もう一つの共通点は、侵入から発覚までに時間差が生じた点だ。KDDIは侵入開始から発覚まで約1カ月、アフラックは約10日を要している。この間、攻撃者はシステム内に留まり、情報へのアクセスを続けていたとみられる。サイバーセキュリティコンサルタントの新實傑氏は、こう指摘する。
「侵入を100%防ぐことは、ゼロデイ脆弱性がある以上、原理的に不可能に近い。だからこそ重要になるのは、侵入されたことにどれだけ早く気づき、被害範囲をどれだけ迅速に特定して封じ込められるかだ。異常なアクセスパターンや認証の失敗回数を高感度で検知する仕組みがなければ、”高負荷でようやく気づく”という後手の対応から抜け出せない。
また、委託先や外部ベンダーとの契約書に『セキュリティ遵守』を明記しているだけでは、実効性の担保にはならない。監査が形骸化していれば、有事の際に契約書は免罪符にならず、むしろ『対策していたはず』という経営陣の思い込みがリスクを見えにくくする」
IT部門のみならず、経営層に至るまで押さえるべき論点は主に3つある。
第一に、ゼロトラストの徹底。「大手ベンダーの製品だから安全」「自社サイトだから守られている」という前提を捨て、ネットワークの境界線ではなくデータそのものを保護する発想への転換が求められる。振替口座情報のような機微データは、アクセス権限を細分化し、万が一侵入されても被害を局所化できる設計が望ましい。
第二に、評価軸を「防げたか」から「どれだけ早く動けたか」へ転換すること。ゼロデイ攻撃を完全に防ぐのは不可能に近い。むしろ、発覚から公表、パスワード強制変更やシステム遮断といった被害拡大防止までのスピードと透明性が、事後の信頼回復を左右する。
第三に、依存関係の棚卸し。自社システムがどの外部ソフトウェアに依存しているか(いわゆるSBoM=ソフトウェア部品表の整備)、どの外部ベンダーが自社の重要データにアクセスできるかを資産としてリスト化し、有事に一斉点検・対応できる体制を平時から築いておく必要がある。
KDDIとアフラックの事案は、業界も攻撃の手口も異なるが、サプライチェーンが複雑化した現代のビジネス構造そのものが抱えるリスクを映し出している。どれほど自社のセキュリティ体制を磨いても、外部のソフトウェアや対外システムという接点が存在する限り、リスクをゼロにすることはできない。
これからの時代に問われる経営者の資質とは、「絶対に漏洩を起こさない」ことではなく、「漏洩が起きることを前提に、被害を最小化し、迅速かつ誠実に対応できる組織を平時からつくれるか」という一点に集約されていくだろう。
(文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント)