NIS-Be通信+(No.8)
《TOPIC》
- セキュリティのさじ :インフラへのサイバー攻撃/サイバー攻撃とリスクについて
- NIS-Be最新情報 :NIS-Be通信サイトのリニューアル他
- コラム :護るべきもの
- One TERM(用語解説) :サイバー攻撃その3(ランサムウェア)
【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】
●サイバー攻撃に関する大きな事件が続いていますが、米国内最大のパイプラインが5月7日にサイバー攻撃を受け、すべての業務を停止と発表されました。米国東海岸の消費量の半分を占める大動脈であることから、長期化すると国民の生活や経済活動に多大な影響が予想され、9日には米国の商務長官が「最優先課題として対応する」と発表。12日にはバイデン大統領がサイバー防衛の強化に向けた大統領令に署名するなど、衝撃の深刻さをうかがわせる迅速な対応が続いています。
犯人はロシア系ハッカー「ダークサイド」でほぼ確定と言われ、被害の復旧と引き換えに身代金を要求する「ランサムウェア」による攻撃であったと報道されています。
今回の用語解説では「ランサムウェア」を取上げていますので、一読いただければと思います。
参考 「米最大の石油パイプライン停止 サイバー攻撃で」 :日経新聞 5/8
「重要インフラにサイバー攻撃 20年、世界で1.5倍の468件」 :日経新聞 5/10
「パイプライン攻撃のダークサイド 企業のような犯罪集団」 :日経新聞 5/11
「米、サイバー防衛で官民連携 バイデン氏、大統領令署名」 :日経新聞 5/13
「サイバー攻撃ソフト、サブスクで提供 広がる闇ビジネス」 :日経新聞 5/17
●上記の事件も含め各種メディアでサイバー攻撃に関する記事が掲載され、その中で「リスクマネジメント」という言葉が使われる頻度も増加していると感じています。
先日も、デロイトトーマツグループのリスクマネジメントに関する20年度の調査結果を日経新聞が報道していました。その記事では、国内で優先着手すべきリスクとして前年24位だった「感染症」が、コロナの影響で1位にジャンプアップしたことが大きく取上げられていましたが、筆者としては「サイバー攻撃などの情報漏洩」が前年5位から第3位にアップしていたのが目を引きました。
調査対象は上場企業343社で、人材・品質・労務など従来型のリスクを押さえサイバー攻撃リスクが上位にあげられているのは、サイバー攻撃が頻発する状況下において現状の備えが十分でないという企業の危機感の表れだと感じたからです。サイバーリスクへの対策は、同調査によれば84%の企業が実施している(前年比8%増)にも関わらずいまだ優先度が高く、悪質化・巧妙化が進む攻撃に今後どのように対応したらいいのかという不安も少なからずあるでしょう。その羅針盤となるような枠組みのひとつとしては、2018年12月に公開された米国NISTのRMF(Risk Management Framework:SP 800-37 Rev2)があり、我々が対応策を検討する上で一助となるかもしれません。
参考 「日本の今のリスクは何か 地震や感染症、備えが政策課題」 :日経新聞 5/2
「企業のリスクマネジメントおよびクライシスマネジメント」 :デロイトトーマツHP 3/2
【NIS-Be最新情報:更新情報、活動報告、海外最新情報】
更新情報
- NIS-Beサイトリニューアル
6月1日、使い易さと内容の充実を目的にリニューアルしたNIS-Beサイトを公開いたしました。当「NIS-Be通信」も引き続きアーカイブしておりますので、ぜひ新しくなったNIS-Beサイトをご覧ください。
また、当通信およびサイトへのご意見などございましたら、お気軽にお寄せいただければと思います。
海外情報(ヘッドライン)※記事の詳細はNIS-Be新サイトを参照ください。
・CMMC-ABが、利益相反の問題に対処しようとしている :NextGov 4/20
・DoD)セキュリティ責任者が、「CMMCはゼロトラスト実装に役立つ」と語る :MeriTalk 5/6
・マイクロソフトが、「新しいマルウェアが航空宇宙、旅行企業を標的に」と警告:Bleeping Computer 5/12
・DoDが、C3PAOに認定された最初の企業が決定と発表 :FedScoop 5/13
・CMMC-ABが、新たに副社長と理事2名を任命と発表 :FCW 5/16
__________________________________________
【コラム:護るべきもの】
筆者:小柳 保之
今年に入り、情報処理推進機構(以下、「IPA」という。)は、興味深い2つの調査報告書を公表しました。1つは1月29日にプレス発表された「情報セキュリティ10大脅威2020」であり、これは2019年に発生した社会的影響の大きかったと思われる情報セキュリティ事案を統計的に処理し、ランキング化したものです。
内容は、それぞれ10大脅威を「個人」と「組織」に区分・選定したもので、・・・・・
以降をご覧になるには、NIS-Be新サイトを参照ください。(会員のみ)
___________________________________________
【One TERM(用語解説)】
●サイバー攻撃その3(ランサムウェア)
「サイバー攻撃」の第三弾として、「ソーシャルエンジニアリング」「フィッシング」に続くサイバー攻撃の代表例として「ランサムウェア」という用語を解説することとしました。
——————————————————————————————————
【編集後記】
我が家では、毎週「生協」で食材を購入・配達してもらっています。この通信を作成していた先日、突然「物流システムのトラブルで配達不可」という連絡がきて、「ここでもサイバー攻撃か」と一瞬心に浮かんだのですが、どうもシステム入替えによるトラブルが原因とのことだと後で分りました。
この身近なトラブルで今回のパイプラインへのサイバー攻撃を連想したのは、同じ物流のトラブルだったからですが、改めて社会の隅々までがシステム化されており、トラブルが社会インフラで発生すると、個人の生活にまで直接影響を及ぼすことを実感しました。(幸い、我が家では一週間後には「生協」による配達が再開されました。)
(佃)