PwCグローバル投資家意識調査2018によると、投資家およびアナリストの41%がビジネス上の最大の脅威として「サイバー脅威」を挙げており、その順位は2017年の5位から大きく上昇して、トップとなりました。近年、サイバー攻撃による情報漏洩事件が相次いでおり、特に大規模な漏洩事故の場合は株価が30%近く下落する等、企業価値に与える影響は甚大となっています。
ここでは1億4000万人以上のアメリカ人個人情報が漏洩したと言われるEquifax社の事故を事例に考えてみます。
インシデント後に株価が30%以上も急落し、挙句の果てに幹部社員のインサイダー事件にまで発展するなど、サイバーセキュリティが株価に与える影響を改めて考えさせられる事件です。Equifax社の漏洩事故は、Apache Strutsの脆弱性を狙った攻撃によるものでした。同社は当該脆弱性についてUS-CERTよりメール通知されており、48時間以内に対応するというセキュリティ部門の規定も存在していましたが、現実にはパッチ適用されず、2ヶ月以上放置された結果の事故です。(Equifax社が不正アクセスを検出時点で、脆弱性メール通知から約4ヶ月以上が経過)
Strutsは定期的に深刻な脆弱性が検出されており、原則としてStrutsを用いないシステム実装が望ましく、それが難しい場合は迅速なパッチ適用が求められます。
Equifax社は消費者向けウェブサイトにStrutsを利用していました。
Equifax社ではどのようなセキュリティマネジメントが行われていたのでしょうか。
一般的な脆弱性対応は、大まかに下記のプロセスとなります。
①脆弱性情報の収集(Struts脆弱性情報の取得)
②影響範囲の特定(Strutsの利用サービスの特定)
③脆弱性対応(パッチ適用)
Equifax社は、少なくとも「①脆弱性情報の収集」までは対応していましたが、②以降のプロセスが機能せず、結果的に脆弱性が放置されてしまいました。
ISMS(ISO27001)において「技術的脆弱性の管理」という管理策があります。
「利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得しなければならない。また、そのようなぜい弱性に組織がさらされている状況を評価しなければならない。さらに。それらと関連するリスクに対処するために、適切な手段をとらなければならない。」
これらはまさに上記の①から③のプロセスに当てはまります。ISMS取得企業において、これらが実践レベルで対応している企業がどれくらいあるでしょうか。
また、「時期を失せずに」とありますが、これはどのレベルまで求められるのでしょうか。
同じくStrutsの脆弱性を狙われたGMO-PGを考えます。
①から③までのプロセスは適切に準備されていたことから、実際に脆弱性情報を検知してからの対応は非常に迅速であり、脆弱性情報を認識後、約4時間でWAFによる遮断を完了しています。
しかし、①の脆弱性検知が遅れたために結果として漏洩事故を防げませんでした。
(脆弱性情報の公表から約70時間後に当該脆弱性を認識)
GMO-PGの事故報告書を見ると、脆弱性情報の公表から約17時間で攻撃コードがGithub上で世界中に共有され、その15時間後には当該サイトへの攻撃が開始されています。
つまり、脆弱性情報の公表後30時間以内に対応していれば防げたという話になりますが、自社でこのこのレベルの対応ができると胸を張って言える企業がどれほどあるでしょうか。
他社の情報漏えい事故、特に事故報告書を元に自社のリスクアセスメントを行うことは非常に有効性が高いと言えます。