セキュリティ被害
2021-2022年の1年で企業に対するサイバー攻撃は増大し、大きな被害をもたらしています。とくに大手企業における被害は甚大で、操業停止をやむなくするなど情報漏洩のみにとどまらず、事業継続へ直接被害が発生する事態も起きています。
サイバー攻撃におけるリスクの代表格として挙げられるのが「ランサムウェア」による被害です。
ランサムウェアによる被害は、IPAが毎年発表している「情報セキュリティ10大脅威」においても2年連続で組織の1位となり、対策が必須のリスクと言えるでしょう。
警察庁の発表でも、ランサムウェアの被害報告は1年で4倍も増加しています。
警察庁 「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」より
セキュリティ対策はいつ、どこでやるのがよいのか
では、このランサムウェア対策には、どういったことがあるのでしょうか。
まずはシステム的に感染を防ぐ対策です。Webフィルタリングで危険なサイトへのアクセスを防止したり、ウイルス対策ソフトでマルウェアを検知したり、といった基本的な対策のほか、EDRやSIEMによる不審な挙動を検知し対処することが有効です。
また、OSやアプリケーション、データベースなどは最新バージョンを利用することで、攻撃からシステムを守る基本的な対策となる、「脆弱性対応」を実施できます。これらと同時にアプリケーションの脆弱性対策も重要です。外部へ公開しているアプリケーションはもとより、外部に公開していない内製アプリケーションによるサービスサイトであったとしても、ネットワークにつながるシステムであれば必要不可欠です。
それに加えて、「セキュリティ教育」を社員に実施することも有効な対策です。しかし、実際にはセキュリティ教育を十分に行えていない企業も多く見受けられます。その理由として挙げられるのが「セキュリティ人材の不足」や「セキュリティ教育の難しさ」です。
経済産業省とIPAの「サイバーセキュリティ体制構築・人材確保の手引き」によると、日本のユーザー企業で専任のCISO(最高情報セキュリティ責任者)を設置している企業はわずか7.5%であるなど、「セキュリティ人材の不足」は最も大きなセキュリティ体制の課題となっています。「セキュリティ教育の難しさ」についても、教育プログラムやコミュニティ活動を活用した知識・スキルを習得が、セキュリティ人材を育成することに効果的と言えます。
システム開発現場のセキュリティ対策について
ランサムウェアなどのサイバー攻撃の対策としては、侵入の入り口となる脆弱性への対応をするということが基本です。脆弱性は運用、開発、設計、企画などのフェーズを問わず、いつでもどこでも発生しえますが、初期段階から対応することが効果的と言われています。設計段階での対策コストを1とするとテスト段階でのコストは25倍、運用段階では100倍になるとの試算もあります。
このような背景のなか、内閣サイバーセキュリティセンター(NISC)にて「情報セキュリティを企画・設計段階から確保するための方策」として定義されているのが、「セキュアバイデザイン」です。このメリットとして、手戻りが少なくなる、対応コストが少なくなる、保守性が挙がり運用コストが下がる、といった点が挙げられます。
また、システム開発のより上流の工程でセキュリティ対策を行うことをセキュリティ対策の「シフトレフト化」と呼んでいます。これにより初期段階で対応をすることで脆弱性の発生リスクを低減できます。時間や工数のロスを最小限にするためにはシフトレフト化による初期段階での対応が有効です。
「セキュア開発」プログラムの紹介
システム開発現場でのセキュリティ対策には、次のような課題があります。
これらの課題に対応するためにALSIが提供しているのが、今回ご紹介している「セキュア開発」トレーニングです。「セキュア開発」トレーニングは、システム開発者やシステム開発企画者に向けたトレーニングで、次のような学習を実施いたします。
これらの学習には実際に体験することの難しい内容も含まれています。特に脆弱性のあるプログラム(Java)へのサイバー攻撃体験は、一連の攻撃を体験して攻撃手法を学び、プログラムコードの問題点を把握して修正する対策方法まで、実践的に学ぶことができます。
本トレーニングは座学パートとハンズオンパートの2パートで構成されており、2日間のトレーニングとなっております。コース受講目標と効果については、以下の図を参照ください。
実践型教育の効果(参加者の声)
実際に本トレーニングを受講なさった方々からのご意見を紹介します。
このように、多くの参加者のみなさまに本トレーニングの効果を実感いただいております。少しでもご関心のある方は、以下より、資料をダウンロードしてご覧ください。