サイバー脅威
「サイバーリスク=ビジネスリスク」の再認識:2022年国内の脅威動向分析速報
ここ数年に世界で発生した様々なサイバー脅威は、法人組織の事業継続に大きな影響を与えうるものであることを誇示し続けてきました。そして2022年2月末と10月末、この数年の世界における脅威動向を象徴するような2件のランサムウェア被害が日本国内でも発生しました。今後のサイバーセキュリティでは「標的型攻撃」と「地政学リスク」に向き合わざるを得なくなっていくでしょう。
ここ数年に世界で発生した様々なサイバー脅威は、法人組織の事業継続に大きな影響を与えうるものであることを誇示し続けてきました。そして2022年2月末と10月末、この数年の世界における脅威動向を象徴するような2件のランサムウェア被害が日本国内でも発生しました。対して、世界では2022年2月に開始されたロシアによるウクライナ侵攻が、これまで積み上げられてきた常識を覆すような大きな影響を世界に及ぼしています。望むと望まざるとにかかわらず、今後のサイバーセキュリティでは「標的型攻撃」と「地政学リスク」に向き合わざるを得なくなっていくでしょう。
日本でも発生した「サプライチェーンリスク」事例
2022年2月末に発生した国内自動車部品メーカーにおけるランサムウェア被害、そして10月末に発生した国内医療機関におけるランサムウェア被害の2つの事例は、ここ数年の世界的な脅威動向における典型的な被害が国内でも発生した、まさに象徴的な事例となりました。どちらの事例でも被害組織の事業継続に大きな影響があり、サイバーリスクは事業継続に関わるビジネスリスクであることを再認識させられるものでした。特に10月の医療機関の事例では、電子カルテなどの基幹システムの障害により緊急以外の手術や外来診療を停止せざるを得なくなり、全面復旧に2か月を要するほどの影響が発生しています。
このような業務に大きな影響を及ぼすランサムウェア被害の原因を紐解いていくと、法人組織内に潜在していたサイバーリスクに行き当たります。上記図1で示してように、そもそもの発端はVPNなどネットワークの外部接点の脆弱性を利用した侵入であり、「システム上の弱点」と言えます。そしてもう1つは、信頼している他組織を経由した侵入であり、組織間の業務上の繋がりにより被害が連鎖する「サプライチェーン上の弱点」です。
「Access-as-a-Service(AaaS)」や「イニシャルアクセスブローカー(IAB)」などと呼ばれる、組織ネットワークへの侵入口を他者に転売するサイバー犯罪ビジネスが存在する中、システム上の弱点が潜在する組織は無差別に侵入される可能性が高くなっています。そして、いったん侵入を許せば、ランサムウェアのような事業継続に大きな影響を与える被害を発生させる脅威が、サプライチェーンの弱点を狙って連鎖していきます。自組織のシステム上の弱点には対処していたとしても、関連する他組織の弱点まで把握し、管理することは難しい場合が多いでしょう。このような状況において自組織を守るためには、これまで行われてきた「侵入されない対策」、「侵入を前提とした対策」と共に、「被害発生を前提としたサイバーレジリエンスの向上」を組織全体の事業継続計画の段階から意思決定層を含めて考えていくべきでしょう。
その他の2022年国内における脅威動向については、以下のレポートを参照ください。