業務委託先の情報漏えいを前提にしたセキュリティ対策も必要--トレンドマイクロが分析
トレンドマイクロは1月8日、2024年サイバーセキュリティやリスク動向を解説するメディア向けのセミナーを開催した。企業や組織の資産を保護するために可視化やリスク低減を図る取り組みに加え、業務委託先でのインシデントを念頭にセキュリティ管理を取り入れた契約なども必要だと指摘する。 解説を担当した同社セキュリティエバンジェリストの岡本勝之氏は、まず2024年の動向を「サイバーリスクの放置や無自覚が組織のインシデントに直結した」と総括。同氏によれば、サイバーリスクは、サイバー攻撃や内部不正などの「脅威」、ソフトウェアのセキュリティ上の欠陥を含む組織環境のサイバーセキュリティの弱点となる「脆弱(ぜいじゃく)性」、組織が抱えるITシステムやデータ、情報などの「資産」の3つの要素で構成され、これらの要素を考慮しながらリスクを低減することが重要だと述べる。 さらに同氏は、従来のセキュリティ対策が「脅威」をどう防ぐかという受動的なアプローチであり、セキュリティ人材の不足などの問題が深刻になる中では、資産とその状態の可視化および分析、分析結果に基づくリスクの把握とその低減を図っていく能動的なアプローチの必要性が増していると提起した。 こう提起する背景として岡本氏が、2024年のサイバーセキュリティ情勢を解説した。まず「脅威」の観点では、2024年12月15日時点の国内組織でのランサムウェア被害公表件数が過去最多の84件(同社集計)に上り、特に、2022年以降に活動を開始した新興のランサムウェア犯罪グループによるデータ暴露被害が2024年下期に90%を占めるまでに拡大しているとした。 次に「脆弱性」の観点では、ソフトウェア脆弱性の修正プログラム(パッチ)の公開からユーザー組織が適用するまでの平均日数(同社調べ)が、世界全体では29.3日、欧州では26.5日、アジア・中東・アフリカでは28.3日、米州では32.8日、日本では36.4日と、日本が最も遅かった。 また、2024年はEC事業者でのサイバー攻撃による情報漏えいが続出。同社の分析では、被害期間が平均2年9カ月におよび、多くのケースで被害が2021~2023年に発生した。被害を公表した30社のうち29社の事案がクレジットカード会社や警察など外部からの指摘で発覚した。当事者が検知したのは1社だけだった。これら被害の多くは「Water Pamola」と呼ばれる攻撃活動によるもので、同社を含む世界各地のセキュリティ機関などが2021年に注意喚起を行っていたが、2024年になり多くのEC事業者での被害が発覚したという。 このほかにも同社が2024年にインシデント対応を支援した事案では、ITシステムなどの特権が攻撃者に悪用されたケースが目立ったという。短時間のうちにリモートメンテナンス用の端末に残存した認証情報や、IT資産管理サービスの管理用端末の認証情報が奪取され、攻撃者の不正侵入活動に悪用されるケースがあった。 最後に「資産」の観点では、業務委託先でのランサムウェアによるデータ漏えいが注目を集めた。1つの委託先に対して委託元が多様な業界の民間企業から自治体など多岐にわたる場合、インシデントの規模や影響は非常に大きく、サプライチェーンのセキュリティリスクが指摘される中で、データのサプライチェーンが焦点となったとする。 岡本氏は、「委託元には委託先を含めた管理徹底が求められるが、行き届きにくい。不要になったデータの廃棄といった事前の取り決めを委託先が順守しないことも起こり得る。委託元では、どのようなデータをどの委託先に提供しているのかを当事者部門だけでなくセキュリティ部門やリスク管理部門も適切に管理しなければならないし、委託先での情報漏えいを前提にしなければならなくなるだろう。委託を受ける側も委託元のデータをできる限り保持しないことを考えないといけなくなる」とした。
