こんにちは!AironWorks Hacker Teamです。今回は「エンプロイーセキュリティ」について取り上げます。 「『エンプロイーセキュリティ』ってなんだ?聞いたことないぞ。」 と思った読者の方。安心してください。これは私たちが今日作った言葉です!この記事を通じて、「エンプロイーセキュリティ」が意味するところ、それを作るに至った背景などについて言及しています。
Index
「エンプロイーセキュリティ」とは
「エンプロイーセキュリティ」をまず以下のように定義したいと思います。
ある組織の構成員を通じて、その組織に危害を加えたり、本来公開されていない情報にアクセスできるようにしたりする標的型攻撃を防ぐこと。
要するに、「ソーシャルな攻撃」を防ぐということです。少し分かりにくいと思うので、ここから詳しく解説します。
ハッカーがある会社をターゲットにして、例えば重要な機密情報を騙し取る場合を考えてみましょう。このとき、攻撃プロセスは①侵入②分析③実行(エクスプロイト)の3段階からなります。この「①侵入」の方向性は下図に示すように大きく分けて2種類あります。
まず1つ目はアプリケーションを通じて侵入する方法です。攻撃者はWebアプリケーションやスマホアプリのようなアプリケーションそのものの脆弱性を使って侵入します。2つ目は組織内の人間経由で侵入する方法です。攻撃者は、Eメール、SNS、SMSなどでターゲットの組織内の人間に接近し、特定のURLをクリックさせたりして、社内システムに侵入します。このような攻撃をここでは「ソーシャルな攻撃」と呼ぶことにします。
「エンプロイーセキュリティ」はこのソーシャルな攻撃を防御することです。つまり、社員経由で多額のお金が失われたり、重要機密情報が失われるサイバーインシデントを防ぎ、万が一それが起こってしまった場合にその影響を緩和することです。
注釈:本来 “Employee” は被雇用者を指し、経営者、役員などの雇用者 (”Employer”)を含みませんが、「エンプロイーセキュリティ」はそのどちらも含むものとして考えています。
「エンプロイーセキュリティ」は何を含むか
実は「エンプロイーセキュリティ」は全く新しい概念ではないです。むしろ、現在脅威となっている様々なソーシャルな攻撃への防御を総称するものです。例えば、以下のような攻撃を想定しています。
・ソーシャルエンジニアリング
・フィッシング
・BECスキャン
・スキャミング
・内部不正
etc…
このような攻撃の名前をどこかで聞いたことがある方は多いのではないのでしょうか。しかし、これらを防ぐソリューションを総称する適切な用語はありませんでした。「エンプロイーセキュリティ」はそのギャップを補完するものです。
「エンプロイーセキュリティ」は何を含まないか
逆に「エンプロイーセキュリティ」は
・ランサムウェアなどによる無差別な攻撃
・アプリケーションを通じて侵入する攻撃
を含みません。つまり、エンドポイントセキュリティソリューションや(一般的な)ペネトレーションテスト・脆弱性診断は含まないということです。これからも「エンプロイーセキュリティ」が何を意味しているかが良く分かると思います。
なぜ「エンプロイーセキュリティ」という言葉を作ったのか
ここで、「エンプロイーセキュリティ」という言葉を作るに至った経緯について言及しておきましょう。もちろん、先述の通り「(2021年2月12日現在)ソーシャルな攻撃に対する防御を総称する適切な用語がなかったから」ということが最たる理由なのですが、もうひとつ「〇〇セキュリティという言葉を定義することで、それを志向するムーブメントが生じやすくなるから」ということが挙げられます。ここまで「エンドポイントセキュリティ」「IoTセキュリティ」「ゼロトラストセキュリティ」「ネットワークセキュリティ」「クラウドセキュリティ」など多くの「〇〇セキュリティ」という言葉が作られてきました。このような動きを忌み嫌う意見もありますが、このような言葉付けによって例えば対策について組織内の人間を巻き込みやすくなったり、予算がおりやすくなったりしてきたのも事実です。もう少し話を広げると、単に確率統計処理と言わずに「AI」と呼んだり、単にデジタル化と呼ばずに「DX」と呼ぶことで多くのヒト・モノ・カネが動いたのも同じことです。このように、「エンプロイーセキュリティ」という言葉を作ることで、業界全体がソーシャルな攻撃に対して対策を考える、また、それについて実際に行動する契機となれば幸いです。
なぜ今「エンプロイーセキュリティ」が重要なのか
最後に、「エンプロイーセキュリティ」が重要である理由について説明します。先日1月27日に、IPAが「情報セキュリティ10大脅威 2021」を発表しました。
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
それによると、組織部門で
第2位「標的型攻撃による機密情報の窃取」
第3位「テレワーク等のニューノーマルな働き方を狙った攻撃」
第5位「ビジネスメール詐欺による金銭被害」
とトップ5の内3つがソーシャルな攻撃に関するものでした。「COVID-19の影響でテレワーク・リモートワークが急増したから」また「ソーシャルな攻撃がそれ以外のテクニカルな攻撃を比較して簡単だから」などの理由からソーシャルな攻撃の脅威が日々高まっています。実際、GoogleとFacebookでさえも、たった1人のリトアニア人ハッカーに約123億円を詐取されました。
More than $100 Million: Google, Facebook Fell for BEC Scam
このようなサイバーセキュリティ環境を考えると「エンプロイーセキュリティ」の重要性は日に日に増していくと予想されます。
最後に
「エンプロイーセキュリティ」という言葉に共鳴してくださった方は、是非他の場面で使ってください!皆で「エンプロイーセキュリティ」に関する意識向上に取り組んでいきましょう!