サイバーリスク対策および攻撃被害発生時における「情報共有」のポイント

単一企業による対応の限界

サイバー攻撃の手法は高度化しており、攻撃を受けた企業・組織が単独で攻撃の全容を解明することは困難になっています。攻撃者は、取引先やサプライヤーも含めて攻撃対象として偵察活動を行い、脆弱性を発見した上で攻撃手法を確立するといわれています。サイバー攻撃被害を未然に防止、または侵害を早期に検知し、被害を最小限に抑えるためには、攻撃に関する情報、特に「脅威情報」の入手が必要ですが、その範囲は自社に限らず取引先やサプライヤーまで拡がるため、単一企業で得られる情報には限界があります。

また、攻撃を受けた際の被害の影響の大小は、インシデント対応の巧拙、すなわち攻撃開始から検知（発覚）および検知（発覚）から復旧までに要する時間によるため、他の企業・組織で発生した同様の攻撃被害情報や技術的な情報がスムーズに共有・活用できることが望まれます。しかし、被害が発生した組織は情報共有に消極的であり、共有されてもそのタイミングは調査後となるケースが多く、有益な情報共有ができていないのが実態です。

現状の課題を解消するために、政府は「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」と「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表しました。ここではこれらのガイダンスの概要と、有益かつ適切な情報共有のポイントについて解説します。

ASM（Attack Surface Management）導入ガイダンスの概要

「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」は2023年5月29日に経済産業省から公表されました。

高度化するサイバー攻撃の脅威に対して、自社が保有するIT資産を適切に管理し、リスクを洗い出すことが求められますが、人手を介した管理の下では、システム管理部門の把握しきれないシステムが生じやすく、機器の実際の設定も見えづらいことなどから、自社の全てのIT資産を管理するのは必ずしも容易ではありません。本ガイダンスでは、サイバー攻撃から自社のIT資産を守るための手法として注目されているASMについて、自社のセキュリティ戦略に組み込んで適切に活用してもらえるよう、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介しています。

本ガイダンスではASMを「組織の外部（インターネット）からアクセス可能なIT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義しています。具体的には、外部（インターネット）に公開されているサーバやネットワーク機器、IoT機器の情報を収集・分析することにより、不正侵入経路となりうるポイントを把握します。ASMを行うことで、以下が可視化されることが期待されます。

●　情報システムを管理している部門が把握していないIT資産を発見できる
　（例）キャンペーン活動などに利⽤するWebサイトなど、情報システムを管理している部門以外が構築・運用しているIT資産を発見する

● 情報システムを管理している部門の想定と異なり、公開状態となっているIT資産を発見できる
　（例）設定ミスなどにより、外部（インターネット）からアクセス可能な状態となっている社内システムなどを発⾒する
　（例）グループ企業における統制上の課題や地理的な要因によって、本社で⼀元的に管理できていないIT資産を発見する

ASMは、主に「（１）攻撃面の発見」「（２）攻撃面の情報収集」「（３）攻撃面のリスク評価」の３つのプロセスで構成されます。

（１） 攻撃面の発見

はじめに、企業が保有または管理し、外部（インターネット）からアクセス可能なIT 資産を発見します。具体的にはIP アドレス・ホスト名のリストが本プロセスのアウトプットとなります。⼀般的には以下のような手順で行われます。
① 組織名をもとに、当該組織が管理者となっているドメイン名を特定する。これは、例えば社外に公開しているWeb サイトやWHOIS（IPアドレスやドメイン名の登録者等に関する情報を参照できるサービス）を利⽤して特定する。
② 上記①で特定したドメイン名に対して、DNS による検索や、ツールなどを活⽤してIPアドレス・ホスト名の⼀覧を取得する。

（２）攻撃面の情報収集

上記（１）で発見したIT 資産の情報を収集します。このプロセスで収集する情報には、攻撃面を構成する個々のIT 資産におけるOS、ソフトウェア、ソフトウェアのバージョン、オープンなポート番号などがあります。⼀般的にこのプロセスは、調査対象に影響をおよぼさないよう、Web ページの表示など通常のアクセスの範囲で⾏われます。

（３）攻撃面のリスク評価

上記（２）で収集した情報をもとに攻撃⾯のリスクを評価します。⼀般的には、公開されている既知の脆弱性情報と、（２）で収集した情報を突合し、脆弱性が存在する可能性を識別します。

上記のプロセスを経て、そのリスクが顕在化した場合に想定される被害と修正にかかるコストを考慮して、パッチ適用（リスクの低減）や対策見送り（リスクの受容）など、脆弱性管理と同様のことを実施します。

ASMはドメイン名が分かればリスク評価ができることから、自社のみならず子会社・関連会社・サプライヤーのセキュリティ対策状況の把握・管理が可能となります。サプライチェーンへのサイバー攻撃によるビジネス中断など、サプライチェーン全体のサイバーリスク対策が企業活動の喫緊の課題となっているなか、ASMツールを活用した企業間の対話とサプライチェーン全体のセキュリティ向上に活用してください。

サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要

総務省、内閣サイバーセキュリティセンター（NISC）、警察庁、および政令指定法人JPCERTコーディネーションセンターが事務局として運営する「サイバーセキュリティ協議会」は、2022年5月に「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を設置し、討議・検討を踏まえて2023年3月8日に「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表しました。

本ガイダンスは、冒頭で「情報共有」「被害の公表」「行政機関への報告／届出、警察への通報」「取引先や顧客への連絡」を定義、それぞれの持つ意味の違いを解説した上で、速やかな情報共有や被害公表を行うために、予め「何のために」「どのような情報を」「どのタイミングで」「どのような主体に対して」情報共有すべきか、実務上のポイントをまとめています。

被害組織とサイバーセキュリティ専門組織などとの情報共有は、被害組織にとっても社会全体にとっても非常に有益である一方、被害組織にとっては自組織のレピュテーション（風評）に影響しかねないため、慎重になるケースも多いです。情報共有に消極的になる原因は、サイバー攻撃被害に係る情報を外部に知られることで風評リスクなどが想定される「被害そのものを示す情報」と、そうではない「攻撃／攻撃者の活動を示す情報」を切り分けられていないことにあります。
本ガイダンスの重要なポイントは、サイバー攻撃に関する情報について、「攻撃／攻撃者の活動を示す情報（攻撃技術情報）」と、「被害そのものを示す情報（被害内容・対応情報）」の２つの情報に切り分けることにあります。前者を早期に情報共有することで、被害組織自身の早期の全容解明や、他の組織の被害予防、被害の早期認知、攻撃被害拡大防止に役立てることを意図しています。
例えば、攻撃者は一定期間において、攻撃手法や攻撃インフラを使いまわす傾向がありますが、被害組織単独による調査だけではそれらの特定は困難です。情報共有活動により「自組織だけでは見つけられなかった情報」を得ることを通じて被害の抑止や拡大防止ができます。

本ガイダンスでは、公表のあり方や具体的方法については主たる検討対象としていませんが、
●被害組織の公表は、サイバー攻撃被害の実態を目に見える形で社会に示すことによって、脅威の度合いを測るものさしとなり、日本が置かれているサイバー攻撃被害の現状を社会が正しく理解する助けになる
●どのような脅威度合いの攻撃を受け、どのような被害が発生し、どのように対処したのか、被害組織が公表したインシデント対応の内容が正しく評価されるためには、日頃から社会全体においてサイバー攻撃やインシデント対応に関する理解が必要
●サイバー攻撃被害に係る情報の公表により社会全体に対して情報が提供されることで、積極的に被害公表を行った組織に対して、より適切な評価がなされるようになる

と、公表の社会的意義を訴えています。FAQでは、公表の目的のほかにタイミングや公表内容、留意点について実務運用を想定して解説しています。

情報共有の活性化に向けた推奨事項

ここで紹介した２つのガイダンスのほかに、警察庁の有識者検討会は、「サイバー事案の被害の潜在化防止に向けた検討会報告書 ²」において、被害報告の窓口が所管省庁、個人情報保護委員会、警察等多岐にわたっており、報告様式・内容等も異なるため、被害組織等の負担軽減や関係機関等における迅速な情報の把握・共有の観点から、ポータルサイトを設けるなど窓口を一元化（統一化）すべきであると述べています。また、内閣官房が設置するサイバー安全保障体制整備準備室と経団連サイバーセキュリティ委員会は、サイバー安全保障の今後の方向性等について意見交換会を開催、「能動的サイバー防御 ³」導入や民間および政府機関のサイバーセキュリティ強化に向けて、サイバー攻撃を受けた企業の被害情報を官民で共有する仕組み作りの検討を始めました。

ここで紹介したガイダンスおよび政府の動向を踏まえた、自社および取引先、ひいてはサプライチェーン全体のサイバーセキュリティ強靭化に向けた推奨事項を以下に紹介します。

³2022年末に閣議決定された「国家安全保障戦略」において、導入が宣言されたサイバーセキュリティ政策。今夏以降に有識者会議を設置し、必要な法整備を検討する予定。

（１）リスク管理体制と緊急時対応体制の見直し

組織の内外の関係者間のコミュニケーションは、平時のリスク管理およびインシデント発生を検知した緊急時のいずれにおいても欠かせないものです。国内企業においてもサイバー事故が頻発している近年、インシデント対応手順の整備が進んできていますが、この手順に「誰が」「何のために」「どのような情報を」「どのタイミングで」「どのような主体に対して」を着実に落とし込むことが肝要です。

（２）サプライヤーも巻き込んだインシデント対応演習の実施

演習の目的と効果に①基本的なインシデント対応の習得がありますが、サプライヤーも演習に参加することで、②演習参加者におけるリスク対策の現状と課題、悩みの共有③「顔が見える」ことにより、有事の連絡・情報共有がよりスムーズになることが期待されます。


MS&ADインターリスク総研株式会社発行のサイバーセキュリティニュース2023年7月（No.1）を基に作成したものです。