Withコロナ時代はWithランサムウェア時代?対抗するには何が必要なのかをISRが解説

2022年2月9日9:00

インターナショナルシステムリサーチ(ISR)は、2022年2月3日、「Withコロナ時代はWithランサムウェア時代?」と題した勉強会を開催した。

ISR 代表取締役社⻑ メンデス・ラウル氏

ランサムウェア攻撃が急増
境界線セキュリティモデルは信用できない?

勉強会では、「Withコロナ時代はWithランサムウェア時代」とも言えるとした。2021年に公表された不正アクセスは258件で、トップはペイメントアプリの改ざんとなった。ランサムウェア攻撃は61件で12.5%。2020年下期は21件だったが、2021年は2.9倍に急増している。実際にはさらに多くの被害が発生していると思われる。

この状況を受けて、日本政府は、2022年度より情報通信や電力など、14分野のインフラ事業者に対し、サイバー攻撃への備えを義務付けている。また、一般財団法人日本情報経済社会推進協会は、プライバシーマーク付与事業者に対して、ランサムウェア被害にあい、被害の対象となるデータに個人情報が含まれていた場合、指定の審査機関に事故報告書を提出するように求めている。日本国内でもランサムウェアへの対応が厳しくなっているが、“信頼しない”を前提にセキュリティ対策を講じる「ゼロトラスト」や「MFA(多要素認証)」の導入を必須としているわけではない。

アルプスシステムインテグレーションの調査によると、日本では、53.6%が「ゼロトラストネットワーク」を知らないとなっており、認知度は低い。

当日は、カナダビクトリア在住の山田有花氏が、Colonial Pipeline、JBS、Kaseya、Metropolitan刑務所といった米国で発生したランサムウェア攻撃を紹介した。バイデン大統領は、Colonial Pipelineをはじめとするランサムゥエア攻撃やサイバー攻撃の対策のため、2021年5月に「国家のサイバーセキュリティの向上に関する大統領令」に署名した。

その中には、7つのポイントがあるが、ソフトウェアを開発する会社に基準を設けて、多要素認証への対応、どういう環境で開発しているか、脆弱性などの基準を設けて、基準を下回ると政府は調達しないこととなっている。

ゼロトラストアーキテクチャへの移行が重要になるが、基本的な考え方として「境界線セキュリティモデルは信用しない」点を山田氏は挙げた。社内と社外で対策するファイアウォールと異なり、アクセスを確立しようとするあらゆるものを検証する必要がある。誰が、いつ、どのような端末を使ってアクセスしているかを検証しなければならない。例えば、2010年1月には、中国を起点とした、Internet Explorerの脆弱性を狙うゼロデイアタ ックが発生。少なくとも30企業が同様の被害にあったが、これを機にGoogleは境界型モデルを断念し、BeyondCorpを全社員が使い、製品として公開している。また、ISRではアイデンティティ管理プラットフォーム「CloudGateUNO」をGoogleと同時期から提供している。

ISR 代表取締役社⻑ メンデス・ラウル氏は、「セキュリティポリシーという考え方でサービスを考える」ことが重要であるとした。「CloudGateUNO」開始から12年となるが、当時からセキュリティポリシーの考えを持っていたそうだ。現在、1,600社 80万ユーザーが使用しており、パスワードを使わないMFAを使っているのは1割となっている。2月からSalesforce 製品にユーザインターフェースを通じてログインする内部ユーザーは、MFA を使用する必要があるため、より意識が高まると期待した。

FIDO2などの認証機の利用の徹底
米国は国をあげての取り締まりを強化

アメリカ合衆国行政管理予算局(OBM)では、1月26日にシステムをゼロトラストに移行するための戦略を発表した。これは、2024年度末まで、サイバーセキュリティ基準と目標を達成するための戦略の責任者を指名し、CISAが開発したゼロトラスト成熟度モデルを用いて、実行計画を作り実行していく。

CISAのゼロトラスト・成熟度モデルの5つの柱として、ID(アイデンティティ)、デバイス、ネットワーク、アプリケーションとワークフロード、データセキュリティが挙げられる。特に重点を置くのがIDだ。統合IDシステムの構築、フィッシングに強いMFAが求められる。SMSやワンタイムコード、プッシュ通信などフィッシングに対応できないMFAを廃止し、FIDO2などの認証器の利用の徹底を求めている。

米国では、Kaseyaの事件などを受け、ランサムウェア集団を取り締まるため、FBIが捜査に乗り出すなど、国家としての取り締まりを一層強化している。

日本でも徳島の病院で、攻撃者が同病院が使用していたVPN機器で 2019年から知られていたゼロデイ脆弱性を利用してVPNに侵入。パスワードファイルを盗んで所内のネットワークにランサムウェアをパソコンやサーバにばら撒く事件が発生している。

生体認証やPKIの認証プロセスが重要に
CloudGateはスマホを使った認証が伸長

このコンテンツは会員限定(有料)となっております。
「Paymentnavi Pro2021」の詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

トッパンの決済ソリューションをご紹介(凸版印刷)
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

スマホ会員証でポイントサービス。今イチオシの「VALUE GATE」(トリニティ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

40ブランドに対応するキャッシュレス決済ゲートウェイ事業のほか、ハウスプリペイドやクラウドPOSなどのマーケティングソリューションを提供する情報プロセシングカンパニーです。(トランザクション・メディア・ネットワークス)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP