嵐を乗り切る:国家によるサイバー脅威から競争優位と知的財産を守る

2023年7月13日
Marthe Stegehuis
オランダKPMGのサイバーオペレーションシニアコンサルタント
嵐を乗り切る:国家によるサイバー脅威から競争優位と知的財産を守る

デジタル環境という広大で相互接続された領域で、陰湿な嵐が吹き荒れている。この嵐は、オランダの国家安全保障・テロ対策調整官(NCTV) が「オランダ2022年サイバーセキュリティ評価」の中で明らかにしたように、急速に新しい常識になりつつある。国民国家のサイバー脅威の大きさを例証する有名な例として、ソーラーウィンズのサイバー攻撃がある。この事件は広範囲に影響を及ぼし、多数の組織に混乱の波をもたらした。  

このような脅威がエスカレートし続ける中、KPMGのマルセル・ヴァン・カーム氏や Vectra AI のジョン・マンシーニ氏のようなサイバーセキュリティの専門家は、熟練したナビゲーターとして、国家によるサイバー脅威という危険な地形から我々を導いてくれる。これらのトピックは、6月14日に放送されたKPMG-Vectra AI 、国家の脅威に対するサイバー耐性を テーマにしたウェビナーで 取り上げられたもので、オンデマンドで視聴することができる。パネリストの3人目はジョン・オキャラハン(JC)で、彼は同社に勤務していたときにSolarWindsの攻撃を直接体験した後、Vectra AI 。このブログでは、KPMGとVectra AI のパネルが議論したトピックと共有された情報を紹介する。  

国民国家を解き明かすcybercriminels :  

まず緊急に始めなければならないのは、ますます国際化する仕事のやり方をうまく操り、国家によるサイバー攻撃に対抗するためには、組織がより広範な脅威の状況を理解し、成功するセキュリティ戦略を構築しなければならないということである。この戦略には、本物の脅威と偽陽性の脅威を区別し、人、プロセス、テクノロジーを横断したセキュリティの有効性が極めて重要な役割を果たすことを認識することが含まれる。AIを活用したテクノロジーは、検知とレスポンス 機能の効率を高めるために、ここで重要な役割を果たすことができる。  

セキュリティ戦略を強化するためには、敵対する相手を理解することも不可欠である。国民国家の脅威アクターの場合、政府から支援を受け、情報機関の代理として、自国の戦略目標に沿ったサイバー作戦を遂行するグループや個人を指します。このような敵対者は、高度な持続的脅威(APT)の ような洗練された技術を展開し、高度な技術力、スパイ活動、潤沢な資金などの多大なリソースを活用する。もっともらしい否認可能性を維持するため、諜報機関は匿名性を保ち、いかなる関与も否定することを目指して秘密裏に活動している。従って、組織は、アトリビューションに焦点を当てる以上に、幅広い脅威に対する強固な防御と効果的なレスポンス 戦略を備える必要があります。これにより、特定の敵に焦点を当てるのではなく、より広い脅威の状況を理解することができます。

脅威の状況は、国民国家の攻撃者の目的を中心に展開されている。政治的影響力を高めることを目的とするものは、政府部門を標的にする傾向があり、国家によるサイバー攻撃の主な標的であり続けている。経済的な優位性を得るために、彼らは知的財産の窃盗を行い、研究機関、防衛産業、新興技術、そして一見日用品に見えるものまで、幅広い分野を標的としている。また、電力網、通信システム、鉄道などの重要インフラも、国家主導のアクターが重大な危険をもたらす分野である。これらの重要なシステムを妨害することを目的としたサイバー攻撃は、広範囲にわたる社会的混乱を引き起こし、深刻な経済的損害を与える可能性がある。マルセルは、いくつかの国が、サイバー攻撃に対する物理的・軍事的報復行動を組み合わせ、より大きなリスクを取ることを厭わなくなってきているという懸念すべき傾向を指摘した。

このような国民国家の脅威アクターの最近の動向とその手口に光を当てるため、パネルディスカッションでは新たな傾向と洞察について議論しました。ジョン氏は、フィッシングやゼロデイ、その他の十分にテストされたエクスプロイトのような高度な脅威に対する従来の予防策は効果がないことを強調しました。その代わりに、検知 、避けられない侵害に迅速に対応するための組織内の活動に焦点を当てることの重要性が議論された。マルセルは、ジョンの視点と一致し、未知のソフトウェアの脆弱性やサプライチェーン攻撃を含む高度なサイバー攻撃について議論した。マルセルは、未知のソフトウェア脆弱性やサプライチェーン攻撃を含む高度に高度なサイバー攻撃について、ジョンの見解に同意しながらも、多くの組織がいまだに十分なサイバーセキュリティ対策を行っておらず、悪用されやすい基本的な対策を怠っていることを強調した。

マルセルはデジタル領域を超えて、情報将校としての経験を生かし、国家主体が採用する非デジタル戦術を認識することの重要性を強調した。このような戦術は、スパイのリクルート、国際的な学術協力の悪用、偽情報の拡散、政治的な影響力キャンペーンの実施、さらには情報源へのアクセスを得るための企業の乗っ取りなど、幅広い戦略を含んでいる。このような多面的な攻撃を防御することは、組織にとって非常に困難な課題である。

嵐の中を航海する:組織を守るための対策  

この困難な課題に取り組むために、国家的脅威から身を守ろうとする組織は、戦略的かつ積極的な対策を講じる必要がある。取締役会レベルで対話を開始し、意識を高め、組織の競争優位性を維持することの重要性を強調することは極めて重要である。国民国家の脅威がもたらす具体的なリスクを認識することで、企業はこれらの課題に効果的に対処するための危機感とコミットメントを植え付けることができる。そこで、ウェビナーの最後のトピックとして、パネルディスカッションでは、企業がどのように国民国家の脅威と向き合い、その脅威から身を守る道を歩み始めることができるかについて、各パネリストの見解を紹介した。

この脅威をサイバーセキュリティ戦略に組み込むために、組織はまず、脅威の状況が具体的にどのように自社の中核ビジネスに当てはまるかを理解することから始めるべきだとマルセルは説明する。これには、諜報活動の範囲内で関連する脅威シナリオを特定することが含まれる。潜在的なサイバー攻撃の評価、コア・コンポーネントにおける人的要因の考慮、第三者機関の所有権や外国情報法の影響の理解、国際的な学術協力に関連するリスクの評価などは、このプロセスの不可欠な側面である。

特定された脅威と既存のセキュリティ能力とのギャップを定量化することも重要なステップである。技術的能力、ガバナンス能力、部外者の能力を評価することは、組織がセキュリティ対策の成熟度、適用範囲、技術的有効性を評価するのに役立つ。潜在的な侵害の金銭的影響を検討し、知的財産の価値と比較することも重要である。この分析により、CFO との十分な情報に基づく協議が容易になり、費用対効果に基づくセキュリティ対策の優先順位付けが可能になる。

さらにマルセルは、国家国家の脅威はサイバー攻撃だけにとどまらないことを組織は認識しなければならないと訴えた。スパイ活動、インサイダーによる勧誘、偽情報の流布、政治的影響力のキャンペーンなどは、これらのアクターが採用する戦術である。これらの分野の脆弱性を評価し、適切な緩和策を実施することは、防御を強化するために不可欠である。KPMGのマルセルと彼のチームは、サイバーセキュリティだけでなく、物理的なセキュリティについても、例えば、出張する従業員を対象としたトラベル・セキュリティ・コースなどを通じて、脅威の状況を特定し、ニーズを定量化し、取締役会レベルで議論できるようにすることで、クライアントを支援している。

包括的なリスクアセスメントを第三者の専門家の協力を得て実施することは、組織のサプライチェーン全体の脆弱性を特定する上で極めて重要である、とJCは確認している。外部の専門家は客観的な評価を提供し、社内のスタッフが偏見や注意散漫のために見落とす可能性のある新鮮な視点を提供してくれる。JCは、ソーラーウインズ社でそれを目の当たりにした。  

ジョンは、高度な技術的観点から、すでに侵害されていないかどうかを調べることから始めるよう組織に助言した。現在の予防と可視化で不足している部分を特定することで、セキュリティ投資の対象範囲、効果、投資対効果を改善するための的を絞った取り組みが可能になる。

結論:嵐の中での航海術を学ぶ

国家によるサイバー脅威の嵐が吹き荒れる中、企業は、国家cybercriminels が存在し、直接的に、あるいはサプライチェーン攻撃を通じて、自社を標的にする動機があることを受け入れなければならない。したがって、プロアクティブに準備し、防御を強化することが極めて重要であるが、より重要なことは、100%の予防は不可能であるため、最初のアクセス後の検知に重点を置くことである。100%の予防は不可能であるため、最初のアクセス後の検知に重点を置くことが重要である。

取締役会レベルの議論に参加し、中核事業に適用される具体的な脅威を理解し、セキュリティ能力のギャップを定量化し、包括的なリスク評価を実施することで、組織は、テクノロジー、プロセス、そして非常に重要な「人」が効果的に連携する、全体的でバランスの取れたセキュリティ戦略を構築することができる。このような戦略的対策を通じて、組織は国家主導のアクターがもたらすリスクを効果的に軽減し、競争上の優位性を守り、以前よりも強くなって嵐の中から脱出することができる。

KPMGとVectra AIは、このようなトピック、質問、敵は、その組織に大きく依存するため、お手伝いすることができます。ご質問やご予約は、下記の担当者までご連絡ください。  

マルセル・ファン・カーム、KPMGサイバーセキュリティシニアマネージャー
KPMG、シニアコンサルタント・サイバーオプス担当Marthe Stegehuis氏

John O Callaghan, Senior Director, Product MarketingVectra AI
John Mancini、グループ・プロダクト・マネージャーVectra AI

よくあるご質問(FAQ)