セキュリティの
学び場

今回の解説ニュース

個人情報漏えいにつながるサイバー攻撃の発生日から発覚日までと、発覚日から公表日までの期間について、それぞれ短期化しているものの、依然として長期間の日数を要しているということです。サイバー攻撃の発生にいち早く気が付く方法や、インシデントの公表で気を付けるべきポイントについて説明します。

2020年9月1日から1年間で公表された、国内の個人情報漏えいにつながるサイバー攻撃の「発生日」から、攻撃に気づいた「発覚日」までには、平均349日を要したことが判明しました。なお、2019年1月から1年半を対象期間とした2020年の調査と比較すると34日短期化しているということです。

ただし、発覚までに90日超を要した事案が全体の6割を超え、2020年の51.7%と比較して10ポイント近く増加しています。発覚までに時間がかかる要因として、新型コロナ禍でオンライン化が進む中、企業が攻撃を発見する仕組みが整備されていないこと、定期的なセキュリティチェック体制を構築できていないことが挙げられています。

なお、「発覚日」から被害の「公表日」までは平均82日を要しており、2020年の調査と比較すると13日短くなってるということです。

サイバー攻撃にいち早く気付く為のセキュリティ対策とは？

サイバー攻撃にいち早く気が付くセキュリティ対策の一つとして、ログの保存と監視が挙げられます。内容について説明します。

攻撃者は何らかの脆弱性をついて、システムへ侵入を試みます。脆弱性はソフトウェアの問題かもしれませんし、管理者の設定不備かもしれません。いずれにしても、攻撃者がシステムを攻撃した場合、そのアクセス履歴をシステムのログに記録することができる場合があります。

また、システムのログを効率的に分析するために、SIEMという仕組みがあります。SIEMとはSecurity Information and Event Managementの略で「セキュリティ情報とイベント管理」などと訳されます。システム全体の様々なログを一元管理して相関分析を行うことで、単一のログでは見つけられないサイバー攻撃を検知することが目的です。

例えば、攻撃者は本格的なサイバー攻撃を行う前に、悪用できる脆弱性がないか偵察を行います。インターネット経由の偵察であった場合、ファイアウォールやIDSなどが検知することが多いと考えられます。ただし、偵察自体は毎日のように様々なIPアドレスから無作為に行われていますので、1つ1つのアクセスを分析していては、本当に重要なインシデントが発生した際に対応することができなくなってしまいます。

そこで、SIEMなどを使って、例えば「同一のIPから執拗に調査が行われている」であったり「外部のサーバへあるはずのない通信が発生している」であったり、ネットワークやサーバのログを相関分析することによって、サイバー攻撃にいち早く気が付くことができます。

攻撃被害を公表する際、被害者へ配慮すべきこと

公表するときに被害者へ配慮すべきことは、情報共有の正確性より即時性を優先することです。理由について説明します。

速やかに情報の公表を検討することが望ましい

2020年1月28日に総務省が公表した「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項」の緊急提言で「サイバーセキュリティに関する情報共有体制の強化」の取るべき対策として「個人情報などの流出が疑われる時点で、影響を受ける主体との関係なども踏まえつつ、速やかに情報の公表を検討することが望ましい。」とされています。これは、公表が遅れることによって、被害者側で二次被害等の対策が取られず、インシデントの被害が拡大してしまうのを防ぐことが主な目的であると考えられます。

インシデントに関する情報の共有を速やかに

また、「類似の被害の拡大を防ぐ観点から、インシデントに関する情報の共有を速やかに行うことが求められる。」ともされています。これは、同様のインシデントが同時多発的に発生するサイバー攻撃の横展開は実際に行われており、社会全体としてインシデントの被害を1件でも減らすためにも、速やかな情報共有が求められるということです。

「不要な混乱を招かないために正確な情報を」という気持ちは理解できますが、公表が遅れることに伴うリスクも相応に発生することを正しく理解して、二次被害防止や被害者保護に全力を尽くしたいですね。