JNSAが発表した2022年の十大ニュースを受けた"セキュリティ教育の必要性"について

CISO事業部　江崎 柚希

要旨

本記事は日本ネットワークセキュリティ協会（JNSA）が発表している2022年の「2022セキュリティ十大ニュース」を基に、昨今のインシデントを受けてセキュリティ対策で特に注意すべき点を紹介します。

• 2022年のニュースの概要として、サプライチェーンへの攻撃により大規模な範囲で被害が発生したものが多く見受けられた
• 例えばKDDIの通信障害は約3000万人が影響を受けていて、トヨタのランサムウェア攻撃は結果的に国内の全工場が停止している

　日本ネットワークセキュリティ協会（JNSA）が発表している2022年の「2022セキュリティ十大ニュース」を参考として、アイディルートコンサルティングが考えるセキュリティ対策において特に注意すべき点を昨今のインシデントの傾向等を分析しながら解説したいと思います。

記事本文

　以下はJNSAの十大ニュースのうち、上位5位を抽出したものになります。

表 1：JNSA セキュリティ十大ニュースにおける上位5つのインシデント

*出典："JNSA 2022セキュリティ十大ニュース." Jnsa.org, December 23, 2022. https://www.jnsa.org/active/news10/より作成。

上位5位のうち、1位のロシアウクライナ侵攻を除けば、いずれもサプライチェーンに関連するインシデントであることが分かります。

　2位のトヨタ自動車、5位の大阪急性期・総合医療センターではサプライチェーン上の取引業者のミスにより、事業停止に至っています。また、3位の尼崎市、4位のKDDIに関しては人為的なミスを起因として発生し、当該事業者だけでなく、その周辺（広義におけるサプライチェーン）にも多大な影響を与えることとなりました。

　サプライチェーンは取引先、委託事業者、ユーザー等様々あり、組織の本部や本社だけが攻撃対象ではなく、周囲の関係者に対しても攻撃していると言えるので、即今の攻撃は範囲が広くなっていると言えます。一方で、サプライチェーンが攻撃対象となっているという現状を当事者組織が認識していないからこそ、インシデントが発生したと言えるのではないでしょうか。

　視点をサプライチェーンにおける人的対策という面に移してみましょう。尼崎やKDDIのインシデントにおいては、人的対策の中でも基本的なルールの習熟・遵守という点に問題があったように感じます。閲覧すべき資料の確認不足や、情報の取り扱い（外部記憶媒体）のルールが守られなかったことが、これらインシデントの要因となりました。

　逆説的に言えば、普段からルールを遵守する、ルールを従業員に対して教育、徹底させるという基本的なことが実施されていれば防げたのではないでしょうか。

　以上を踏まえて、サプライチェーンにおけるインシデントを防ぐためには、技術的な対策だけではなく、人的対策も重要であるということが言えます。そして、人的対策として、最も有用なのが"セキュリティ教育"です。ルールやマニュアル等で定めた内容を繰り返しインプットし、適切に機能しているか、その有効性をテストや監査等で定期的に見直すことが重要です。

　これらについて、NIST SP 800-50及び53 Rev5にて、実施すべき事項がまとめられています。NIST（National Institute of Standards and Technology）とは米国国立標準技術研究所を指しており、科学技術分野における計測と標準に関する研究を行う米国商務省に属する政府機関です。NISTの中でも特にコンピュータセキュリティに関して研究を行い、各種文書を発行しているのがCSD（Computer Security Division）と呼ばれる部門です。今回紹介するSP800シリーズの文書も、CSDが発行しています。日本語でもIPAが公開していますので、どの業界の組織も参考にしていただければと思います。

　NIST SP 800-50 「ITセキュリティの意識向上およびトレーニングプログラムの構築」(*1)

　NIST SP 800-53 Rev5 「組織と情報システムのためのセキュリティおよびプライバシー管理策」：3.2「意識向上及びトレーニング」(*2)

最後に、セキュリティ対策は利益を生み出すビジネスとは異なり、投資した時間とお金以上の利益が必ず返ってくるわけではありませんが、持続可能なビジネスを行うための基盤を構築するために必要不可欠であることを認識していただければと思います。

【プロフィール】

執筆者：吉田 卓史（よしだ たくし）(共同執筆者)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

江崎 柚希（えざき ゆずき）(共同執筆者)

2020年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に入社新卒で入社。
バイリンガルのセキュリティコンサルタントとして、国際展開する大手飲料会社のグローバルセキュリティアセスメントをはじめとした様々なグローバル案件に携わる。

【参考文献】

*1：Wilson, Mark, and Joan Hash. "Building an Information Technology Security Awareness and Training Program." CSRC, October 1, 2003. https://csrc.nist.gov/publications/detail/sp/800-50/final.

*2：Force, Joint Task. "Security and Privacy Controls for Information Systems and Organizations." CSRC, December 10, 2020. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.