BLOG

事例&解説

  1. OSTECH GROUP ソリューションサービスサイトトップ
  2. 事例&解説
  3. セキュリティ運用の日本的課題とその現実解

セキュリティ運用の日本的課題とその現実解

セキュリティ運用の日本的課題とその現実解

昨今、サイバーセキュリティに関するニュースが増えています。本記事では、セキュリティ運用の日本的課題とその現実解について解説します。

昨今、サイバーセキュリティに関するニュースが増えています。2022年3月には大手菓子メーカーの森永製菓が、約165万人にもおよぶ個人情報が不正アクセスによって流出した可能性があると発表しています。このニュースは多くの企業にとっても他人事ではありません。

そこで本記事では、セキュリティ運用の日本的課題とその現実解について解説します。

参照:不正アクセス発生による個人情報流出の可能性のお知らせとお詫び | 2022年 | ニュースリリース | 森永製菓

DXの進展とセキュリティリスクの高まり

DX (デジタルトランスフォーメーション) は、ビジネスのデジタル化による変革を指し、クラウド化やAI、IoTなどの技術革新によって急速に進んでいます。しかし、その一方で、セキュリティリスクも高まっているため、企業がこれらの課題への対応が求められています。

クラウド化

企業が自社のシステムをクラウド上に移行することで、スケーラビリティやコスト削減を実現できます。クラウドサービスは直接インターネットにつながっている場合が多く、ID/パスワードの管理やアクセス制御など運用ルールの不備を突いたサイバー攻撃の被害が増えています。

リモートワーク

リモートワークの普及により、働き方の柔軟性が向上しましたが、同時にセキュリティリスクも増加しています。従業員の個人端末から企業ネットワークにアクセスする際、セキュリティが十分でないと情報漏えいや不正アクセスの危険性があります。たとえば、VPN接続の不正利用や、端末の紛失や盗難による情報漏えいなどがあげられます。Zoomの利用者数の急増に伴い、2020年にはZoomボムと呼ばれる不正アクセスが多発した事例があります。

企業間取引・サプライチェーン

企業間取引やサプライチェーンのデジタル化により、情報の共有が容易になり、効率化が進んでいます。しかし、これらの技術は攻撃者による標的型攻撃のリスクを高める可能性があります。また、サプライチェーンの脆弱性を突いた攻撃も増加しています。2022年3月、自動車内外装部品メーカーの小島プレス工業は、子会社のリモート接続機器の脆弱性がきっかけとなりランサムウェア攻撃を受けました。攻撃によるシステム障害は、部品の供給先であるトヨタ自動車にも波及し、トヨタの国内全14工場28ラインを停止する事態に至りました。

参考:小島プレス工業、サイバー攻撃の経路を公表「リモート接続機器に脆弱性」 | ツギノジダイ

AIや国家の関与

AI技術の発展により、自動化や効率化が進んでいますが、それと同時にサイバー攻撃の手法も進化しています。また、国家が関与するサイバー攻撃も増加しており、企業のセキュリティ対策はさらに厳しくなることが予想されます。2023年4月には、日本の製造業・教育機関・政府機関などを標的とする北朝鮮のサイバー攻撃グループが活発に活動していることが報告されています。

参考:APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations | Mandiant

この他、近年ではChatGPTなど新技術の拡大によって、その対策はさらに複雑化しています。

情報セキュリティ運用の2極化

情報セキュリティの重要性はますます高まっていますが、一部の先進的な大企業とその他の企業との間には、情報セキュリティ対策に対する取り組みに差があります。ここでは、その違いについて見ていきましょう。

IPA(独立行政法人 情報処理推進機構)によると、中小企業の情報セキュリティ対策はまだまだ不十分な状況が続いています。IPAが実施した調査によると、中小企業の約8割が「情報セキュリティ対策は必要だが、現状では不十分である」と回答しています。また、情報漏えいやウイルス感染などのセキュリティインシデントに遭遇したことがある中小企業は、約3割にも上るという結果が出ています。

一方、大企業についても情報セキュリティ対策が十分なものではなくなってきているというデータもあります。たとえば、2022年7月に大企業の情シスに対して行われた調査では、「自社のセキュリティ対策に懸念がある」との答えが20%にとどまる一方で、約4割が「セキュリティが後手に回っている」と回答しており、多くの企業でこれまで実施してきたセキュリティ運用体制が十分なものでなくなってきている様子がうかがえます。

参照:「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

参照:大企業の情シス、5人に1人が自社のセキュリティ対策に懸念 ロードマップが調査結果を発表

企業の情報セキュリティ対策が進まない理由

それでは、なぜ多くの企業で情報セキュリティへの対策・運用が進まないのでしょうか。

セキュリティ人材不足

情報セキュリティ対策を行うためには、専門的な知識と経験を持ったセキュリティ人材が必要です。しかし、そのような人材の採用コストは高く、多くの企業にとって負担が大きい点が、情報セキュリティ対策が進まない理由の一つです。特に日本企業では少子高齢化により人手不足が拡大する一方で、企業のデジタル化の進展によりセキュリティ人材に各企業が殺到しており、ますます採用コストが上昇していく、という悪循環に陥っています。

こうした状況を裏付けるように、2023年3月の調査では、約50%の組織でセキュリティの専任部門を持つことができておらず、72%の組織が「サイバーセキュリティの人材を十分に確保できていない」と回答しています。

参照:サイバーリーズン、「セキュリティ対策に関する調査結果レポート」を発表

運用コストと投資対効果

情報セキュリティ対策には、システムの導入や運用、メンテナンスなど、継続的なコストがかかります。企業にとっては、その運用コストと投資対効果を十分に検討しなければならず、その結果、情報セキュリティ対策が遅れることが多くあります。

情報セキュリティ対策には専門的な知識が必要であり、多くの企業にはそのスキルを持った人材が不足しています。そのため、外部の専門企業にセキュリティ対策を委託するMSS(マネージド・セキュリティ・サービス)が利用されることもあります。しかし、MSSを利用するための十分な予算がない場合が多く、情報セキュリティ対策が十分に進まない原因となっています。

セキュリティ運用の「現実解」

サイバー攻撃が巧妙化する一方で、セキュリティ人材不足も深刻化している現状では、「人材」や「費用」でセキュリティ運用の解決を図ることは多くの企業にとって非現実的といえるでしょう。そこで「現実解」として重要性を増すのが、セキュリティ運用自体の「自動化」です。

以下では、セキュリティ運用の自動化を実現する代表的なテクノロジーを3つご紹介します。

セキュリティポリシーの自動化

ランサムウェアなどの標的型攻撃は、ユーザー・パスワードの使いまわしなど、セキュリティポリシーの不備・不徹底を利用して、被害を拡大させます。

セキュリティポリシーの運用では、権限を持つアカウントなどを適切に管理することが必要ですが、そのためには適切な権限付与やアカウントの監視、不正アクセスの検知など、多岐にわたる作業が必要です。自動化によって、これらの作業を効率的かつ正確に行うことができ、セキィリティポリシーの不備・不徹底が防止できます。

インシデント対応の自動化

通常のシステムやユーザーの動作とは異なる不審な動きや行動を検知するためにEDR(eXtended Detection and Response)とよばれるソリューションの活用が広まっていますが、従来型のEDRでは、大量のアラートの中から本当に問題となる脅威を識別することに多くの人的労力が必要となっていました。そこで近年では、脅威の可視化や対応の自動化を実現するXDR(eXtended Detection and Response)に注目が集まっています。

脆弱性管理の自動化

セキュリティ運用においては、自社の脆弱性リスクを事前に把握・想定することが重要ですが、進化するサイバー攻撃に応じて変化する脆弱性リスクを常に把握・評価・対策することは容易ではありません。「脅威インテリジェンス」と呼ばれるテクノロジーは。攻撃者の手法や攻撃の標的、攻撃に使用されるツールやマルウェアなどの情報を収集・分析を自動化・効率化することで、セキュリティ運用全体を効率的かつ効果的なものとすることができます。

日本企業にはセキュリティ運用の自動化が必要不可欠

日本企業は、その9割が「セキュリティ人材不足に課題」を抱えているとの調査がありますが、残念ながらその対策も十分行われているとはいいがたい状況です。DXの進展によって、今後ますます対策が必要とされ、セキュリティ運用の自動化は重要性を増すでしょう。

アウトソーシングテクノロジーでは、特権アクセスを利用した攻撃の被害を防止/最小化するソリューション「CyberArk」や、高度なサイバー攻撃の検知と対策を実現するサイバー攻撃対策プラットフォーム「Cybereason」などの運用体制構築・セキュリティ人材派遣を提供しています。お困りの際はぜひ当社までご相談ください。

参照:日本企業の9割が「セキュリティ人材不足に課題」‐ 米豪は1割程度

CONTACT

ITソリューション・テクノロジーサービスの最適なプランをご提案します