米国では、10月を全国サイバーセキュリティ意識向上月間(NCSAM)とし、毎年異なる重要テーマを設定しています。2022年のテーマは「サイバー内の自分を見る」です。サイバーセキュリティは一連の原則やツールより重要です。人々が主要な構成要素であり、多要素認証への準拠、強固なパスワードの使用、最新ソフトウェアによるデバイスの常時アップデート、承認されたソフトウェアのみのデバイスへのインストール、フィッシングの報告により、ビジネスの安全性維持に寄与します。
要するに、サイバーセキュリティの責任者は全員なのです。
しかし、これだけでは十分とは言えません。セキュリティは、保護されていないテクノロジーを補うために適用できる、単なる一連のベストプラクティスではありません。サイバーセキュリティ・インフラセキュリティ庁のJen Easterly長官は、テクノロジー業界に、製品の製造後ではなく、設計・開発段階でセキュリティを組み込むよう促しています。
従業員が自身と組織の安全性を保つために重要な措置を講じることは絶対的に可能です(そしてすべき)が、より強固なインフラストラクチャの整備の方が、サイバー攻撃への優れた対策になります。私ならば、セキュリティを設計原則の最重要項目にするでしょう。
サイバー犯罪の現状
新型コロナウィルスのパンデミックはサイバー犯罪に拍車をかけており、FBIの報告によると、サイバー犯罪はパンデミック初期から300%増加しています。世界のあらゆる場所から従業員が企業データにアクセスするようになったことで、サイバー犯罪者が脆弱な企業ネットワークを簡単に攻撃できるようになりました。実際、サイバー犯罪は2025年までに10.5兆ドル規模のビジネスになり、経済的に世界第3位の産業になると予測されています。
しかも、医療分野などの脆弱な組織は、システムへのアクセスを失うわけにはいかないので、サイバー犯罪者はランサムウェア攻撃をより頻繁に行い、協力者を募り、あろうことかサービスとしてのランサムウェア(RaaS)を提供して、大混乱を引き起こす可能性があります。
適切な復旧計画を整備していない場合、身代金を払わざるを得ないと感じる企業が多く、実際に攻撃を受けた企業の60%が支払いに応じています。サイバー犯罪者は、被害者の多くが身代金を支払わなければならないと感じることを熟知しており、荒稼ぎをしています。ランサムウェアの攻撃を受けると身代金を支払う傾向が他より高い業界として、医療・教育・政府部門などが挙げられます。
犯罪を減らせるかどうかは、私たちにかかっています。
サイバー犯罪はすべての人に影響を与える
サイバー犯罪は自分の組織には関係ないという考えに陥りがちですが、ランサムウェアのような犯罪を本当に不可避なものとしてではなく、「ワーストケースシナリオ」と見なし続けると、必要な対策ができなくなります。
これを大局的な視点でとらえるために、2022年9月に米国ロサンゼルス市統合教育区教育委員会(LAUSD)を襲ったランサムウェア攻撃を紹介します。LAUSDの規模は米国第2位で、64万人の児童・生徒を抱えています。ランサムウェア攻撃集団は、委員会のネットワークから500ギガバイトのデータを盗んだと主張しており、LAUSDが受けた被害は甚大でした。児童・生徒と職員も重要なメールシステムにアクセスできなくなりました。
LAUSDの話はほんの一例で、類似したインシデントは多数起こっています。自分は大丈夫だと高を括ってはいられません。完全な耐性を得るのは極めて困難なのです。
サイバーセキュリティの文化を築く
セキュリティはゼロから始めなければなりません。前述したEasterly長官の意見にあるように、設計によるセキュリティの重要性がこれまで以上に高まっています。見つかったセキュリティホールにパッチを適用して脆弱性に対処してきた企業もあるでしょうが、始めからセキュアなシステムを設計するほど効果的な策はありません。
設計によるセキュリティにはエンジニアが従うべき一連の原則が含まれています。その原則とは、信頼できるテクノロジーを使って脆弱性の更新が適宜実行できるネットワークを構築すること、ソフトウェア内のセキュリティ上の危険に関する開発者の意識を高めること、メンテナンス可能なソースコードを評価するための保守性の基準を設定し、評価方法を提供すること、自動検証と手動検査を選択すること、製品設計の重要機能としてプライバシーを強化することです。
サイバーセキュリティ文化を築くには、リーダー、チーム、個人といった組織の複数の層が事業部のように動く必要があります。これらの3層すべての足並みが、1つのサイバーセキュリビジョン上で揃わなければ、サイバーセキュリティへの意識の基礎構造は創造できません。リーダーがサイバーセキュリティの価値を確率し、チームが会議やプロジェクトでその価値を守り、個人が日常業務すべてで責任を引き受けるのです。
Rubrikがサイバーセキュリティを自社のDNAに織り込んだ方法の詳細については、こちらをクリックしてください。デモ、さまざまな情報、データセキュリティの実態などがご覧いただけます。