サイバー対策は攻撃者視点で
サイバー攻撃の高度化と常態化は各国共通の課題だ。だが、多くの組織のセキュリティー対策は、年1〜2回の定期点検や情報セキュリティー認証の取得に依存している。認証は一定水準の管理体制を担保するために重要だが、現実の攻撃を防ぐ十分な条件ではない。認証取得済みの組織で侵害事故が相次いでいるのが現状だ。
韓国では、この問題意識はすでに制度設計にも反映され始めている。昨年12月、個人情報保護委員会と科学技術情報通信省は、従来の書類審査や定期点検中心の枠組みを見直し、実際の攻撃を想定した現場検証を強化する方策を発表した。
また、金融保安院は昨年11月、ビッサムやコインワンといった主要仮想通貨取引所を対象に、実際のハッキング手法と同一の侵入シナリオによる模擬侵入テストを実施した。評価軸が「形式的な準拠」から「実際に突破されるかどうか」へと明確に移行しつつある。
攻撃者の視点に立てば、この転환は必然だ。現代の攻撃者は防御の固い大企業を正面から狙わない。IT(情報技術)運用を委託された事業者や協力会社、運用を終えたサーバー、放置されたバックアップデータなど、管理の死角から侵入を試みる。最重要資産ではなく、最小コストで侵入できる地点を選ぶのが合理的だからだ。さらに生成人工知能(AI)の普及により、脆弱性探索やフィッシングの自動化が進み、攻撃はより高速かつ広範になっている。
この環境下で求められるのは、防御者視点のチェックリスト型対策から、攻撃者視点に立った継続的な検証への転換である。その起点となるのが「攻撃対象領域管理(ASM)」だ。外部に露出する資産や脆弱性を常時把握し、攻撃されるポイントを洗い出す。その上で、継続的自動レッドチーム編成(CART)のような実戦型検証により、侵入から内部拡散、情報窃取に至る過程を現実に即して検証する必要がある。
今日のサイバー脅威は、単一組織にとどまらず、サプライチェーン(供給網)全体へ波及する構造的リスクへと進化している。セキュリティーの評価軸は、実際の攻撃を前提に、継続的に検証・管理できているかへと移行すべきだ。
👉 連載ニュース確認(有料):https://bit.ly/4dHET1r