デジタル化の進展とテクノロジーの急速な発展とともに、サイバー攻撃の狡猾化が進み、ターゲットとなる企業は隙(すき)のない対策を検討する必要に迫られています。近年では情報流出だけでなく、製造業の工場ラインの停止など、より直接的に業務を妨害する攻撃が増えた印象があります。

 金融庁は2018年10月「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートを発表し、金融機関が取り組むべき方針として「脅威ベースのペネトレーションテスト(Threat Led Penetration Test:TLPT)」の実施を明記しました。

(出所:123RF)

 TLPTとはサイバー攻撃によって防御ラインが突破されることを想定した、多層防御の全体検証のことです。攻撃の標的になりやすい金融機関にTLPTを課すことで、日本企業全体のサイバー攻撃対策の底上げを狙ったものといえるでしょう。

 本稿では、カスタマイズしたシナリオにより現実の攻撃を実践的に再現し、その攻撃を防御できるかを検証するTLPTの有用性を説明します。読者の皆様が所属する組織でのTLPTの実践とその成功の一助となれれば幸いです。

なぜサイバー攻撃の被害が止まらないのか

 サイバー攻撃を受けた企業のニュースが、今もメディアを相次いでにぎわせています。万全の対策を施しているはずの大企業でも、被害を受ける例が少なくありません。なぜそうしたことが起こるのでしょうか。

 防御という視点で見たときに、被害に遭う企業は「多層防御」が構築されていのではないか?私はそう推測しています。「事実上は薄い1つの層しかない防御」となっている企業が、一たび1つの層を破られたら策がなくなって、大きな被害を受けているというのが実態のようです。

 従来は、ネットワークを「社内」と「社外」にはっきり区切り、「社内」には悪意を持ったユーザーも、ウイルスに関したPCも存在しないという前提のセキュリティー設計が一般的でした。しかしテレワークの拡大や企業システムのさらなるクラウドへの移行そして、工場やプラントなど閉鎖性を前提としていたシステムの外部接続の増加という状況下では、ネットワークを社内と社外に明確な線を引くことが難しくなっています。

 「多層防御」では、防御の第1層を突破されたとしても、その後の検知や対応といった第2、第3の層によって、企業ネットワークが致命傷を被らないようにしています。

 しかし、その防御ラインが突破されるという前提に立ち、どこまで突破されるのか、突破された場合には次に何をするかといった全体検証(ペネトレーションテスト)を実施している企業はあまり多くありません。経営層には「テストしました。大丈夫です」と胸を張ることができても、防御の1層目に注目するだけでは、その検証に意味はありません。

 これでは、本来は情報強者であるべき経営層に、経営にマイナスの影響をおよぼすサイバーリスクの実態が伝わっていないことになります。そのギャップを埋めるために、現在の防御手段がどこまで耐えられるかを公の場で確認するTLPTがある、といっても過言ではありません。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。