効率的なセキュリティ対策を行うために、IPAのツールでサイバー攻撃による損害額の把握から始めましょう
近年、サイバーセキュリティ対策の重要性がますます高まっています。
ランサムウェアなどによる被害・損害を最小限に抑えるために、適切なセキュリティ対策を講じる必要があるのはご存知の通りです。
しかし、先日のオンライン配信イベント「KDL DAY」でも紹介しましたが、セキュリティ対策はキリがありません。
「KDL DAY」アーカイブはこちらから
https://www.kdl.co.jp/event_info/seminar/2023/04/kdl_day_20230523.html
また、対策を講じる際には、限られた予算内で効率的に実施することも重要です。
予算を立てるには、リスクや発生確率、被害額などの想定が必要ですが、ニュースで見かける事件を参考にしてもなかなか自社の被害額が分かりにくいものです。被害額の想定がないと、リスク評価や対策にいくら費用をかけるべきか判断が難しいかもしれません。
そこで、本記事では、独立行政法人情報処理推進機構(以下、IPA)が公表しているセキュリティインシデント時の損害額を算出するツール「NANBOK」をもとに、ランサムウェアなどサイバー攻撃を受けた際の損害額の算出方法などをお伝えします。
■被害の事例
近年発生したランサムウェアによる被害の実例です。
2022年2月 小島プレス工業株式会社
トヨタ自動車のサプライチェーンである小島プレス工業がランサムウェアの被害に遭いました。原因は子会社が独自に外部企業との専用通信に利用していたリモート接続機器の脆弱性としています。
この攻撃により、トヨタ自動車は3月1日の国内全工場(子会社の日野自動車やダイハツ工業の向上を含む全国14工場28ライン)の稼働を停止する事態となり、約1万3千台の生産に影響を与えました。
小島プレス工業株式会社
「小島プレス工業株式会社 システム停止事案調査報告書(第 1 報) 」
2022年4月 月桂冠株式会社
日本酒メーカーの月桂冠が、ランサムウェアによりデータを暗号化される被害に遭いました。 侵入の経路としては、インターネット回線に接続したネットワーク機器の脆弱性を悪用された可能性が高いとしています。
通販サイトの商品発送リストや取引先の連絡先、採用選考参加者名簿など計約2万件以上の個人情報が流出した可能性が否定できないと発表しています。
月桂冠株式会社「当社サーバへの不正アクセスに関するお知らせ(第二報)
お客様等の個人情報流出可能性のお知らせとお詫び」
https://www.gekkeikan.co.jp/company/news/detail/326/
上記2件の事件では損害額は公表されていませんが、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)によると軽微なマルウェア感染で500万円、大規模なマルウェア感染では3億7,600万円もの損害額になるとの試算(※1)や、トレンドマイクロ株式会社の調査(※2)では年間平均被害額は1億4,800円とのレポートもあります。サイバー攻撃の被害は甚大です。
※1日本ネットワークセキュリティ協会インシデント被害調査WG「インシデント損害額調査レポート2021」
※2トレンドマイクロ株式会社「法人組織のセキュリティ動向調査2020年版」
メール訓練のノウハウと
効果的な進め方教えます
■被害額を知るには
感染の規模によって被害額も500万円から3億円と開きがあり、自社が実際に攻撃を受けた際にどのくらいの損害が発生するのか、なかなかイメージしにくいのが正直なところ。
そんなときに役に立つのが、IPAが公表しているセキュリティ関連費用の可視化ツール「NANBOK」です。
ダウンロードはこちらから
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/visualization-costs.html
これは「企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらう」ため開発されたツールです。
ランサムウェアを含む「情報セキュリティ10大脅威 2022」に記載されている脅威が自社に起こった場合、どのくらいの損害額になるかを試算できます。
■NANBOKの使い方
1.「TOP」シートで業界と脅威シナリオを選択
2.「損害額試算」シートで全体シナリオの確認
3.「損害額試算」シートで企業情報等を入力
4.「損害額試算」シートで損害額の確認
5.「対策と本シナリオにおける効果」シートで脅威シナリオに対応したセキュリティ製品/サービスの確認」
大まかには《脅威を選ぶ》《企業情報を入れる》の2ステップで損害額が確認できます。
4.で損害額が確認できるだけではなく、5.では攻撃者がどのような手法や段取りで攻撃をしているかのフローと、選んだ脅威に対応したセキュリティ製品の紹介があります。
例えばランサムウェアでは、
「偵察・武器化→配送→攻撃→インストール→遠隔操作→目的実行」の順に攻撃を実行するとあります。
対策製品の紹介では、上記フェーズのどの部分に有効か、導入する場合の考慮事項なども記載されており、万が一対策に不十分な部分があった場合に、どのような観点で製品を選べばいいかの参考になります。
■適切なセキュリティ対策の重要性
御社の損害額がおおよそでも算出できたでしょうか?
こういったツールを使って現状のリスクを把握すると、セキュリティ対策製品導入の優先順位づけや効率的な運用に役立つはずです。
今回ご紹介したのはセキュリティインシデントの際の損害額を把握する方法でしたが、「いまサイバー攻撃があった場合、どのくらい耐性があるか」を把握するツールには、メール訓練サービスがあります。
ランサムウェアやビジネスメール詐欺など、メールを起点とするサイバー攻撃は多く、実際の攻撃メールを模した訓練メールを送ることで、従業員のメール攻撃に対する対応を把握できます。 また、日頃のセキュリティ教育の効果検証や社内のポリシーの確認にも活用できます。
神戸デジタル・ラボではSaaS型のSelphish(セルフィッシュ)を提供しています。
SaaS型で手軽に始めることができるため、効果を検証するツールとして導入を検討されてはいかがでしょうか。
https://security-academy.jp/