カードNavi, カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

Withコロナ時代はWithランサムウェア時代？対抗するには何が必要なのかをISRが解説

2022年2月9日9:00

インターナショナルシステムリサーチ（ISR）は、2022年2月3日、「Withコロナ時代はWithランサムウェア時代？」と題した勉強会を開催した。

ランサムウェア攻撃が急増
境界線セキュリティモデルは信用できない？

勉強会では、「Withコロナ時代はWithランサムウェア時代」とも言えるとした。2021年に公表された不正アクセスは258件で、トップはペイメントアプリの改ざんとなった。ランサムウェア攻撃は61件で12.5％。2020年下期は21件だったが、2021年は2.9倍に急増している。実際にはさらに多くの被害が発生していると思われる。

この状況を受けて、日本政府は、2022年度より情報通信や電力など、14分野のインフラ事業者に対し、サイバー攻撃への備えを義務付けている。また、一般財団法人日本情報経済社会推進協会は、プライバシーマーク付与事業者に対して、ランサムウェア被害にあい、被害の対象となるデータに個人情報が含まれていた場合、指定の審査機関に事故報告書を提出するように求めている。日本国内でもランサムウェアへの対応が厳しくなっているが、“信頼しない”を前提にセキュリティ対策を講じる「ゼロトラスト」や「MFA（多要素認証）」の導入を必須としているわけではない。

アルプスシステムインテグレーションの調査によると、日本では、53.6％が「ゼロトラストネットワーク」を知らないとなっており、認知度は低い。

当日は、カナダビクトリア在住の山田有花氏が、Colonial Pipeline、JBS、Kaseya、Metropolitan刑務所といった米国で発生したランサムウェア攻撃を紹介した。バイデン大統領は、Colonial Pipelineをはじめとするランサムゥエア攻撃やサイバー攻撃の対策のため、2021年5月に「国家のサイバーセキュリティの向上に関する大統領令」に署名した。

その中には、7つのポイントがあるが、ソフトウェアを開発する会社に基準を設けて、多要素認証への対応、どういう環境で開発しているか、脆弱性などの基準を設けて、基準を下回ると政府は調達しないこととなっている。

ゼロトラストアーキテクチャへの移行が重要になるが、基本的な考え方として「境界線セキュリティモデルは信用しない」点を山田氏は挙げた。社内と社外で対策するファイアウォールと異なり、アクセスを確立しようとするあらゆるものを検証する必要がある。誰が、いつ、どのような端末を使ってアクセスしているかを検証しなければならない。例えば、2010年1月には、中国を起点とした、Internet Explorerの脆弱性を狙うゼロデイアタックが発生。少なくとも30企業が同様の被害にあったが、これを機にGoogleは境界型モデルを断念し、BeyondCorpを全社員が使い、製品として公開している。また、ISRではアイデンティティ管理プラットフォーム「CloudGateUNO」をGoogleと同時期から提供している。

ISR 代表取締役社⻑メンデス・ラウル氏は、「セキュリティポリシーという考え方でサービスを考える」ことが重要であるとした。「CloudGateUNO」開始から12年となるが、当時からセキュリティポリシーの考えを持っていたそうだ。現在、1,600社 80万ユーザーが使用しており、パスワードを使わないMFAを使っているのは1割となっている。2月からSalesforce 製品にユーザインターフェースを通じてログインする内部ユーザーは、MFA を使用する必要があるため、より意識が高まると期待した。

FIDO2などの認証機の利用の徹底
米国は国をあげての取り締まりを強化

アメリカ合衆国行政管理予算局（OBM）では、1月26日にシステムをゼロトラストに移行するための戦略を発表した。これは、2024年度末まで、サイバーセキュリティ基準と目標を達成するための戦略の責任者を指名し、CISAが開発したゼロトラスト成熟度モデルを用いて、実行計画を作り実行していく。

CISAのゼロトラスト・成熟度モデルの5つの柱として、ID（アイデンティティ）、デバイス、ネットワーク、アプリケーションとワークフロード、データセキュリティが挙げられる。特に重点を置くのがIDだ。統合IDシステムの構築、フィッシングに強いMFAが求められる。SMSやワンタイムコード、プッシュ通信などフィッシングに対応できないMFAを廃止し、FIDO２などの認証器の利用の徹底を求めている。