サイバー空間における脅威の現状を把握するのは思いのほか難しい(写真:saki / PIXTA)

「サイバー攻撃により深刻なシステム障害が発生」「不正アクセスにより大規模な情報漏洩が起きた」など、昨今はサイバーセキュリティに関連する報道がトップニュースを飾ることも珍しくはなくなった。

それゆえに経営課題の1つとして、サイバーセキュリティにおけるリスクをあげる経営層も少なくないだろう。

一方で最前線に立ち、まさにリスクと対峙している現場からは「組織運営において重要なミッションを担っているはずだが、円滑な業務遂行にあたり制約が多く、適切な対応が厳しい状況だ」と疲弊する担当者の発言を聞くこともある。

こうしてジリ貧となっている組織は珍しくはなく、背景には経営層のサイバーセキュリティに対する理解不足があることがうかがえる。

理解不足が生じるのは「現状把握」が困難だから

その要因として、私たちを取り巻くサイバーセキュリティの「現状を正確に把握すること」の難しさがあげられる。

効果的な対策を打つためには、今どのような脅威が差し迫っているのかを知ることは避けて通れない。また漏れや重複のない対策とするには、脅威の全体像を把握することが重要だ。

しかし、サイバーセキュリティと一口に言っても技術的な領域だけではなく、リスク管理や監査、法律、さらに最近では国際情勢が関係するものもあり、範囲が広く十分に情報を収集することがかなわない。それが全体を俯瞰するうえで大きな壁となる。

脅威を分析する対象の1つに、サイバー攻撃を受けた組織が関係者向けに発信を行う被害公表があるが、まさにそれも見方を変えれば、全体像を知る困難さを具現化している例と言えるだろう。

2024年も1カ月超が過ぎたが、この1カ月間で国内組織から公表された不正アクセスの被害は筆者が確認しただけでもすでに30件以上にのぼる。

ただ、全体を把握するには、さらに公表されていない情報を取り上げる報道記事なども併せて見なくてはならない場合もある。


東洋経済Tech×サイバーセキュリティのトップページはこちら

一方で、これらを見て全体像を把握できるかといえば、公表された被害や報じられた内容から攻撃手口の詳細や原因、再発防止として講じられた対策など、分析に必要となる情報が入手できるケースは思っている以上に少ない。

このようなサイバー攻撃による被害の共有や公表のあり方については、政府機関からガイダンスが公開されるなど業界としての前進は見られる。だがほとんどの場合、現場の担当者は不足している情報を埋めるべく、これまでの対応から得られた知見をもとに必死の想定力で何とかしのいでいるというのが実情だ。

自社がサイバー攻撃の被害者となる前に、あまたある脅威情報の分析を迅速に行い、必要な対策を講じるための判断材料として経営層にまで共有が行われている組織はどれほどあるだろうか。

詳細な公表資料こそ、経営層もすべてに目を通すべき

だからこそ、詳細まで分析し公表された“貴重”な情報は、たとえ経営層であっても概要を一読して終わるのではなく、資料のすべてに目を通すべきであると考える。

最近の事例では、大阪急性期・総合医療センターの調査報告書が、それに該当する。


大阪急性期・総合医療センターから公表された調査報告書(編集部撮影)

この報告書は2022年10月に発生したランサムウェアによる大規模なシステム障害を受けたもので、被害を受けた病院が地域医療の拠点であり、人命にも関わる医療サービスの提供にも一時的に影響が及んだことから社会的な関心が広く寄せられた事案であった。

それゆえに医療業界関係者において、とくに注目すべき事案として見られる向きもある。

だが調査報告書を読むと、発注者(医療機関)とベンダーといった当事者間の責任範囲の不明瞭さや双方の人材・知識不足、さらに技術的に問題のある運用が行われていたことなどが中核的要因であったと整理されており、同様の事故がどこの組織でも起こりえるものであったことがわかる。

さらに委託先を介して、院内ネットワークへの侵入を許したサプライチェーン攻撃であったことも判明しているが、驚くべきことにこの委託先はネットワーク機器の脆弱性を修正しないままシステムの運用を行っていた。

脆弱性については2019年に公表、修正版が出ており、複数のセキュリティ機関が、この脆弱性を悪用した活動が活発化しているとして、たびたび注意喚起し、被害公表事例も国内で相次いでいたのにだ。

病院側はそのような実態を把握できていなかったのはもとより、システムを運用する側は少なくとも対応しておくべきものであったにもかかわらず、未然に防ぐことがかなわなかったのは残念でならない。

海外で起きた2段階のサプライチェーン攻撃

現状把握を見落としなく行うためには、情報収集を国内だけとするのではなく、海外事例にも積極的に目を向ける必要がある。

日本国内で利用している組織は少なかったためか大きな話題になることはなかったが、2023年3月にキプロスの3CX社が開発する音声通話ソフトが改ざんされ、不正なコードが注入されるサイバー攻撃が発生した。

3CX社は、このソフトウェアが世界190カ国、60万の組織で利用されていると紹介しており、大規模な範囲に攻撃の影響が及んでいたのではないかとセキュリティ業界の関係者らには当時衝撃が走った。

さらに、このサイバー攻撃は2段階のサプライチェーン攻撃が行われていたことで知られている。3CX社の従業員がPCにインストールしていた他社のソフトウェアが、すでに改ざんされていたものだったのだ。

そこを端緒に3CX社のソフトウェア開発環境が侵害されてしまい、悪性のファイルが含まれたソフトウェアを公開してしまった。

個人の利用するものも含め、攻撃を受けた従業員のPCから情報が盗まれることで、本丸である企業内のネットワークや利用しているクラウドサービスに被害が波及していく事例は、最近目にする機会が増えている。

しかし、業務のあり方など組織の構造的な問題を含むことから担当者だけでは容易に解決はできない。

サイバーセキュリティの脅威は固定化しつつある

ここで取り上げた2つの事例は、経営層が知っておくべき事例のごく一部だ。

情報処理推進機構は例年、脅威動向のトレンドをまとめている「情報セキュリティ10大脅威」を公開しており、選出された脅威を見ると、今どのような脅威に目を向けなくてはならないかを知ることができる。

すでに2024年の選出がされているが、「〇年連続〇回目」という表記が並んでいることからもわかるように、毎回新しい脅威が選出されているのではなく同様の事案が毎年続いている。


有効な対策があるにもかかわらず固定化が進んでいるのは、適切な防護策を講じていない組織がまだ多くある裏返しだろう。10大脅威のような事態に対して、「うちは大丈夫なのか?」と経営層から担当者に丸投げをしてしまうことがあるかもしれないが、それでは経営層の理解不足は解消されない。

やはりカギとなるのは、現場担当者とのコミュニケーションに尽きる。十分なフォローを行えている経営層がどれほどいるかは、最近のセキュリティ事案を見ても決して多くはないと感じている。

担当者は、限られたリソースの中でセキュリティ強化を図らなければならないという無理難題と格闘する日々に疲弊している。何も問題が起こらなければ評価がされず、いざことが起きれば減点となる、そんな評価軸の組織も珍しくはない。

サイバーセキュリティをめぐるさまざまなリスクへの対応は誰か一人が抱え込むものではなく、組織全体として取り組むべき課題であることを改めてお伝えしたい。

(piyokango : セキュリティリサーチャー)