームワーク等も踏まえ、各種取組を推進。
・インクルーシブなデジタル/セキュリティ・リテラシーの定着
情報教育推進の中、「デジタル活⽤⽀援」と連携して、各種取組を推進。
小池敏弘氏は地域・中⼩企業におけるDX with Cybersecurityの推進に触れ、「サイバーセキュリティに関する知識がほとんどない状態でいろいろなツールを使用すると、かなり危険と隣り合わせになってしまいます。各地域、自治体等で、きちんとサイバーセキュリティ対策を行う必要があります。」と、警鐘を促した。
引き続き、Salesforceの設定ミスによって発⽣した事案をあげた。Salesforceのサービスが悪いのではなく、管理者の設定ミスにより、キャッシュレスサービスやネットバンクを提供する企業から、顧客の個人情報が外部に流出してしまったのだ。
次にあげたのは、便利なツールの活⽤は、サイバーインシデントと隣り合わせであることだ。
たとえば、Google Form設定誤りで⾃社サービスの内部情報が他の取引企業から閲覧可能になってしまった。あるいは、LINE WORKS誤操作により、顧客160名をまとめたトークルームを作成するといった事案が起きた。外部のウイルスチェックサービスサイトを利用するのも注意が必要だ。誤って教職員・学⽣の個⼈情報をアップロードした事案がある。またアンケートフォームでも、回答者の個⼈情報が閲覧可能になることも起こった。
広⼤な領域をカバーするセキュリティ市場は⼤きな成⻑を⾒込まれている。
情報セキュリティマネージド型のクラウド型サービス市場(2024年)は2,362億円、国内セキュリティ製品+サービス市場(2024年)は9,843億円、世界セキュリティ市場(2024年)は24.4兆円と予測される。
セキュリティ領域におけるサイバーセキュリティクラウドのポジションとしては、2020年1⽉から12⽉の間に検知したサイバー攻撃の検知数は334,932,032件。これは1年間の間、約10秒に1回のペースで攻撃を検知していることになる。
小池敏弘氏
「私どもは企業のサイトへのサイバー攻撃を守る仕事をしております。これだけの攻撃があるので、他人事ではなく、十分に意識していただくことが大事だと思っております。」
サイバーセキュリティクラウドは、国内導⼊数NO.1のクラウド型WAFをはじめとするCSCのサービスを提供している。
クラウド型WAF「攻撃遮断くん」は、Webサイト・Webサーバへのサイバー攻撃を可視化・遮断するWebセキュリティサービス。ディープラーニング(深層学習)を用いた攻撃検知AIエンジン「Cyneural」を活用し、一般的な攻撃の検知はもちろん、未知の攻撃の発見、誤検知の発見を高速に行うとともに、世界有数の脅威インテリジェンスチーム「Cyhorus」により、最新の脅威にもいち早く対応する。導入社数・サイト数で国内1位を獲得し、企業規模を問わず利用されている。
「WafCharm」は導入ユーザー数で国内1位の、パブリッククラウドで提供されている WAFを“AI”と“ビックデータ”によって自動運用することが可能なサービス。機械学習を用いて最適なWAFルールを自動運用するAIエンジン「WRAO(ラオ)」(特許番号:特許第6375047号)を搭載しており、現在ではAWSとMicrosoft Azureの2大プラットフォームに提供している。 累計1.7兆件以上のビックデータを活用し、お客様毎に最適なルールを自動で適用し、サイバー脅威情報監視チーム「Cyhorus」により最新の脅威にもいち早く対応できる。
インターネットが日常生活に溶け込んだ今日、サイバー攻撃はニュースにも上がってこないほど、身近に起きているのが現状だ。サイバーセキュリティ対策が不十分な企業では、今すぐにでも見直す必要があるかもしれない。
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
■ITビジネスに関連した記事を読む
・転職市場において「クリエイティブツール」を活用できる人材の市場価値が向上!スキル保有者は、月給が平均3.4万円程優遇される可能性も
・「ロボ+ヒト」のハイブリット・ロボアドバイザー!フィデリティ証券「ザ・ハイブリッド」発表
・地方自治体との防災EVの取り組みを紹介!小型電気商用車「ELEMO」メディアラウンドテーブル
・高さ2.8mの造形に成功!エス.ラボ、超大型3Dプリンタ
・キャリアビジョンのヒントが散りばめられた1日!PE-BANKプロエンジニアフォーラム2021