-サイバー攻撃にいかに立ち向かい、防御するか-
【サイバー攻撃被害の現状と2021年へ向けての予測】
ランサムウェアの被害は世界各国で増加しています。その要因の1つとして、攻撃ツールキットがダークウェブ上で公開・取引されています。これに加えて、最近登場したRaaS(Ransomware as a Service)がその急激な増加の大きな要因ではないかと指摘されています。SaaSと同様に、RaaSは利用料金さえ払えば、誰でも利用可能です。ちょっとした知識を持っていれば、容易にランサムウェア攻撃を仕掛けることができてしまうのです。RaaSはダークウェブ上で公開されるものも多く、極めて安価で、数千円から数万円で利用可能です。
サイバー犯罪はすでに大きなビジネスであり、プロハッカーやハッカー集団に加えて、このような形態で、金銭目的でのビジネスとしてサイバー攻撃が増加しています。
さらに、サイバー犯罪はさまざまな手口で拡大しています。その代表格が、CEOなどの経営幹部になりすまして偽のメールを送信し、金銭を詐取したり、機密情報を漏えいさせたりするビジネスメール詐欺(BEC)、CEO詐欺〈注〉と称される標的型のサイバー攻撃手口です。米国連邦捜査局(Federal Bureau of Investigation:FBI)によると、2019年単年度だけでもその被害件数は2万3千件を超え、その被害額はなんと17億米ドルに達していると報告しています。日本企業へのこの種の攻撃は2020年に入り、増加しています。これまでの傾向としては、ITスタッフが手薄な海外支社や海外出張所が標的となっています。例えば、親会社のCEOになりすまして、複数の海外組織へフィッシングメールを送りつけた攻撃が発見さています。KnowBe4のセキュリティエキスパートは、2021年へ向けて日本企業を標的とするサイバー攻撃は確実に増加すると予測しています。テレワークの新しい働き方としての定着に加えて、コロナウイルスのワクチン接種など、サイバー攻撃者にとっての攻撃を仕掛ける絶好の機会が2021年は増えると考えられます。また、2021年は東京オリンピックの開催が予定されています。
(注)CEO詐欺について、さらに詳しく知りたい方のために、KnowBe4では、CEO詐欺防止マニュアルを提供しています。日本語版CEO詐欺防止マニュアル(2020年度版)をご入り用な方は、info@knowbe4.jpまでメールでご請求ください。
【サイバー攻撃にいかに立ち向かい、防御するか - テクノロジーソリューションは万能ではない】
セキュリティリスク対策への多くの取り組みは、テクノロジーにフォーカスされています。確かに、アンチウイルス、アンチマルウェア、侵入検知/防御、ファイアウォール、メールフィルター、多要素認証、エンドポイントセキュリティといったテクノロジーソリューションは重要で、新たな脅威に対抗するために次々と新たなテクノロジーが導入されていますが、これに伴い必要な人材やプロセスも増えることになります。これが続くと、「テクノロジー」、「プロセス」、「人」が複雑に絡み合い、積み重っていくことになります。複雑さのレベルが幾何学的に増加していきます。企業の多くは、テクノロジーソリューションを導入するために、多額なIT予算を投資し続けています。しかしながら、テクノロジーだけによる防御は完璧ではありません。実際に、ランサムウェアやビジネスメール詐欺(BEC)、CEO詐欺などを引き起こす最大の要因である巧妙なフィッシングメールは、アンチウィルスソフトウェアやスパムフィルターをすり抜けて、侵入してきます。
「人」を狙うサイバー攻撃に対抗するためには、「人」による防御がテクノロジーソリューションを補完するかたちで必要になってきています。
【現行のセキュリティ教育の問題点】
次のセキュリティ意識向上の3つの現実が、現行のセキュリティ教育の問題点を浮き彫りにしています。
- セキュリティの脅威を一般的に注意喚起するだけでは、自社の従業員の意識は高まることはなく、実際のセキュリティ脅威への注意を怠っている。
- 人は、うっかりミスを犯すという本質と戦わなければ、どの時点においても事故は起こりうる。
- 自社の従業員が習慣として身につけることは、知識として知っていることよりも極めて重要である。集合型の研修でセキュリティ用語をいくら教育しても、攻撃を止めることはできない。
年に1回や2回のセキュリティ教育では、この問題点を解消することはできません。少なくとも毎月トレーニングと模擬フィッシング演習を実施することで、セキュリティ意識を従業員ひとり一人に定着させ、セキュリティカルチャーとして組織内に浸透させるセキュリティ意識向上トレーニングが不可欠です。
KnowBe4のセキュリティ意識向上トレーニングについてさらに知りたい方は、 www.knowbe4.jp をアクセスしてください。
<KnowBe4について>
KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2020年10月現在、 3万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。また、日本においては、2019年11月にKnowBe4社の100%出資日本法人「KnowBe4 Japan合同会社」を東京都港区に設立し、2020年2月1日付けで日本代表マネージングディレクター 根岸正人が就任し、日本国内での本格的な販売及びマーケティング活動を開始しました。 https://www.knowbe4.jp/
