急速に拡大するデジタル環境では、すべての組織の業務、収益、データ、ブランドの評判がサイバー攻撃のリスクにさらされる可能性があります。組織の大小を問わず、市場の変化に対処し、顧客を満足させ続けながら、サイバー攻撃の対象領域とサイバーリスクの管理に力を注ぐ必要があります。

もちろん、これは簡単なことではありません。そこで、サイバーリスクとセキュリティチームが直面する最も一般的な種類を詳しく見ていき、組織が脅威アクターに対して形勢を逆転させ、保護を維持するのに役立つ5つのヒントを探ってみましょう。

サイバーリスクとは

サイバーリスクでは、攻撃者がサイバー脅威を悪用する可能性（確率）を測定するだけでなく、組織の情報の機密性、整合性、可用性の喪失など、その悪質なイベントの潜在的な影響を考慮します。組織への全体的な影響には、有形の要素と無形の要素の両方が含まれる可能性があることに注意してください。

• 有形の影響は、ほとんどの場合、身代金の支払い、業務の中断による収益の損失、インシデント対応費用、弁護士費用、規制当局に支払う罰金など、組織の経済的損失につながる変動要素です。
• 無形の影響は水面下で感知され、ほとんどの場合、確認して定量化するのに時間がかかります。例えば、ブランドの信用の毀損、新規顧客獲得の減少、顧客離れの増加などが挙げられます。

サイバーリスクは過去10年間で着実に増加しており、市場では攻撃の量と巧妙さが増しています。実際、研究者は、2023年にサイバー犯罪者によって330億件以上の記録が盗まれると予測しており、これはわずか5年前の2018年から175%増加しています。¹なぜこれほど増加しているのでしょうか。それは、地政学的な緊張とサイバー犯罪の全体的な増加という2つの主な要因によるものです。

情報技術とインターネットは私たちの社会を取り囲んでいます。国家間やコミュニティ間で地政学的な緊張が高まると、ITインフラストラクチャとデータは新たな武器となります。国家のアクターとハクティビストは、サイバー攻撃を武器の一部として使用して、スパイ活動、重要インフラストラクチャの混乱、キャンペーンへの影響などの目的を達成します。

サイバー犯罪は非常に儲かるビジネスであるため、悪意のあるアクターは、金銭的な報酬を得るための活動と攻撃技術を進歩させることに非常に意欲的です。実際、世界経済フォーラム (WEF) によると、サイバー犯罪は莫大な利益を生み、米国と中国に次ぐ世界第3位の経済大国（国に例えると）に成長しました。Cybersecurity Venturesのデータによると、世界の損失は2023年には8兆ドル、2025年には10兆5,000億ドルになると予測されています。²

外部サイバーリスクと内部サイバーリスク

サイバーリスクは、組織の外部（外部リスク）と組織の内部（サイバーリスクの内部ソース）から発生する可能性があります。

サイバーリスクを生み出す外部ソースには、単独のハッカー、組織的なサイバー犯罪グループ、政府機関のほか、天候や地震などの環境事象が含まれます。

内部脅威ソースは通常、会社のネットワークへの承認されたアクセス権を持つ従業員、請負業者、またはパートナーであり、特権アクセスを悪用し、スパイ活動、詐欺、知的財産の盗難、妨害行為など、利益を得るために悪意を持って行動します。

どちらのタイプのサイバーリスクも、独自の課題があります。デジタルトランスフォーメーションはリスク拡大の大きな要因であり、組織が外部からの攻撃を管理するのを難しくしています。現在、組織は脅威アクターが会社への足掛かりを得るために使用する可能性のある多くの手法を予測する必要があります。内部エクスプロイトも厄介です。悪意のあるユーザーがドメイン上で認証され、正規のツールを使用しているため、これらの脅威行為を早期に検知することが困難なためです。

成功したイベントの影響は、組織の内部または外部から発生する脅威ソースに対して等しく損害を与える可能性がありますが、組織が最も頻繁に遭遇する脅威ソースには明確な勝者がいます。Verizonによると、データ侵害は、内部ソースからの攻撃よりも外部からの攻撃によって発生する可能性が75%高いとのことです。³

最も一般的なサイバーリスクの種類

クラウドの導入、デジタルエンゲージメント、マルチチャネルの顧客タッチポイントなどの急速なイノベーションや、その他の新しいテクノロジーにより、過去10年間で企業の運営方法が大きく変わりました。同時に、業務運営の進化により、組織の攻撃対象領域が拡大し、戦術や攻撃方法がほぼ日々変化し改善されるサイバー脅威の状況が急速に進展しています。

内部および外部の悪意のあるアクターは、複数のパスを使用して企業のネットワークとデータにアクセスします。これは、攻撃ベクトルとも呼ばれます。最も一般的な攻撃には、次のようなものがあります。

内部リスク

組織に対する内部サイバーリスクについて考えるときは、偶発的な行為と意図的な（悪意のある）行為の両方を範囲に含めて検討することが重要です。

悪意によるものであれ偶発的なものであれ、最も一般的な内部サイバーリスクは、次のような保護されていない攻撃対象領域から生じます。

• 公開された管理対象外アセット：ユーザーが適切にプロビジョニング解除されていない場合、または使用停止IT資産のネットワークアクセスが削除されていない場合、組織がセキュリティリスクにさらされることになります。ビジネス環境は絶えず変化しているため、これらの不正なリスクはいつでも発生する可能性があります。
• パッチ未適用の脆弱性：脆弱性の悪用が絶えない世界では、パッチ管理を継続することがサイバーリスクからの保護において重要な役割を果たします。しかし、ITおよびセキュリティの専門家の71%は、パッチ適用は複雑で時間がかかると感じています。⁴
• アイデンティティ、パスワードハイジーン：企業システムでは、一日中絶えずログイン試行が行われ、人間またはマシンのアイデンティティを検証する必要があります。また、従業員が組織に加わったり、組織から離れたりするときに、管理対象のパスワードとユーザーアクセスが頻繁に変更されます。残念ながら、パスワードハイジーンやマシンは、組織の弱点となる可能性があり、全世界のデータ侵害の80%はパスワードのセキュリティ問題に起因しています。5 マシンアイデンティティ（SSL証明書、SSHキー、署名証明書など）も記録的なペースで増加しています。アイデンティティの無秩序な増加とキーの不適切な管理により、組織は大きなリスクにさらされます。
• 不十分な保護：組織がクラウド移行イニシアチブの推進など、ビジネスを可能にするテクノロジーを採用すると、これらの新しい攻撃対象領域に対する適切な保護の実装が遅れる（またはまったく採用されない）可能性があります。このようなシナリオでは、組織は不十分なセキュリティ対策で運用されており、影響の大きいデータ侵害の可能性が非常に高くなります。
• ユーザーのセキュリティ意識向上とトレーニング：多くの場合、従業員はセキュリティ防御の最後の砦であり、すべてはリンクをクリックするかどうかにかかっています。セキュリティですべきこととすべきでないことについて従業員を教育することは、組織がこの内部サイバーリスクにさらされるリスクを減らすのに大きな効果があります。

外部リスク

悪意のある部外者による外部リスクは、国家、サイバー犯罪 (eCrime)、ハクティビスト攻撃者など、多くのグループから発生する可能性があります。2022年を通じて、これらの脅威アクターは、防御策に直面しても適応し、分裂し、再編成し、繁栄する能力を証明し続けました。

外部の脅威アクターがこれほど機敏に行動できる理由の1つは、高度に発達したアンダーグラウンドマーケットプレイスを活用して、すぐに使える攻撃キットを売買していることです。フィッシングキット、パッケージ済みのエクスプロイト、Webサイトの複製ツール、その他のキットにより、悪意のあるアクターが完璧にカスタマイズした攻撃を組み立てて開始することが容易になりました。最も一般的な攻撃手法には、次のようなものがあります。

• フィッシングとスピアフィッシング：アクターは偽のサイト、Eメール、ボイスメールを作成し、ユーザーをだまして認証情報を提供させたり、人間の心を悪用して行動させたりします。認証情報を入手したアクターは、地下フォーラムを通じてこれらを販売し、ボットネットの埋め込み、新たななりすまし、恐喝に再利用することができます。
• マルウェア：マルウェアは、コンピューター、ネットワーク、サーバーに害を与える狙いで作成されたすべてのプログラムやコードです。マルウェアは最も一般的な種類のサイバー攻撃です。これは、この用語にランサムウェア、トロイの木馬、スパイウェア、ウイルス、ソフトウェアを悪意のある方法で利用するその他のマルウェア攻撃の種類などの多くのサブセットが含まれることが主な理由です。
• エクスプロイトキット：エクスプロイトキットは、不正アクターがシステムまたはコードの特定の脆弱性を攻撃するために使用するツールキットです。これらの脆弱性を利用できるようになると、マルウェアやランサムウェアの配布などの他の悪意のあるアクティビティを実行します。これらのツールキットは、エクスプロイト（セキュリティ上の欠陥やソフトウェアの脆弱性を利用するコード）を使用するため、このように名前が付けられています。エクスプロイトは、潜在的な脅威の証明のためにセキュリティチームにより作成可能ですが、通常は攻撃者によって作成されます。
• 分散型サービス拒否 (DDoS)：DDoS攻撃は、事業運営を混乱させるためにネットワークを偽のリクエストで氾濫させる、悪意のある標的型攻撃です。結果として、ユーザーは侵害されたコンピューターやネットワークで運用されているEメール、Webサイト、オンラインアカウント、その他のリソースへのアクセスなど、日常的に必要なタスクを実行できなくなります。通常、これらの攻撃によってデータが消失することはありませんが、重大な事業運営を復旧する際に組織の時間、資産、その他のリソースを要します。
• SQLインジェクション：SQLインジェクション攻撃は、システムの脆弱性を利用して悪意のあるSQLステートメントをデータ駆動型アプリケーションに挿入し、ハッカーがデータベースから情報を抽出できるようにします。

サイバーリスクから身を守るための5つのヒント

大企業のみがサイバー攻撃を受けていると多くの人が信じていますが、中小企業は脅威アクターの最大の標的の1つです。実際、市場では2021年から2022年の間に、従業員数が1,000人未満の組織を標的としたインシデントが200%増加しました。⁶

重要なのは、攻撃者が戦略を変え続けているため、大企業も中小企業もセキュリティ対策に警戒を怠らない必要があるということです。ここでは、役立つ5つのヒントをご紹介します。

1. デジタル資産のインベントリを作成する

アセットインベントリは、すべての企業のセキュリティプログラムの基本的な要素です。包括的で最新のインベントリがないと、重大なセキュリティギャップが生じ、所有していることを知らないアセットを保護することはできないため、データ侵害のリスクが高まります。

デジタル資産のリアルタイムインベントリを使用して優れたITハイジーンを維持することで、組織は環境で使用されているコンピューター、アプリケーション、およびアカウントに対する詳細な可視性を得ることができます。この可視性は、ITチームとセキュリティチームが、すべてのデジタル資産をカバーする完全なセキュリティプログラムを構築するのに役立ちます。

2. すべての潜在的な脅威を常に把握する

脅威アクターの速度、量、巧妙さに加え、急速に拡大する脅威対象領域には、脅威アクターと能力を知ることから始めるアプローチが必要です。このリスク管理戦略は、インテリジェンス起点の防御とも呼ばれ、攻撃者と、攻撃者が組織の情報技術環境に危険をもたらす能力に基づいています。

適切な脅威インテリジェンスが利用可能である限り、脅威アクターを理解することは複雑で時間のかかることではありません。攻撃者の世界は広大で、攻撃者の行動はすぐに変化するため、脅威インテリジェンスツールは、利用可能なすべてのデータを迅速に分類して、最新の攻撃者の活動に関する最新情報を提供できる必要があります。優先順位付けされた攻撃者リストを作成できる脅威インテリジェンスを活用することは、今日の急速に変化する脅威環境において、潜在的な脅威を把握するための原動力となります。

3. インシデント対応計画を策定する

インシデント対応計画を策定しておくと、セキュリティインシデント発生時に迅速に対応できるため、効果的に影響を最小限に抑え、復旧時間を短縮できます。インシデント対応と計画を構築するための基盤に関しては、米国国立標準技術研究所 (NIST) が従うべき強固なフレームワークを提供しています。このフレームワークに従うことで、すべての主要なステークホルダーが自分の役割を理解し、対応の取り組みが必要なときに迅速かつ目的を持って行動できるようにするための確固たるアプローチが得られます。これには、インシデント対応ライフサイクルの4つのフェーズが含まれています。

• ステップ#1：準備
• ステップ#2：検知と分析
• ステップ#3：封じ込め、根絶、復旧
• ステップ#4：インシデント後の活動

計画が文書化され、すべての主要なステークホルダーと共有されていることを確認します。また、計画を最新の状態に保つために定期的に更新することも必要です。関係者全員が、自分の責任に関連する計画にアクセスでき、計画が改訂されたときには通知されるようにします。継続的な改善の精神に基づき、組織には、重大なインシデントの後に開始されるフィードバックループも必要です。これにより、うまくいった点や改善点に関するインサイトを得て、今後のチームのインシデント対応調整を強化することができます。

4. 包括的なサイバーセキュリティトレーニングプログラムを実装する

従業員は企業にとって最大のアセットですが、多くの場合、サイバー脅威から保護するための最も弱い部分です。人的要素（フィッシングに引っかかる、リンクをクリックする、単純な人為的ミスなど）は引き続きセキュリティインシデントを引き起こしており、2022年の侵害の82%を占めています。⁷従業員に継続的な教育を提供するサイバーセキュリティトレーニングプログラムを実装することで、これらの弱点に対処し、リスクを軽減できます。注目すべきことに、企業は、従業員に定期的なトレーニングを提供してから最初の12か月以内に、この内部サイバーリスクを60%から10%に削減したと報告しています。⁸

プログラムは、一般的なセキュリティリスクを従業員に教え、オンラインでの責任ある振る舞いを促進し、攻撃が進行中であると思われる場合に取るべきステップを示す必要があります。また、トレーニングは、レベル、場所、または職務範囲に関係なく、すべての従業員が完了する必須タスクである必要があります。とはいえ、職務の種類や経験のレベル、場所に基づいて学習プログラムを調整するのが賢明かもしれません。

5. 適切なサイバーセキュリティ専門家と提携する

さまざまなサイバーリスクから組織を保護することは大きな課題であり、セキュリティ侵入やデータ侵害から内部および外部の攻撃対象領域全体にわたって環境を保護するためのセキュリティスタッフとツールが必要です。組織のセキュリティ運用に人、プロセス、テクノロジーの理想的な組み合わせを実現するには、必要なすべての領域に強力なベンダーとサービスプロバイダーを配置する必要があります。

サイバーセキュリティベンダーまたはマネージドセキュリティサービスプロバイダー (MSSP) のどちらと提携する場合でも、評判が良く、肯定的なレビューがあり、常に高いレベルの顧客満足度を維持しているものを選択する必要があります。サイバーセキュリティパートナーの選択は、長期的な関係になることが理想的であるため、選択を決定する前にパートナー企業について広範な調査を行うことは、現在および将来にわたって会社に適していることを確認するのに大いに役立ちます。

1 TechTarget. 34 cybersecurity statistics to lose sleep over in 2023、2023年1月

2 Cybernews. Cybercrime is world's third-largest economy thanks to booming black market、2023年2月

3 Verizon. Data Breach Investigations Report、2022年

4 Dark Reading. 71% of Security Pros Find Patching to be Complex and Time Consuming, Ivanti Study Confirms、2021年

5 Verizon. Data Breach Investigations Report、2022年

6 Verizon. Data Breach Investigations Report、2022年

7 Verizon. Data Breach Investigations Report、2022年

8 Usecure. How often should employees really receive security awareness training?