最も力点を置くべきは「実害未遂を目的にした対策」
そもそも、データを暗号化するケースや窃取するケースなど手口はさまざまで、バックアップから復旧できる保証も身代金支払い後にサイバー犯罪者が約束を守る保証もない。「情報が窃取された可能性」「窃取された事実は現時点では確認できていない」という記載を被害組織の公式発表でよく目にする。しかし、ログデータが残っておらず判別不能で盗まれていない確証が得られないというケースもよくある。元より、データが暗号化されると事業、サプライチェーン、エコシステムが止まる。
だからこそ、データが暗号化される、窃取される、システムが止まるといった実害を未遂にすることを主眼に置いた対策に力点を置くことだ。外部からのものであろうが組織内部のものであろうが、社員であろうが取引先であろうが、業務端末であろうがBYOD端末(従業員が個人で所有するスマホやパソコン、タブレットなど)であろうがすべての通信を必ず検査することがこれまで以上に求められている。コロナ禍で注目を集めた「ゼロトラスト」という考え方だ。
大手証券各社で不正売買が行われる被害が問題になっていることからも明らかなように、正規ユーザーのアカウントが使われていても、それが本人の決済であるという確証も行為が正当であるという確証も検査をしなければ得られない。サプライチェーンがきっかけで被害につながるケースもここ数年あるように、取引先や業務委託先にある端末からの通信でも、それが業務目的の通信であるという確証についても検査しなければ得られないのだ。
どんなに通信を検査してもサイバー犯罪者は突破してくる可能性がある。そこで「不審な活動に早期に気づくための仕組み」が必要になってくる。ITインフラ上のさまざまなソースのログデータを1カ所に集めて分析をするというものだ。理屈としては、ビルや商業施設などでさまざまな監視ポイントのデータを監視センターに集めて分析するのと同じだ。
ただし、ログデータの量が膨大になり、分析手法に関する専門知識も必要な上、負荷が非常に高いこともあり、人手を使って分析する手法は現実的ではない。そこで、1カ所に集めたログデータをAIを活用して不正かどうか判断する仕組みが有効になってくる。このような仕組みを採用するにあたっては、ツールを提供するメーカーが保有、処理しているデータの種類と量、データモデルの包括度を評価するといいだろう。
今回は教育機関が外部業者に預けた個人情報が侵害されたというものだが、近年では業務委託先で自組織のデータが侵害されるケースが続発している。委託先であっても、その責任の一端は委託元自身にもあるということを忘れてはならない。その意味では、特定業務を専門性のある外部業者に委託するにしても、委託先がどのようなセキュリティ対策を実施しているかを評価した上で契約し、継続してその対応を評価することも同時に必要だろう。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
