この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
どうもさいちゃんです。
この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「企業がおこなうべきWebサイトからの情報漏えい対策とは -リスクシュミレーションと費用対効果の両軸で解説-」というセッションのレポートブログになります。
セッション概要
サイバー攻撃による情報漏えい被害が相次いで報告される中、対策を進めなければと検討してはいるものの、なかなか行動に起こせていない企業も多いかと思います。 本セッションでは、ファイアウォールだけでは防げないサイバー攻撃による情報漏えい被害と対策方法について解説します。 また、攻撃にあってしまった場合の被害損額や対応工数の具体例・セキュリティ対策の費用対効果の算出方法もご紹介します。 情報漏えい対策を進めようと検討しているが何から優先的に取り組めばいいか分からない、という方にはお役に立てる内容となっています!
スピーカー
(株)サイバーセキュリティクラウド 営業部アカウントセールス A チーム リーダー 山本 裕貴 氏
レポート
近年のサイバー攻撃の動向
- 警視庁の保持するシステムが検知した不正アクセスは1日1IPあたり7800件
- Webサイトに対しての脅威は日に日に増している
- Webサイト攻撃の被害例
- Webサイトの改ざん
- 入力フォームの改ざん
- 見た目上気づきづらい
- 個人情報漏洩
- 不正アクセスによる被害
- 最近のWebサイトへのサイバー攻撃
- 自社サイトの決済システムが改ざん
- 委託業者が攻撃を受けたことから情報漏洩
攻撃者はどのように情報を盗むのか
- グローバルIPに対してポートスキャン
- Webサイトの閲覧
- どんなことに使われるIPか把握(構造の把握)
- 脆弱性の調査
- これらは機械的に実行していることが多く攻撃者は企業規模などは気にしない
- 脆弱性をつく攻撃は多岐にわたる
- 何かあった時のための投資ではなく必要経費として対策にコストをかける必要がある
企業におけるセキュリティ対策費用の考え方
- 万が一被害を受けた場合
- サービスの停止
- 売上機会の損失
- ブランドイメージ、信頼の低下
- 上場延期
- 株価の下落
- 企業がITにかけている金額は?
- 売上高に対してIT予算比率は平均1.94%(セキュリティのみではない)
- 金融・小売業は多く予算をおかけている傾向
- IT予算のなかでもセキュリティにかけている金額は?
- 15%以上の予算をセキュリティにかけている企業の割合が多いのはサービス業、建築・土木業、素材・製造業
- 金融や社会インフラ系はすでに対策済みの企業も多い
リスクアセスメントとは
- 自社が持つ情報資産が漏洩した場合のリスクの優先度を決める
- 優先度順に効率よくリスク対策
- ECサイト運営企業の場合
- Webサイトに関しての対策が最優先
- 優先度を決めて予算を捻出
情報漏洩をしてしまった場合の損失から考える
- ECサイトからの情報漏洩事例
- クレジットカード情報やその他顧客情報の流出10000件(9490万円の損失)
- 個人情報漏洩1人当たり(28000円以上)
- 損害額は年間売り上げの10%にもなる
- 最初からセキュリティ対策しておけば・・とならないように
Webサイトに必要な対策手段
- Webサイトににおけるサイバー攻撃を防ぐには
- 脆弱性をなくす
- 脆弱性診断だけでなくその後の運用
- 製品のアップデート
- OSやミドルウェアに新たな脆弱性が見つかる可能性も
- 新たな脅威に対策し続ける必要
- 脆弱性管理
- パッチあてなどはすぐにできないものもある
- 新たな脅威に対抗し続けるにはWAF
- システム側が脆弱性に到達する前にい攻撃者を防御
- 必要とはわかっていてもなかなか着手出来ない
- コストや運用する人的コストが心配
SIDfm
- 脆弱性情報収集・管理ツール
- 脆弱性情報を分かりやすく説明してくれる
- 専門的知識がなくても判断可能
- 運用リソースの確保
- 脆弱性の情報収集と管理で使い方を分けることも可能
攻撃遮断くん
- つよみ
- コストパフォーマンスの良さ
- 運用コストが少ない
- あらゆる規模のWebサイトに適用可能
まとめ
- 自宅の玄関に鍵をかけるようにまずは入られないように最低限の対策をしよう
最後に
セキュリティ対策について費用対効果という観点から話されているのがとても面白いと思いました。 やはりセキュリティ対策とコストは密接な関係があると思います。実際に費用対効果を計算するのに役立つ資料の情報などもご紹介いただけて勉強になりました。
2
