※ 本記事はFrancisco Munoz Alvarezによる”Protect your Data with Oracle’s MAA and MSA (Part I)“を翻訳したものです。


2022年12月22日

COVID-19パンデミック後、サイバー攻撃は600%上昇。あなたのデータは安全ですか? 

新型コロナウイルス感染症の世界的流行はサイバー攻撃やデータ侵害などの被害を拡大させ、世の中に対して大きな影響を及ぼしました。その中でもサイバー攻撃の発生率はパンデミック前と比較して600%近くまで上昇しています(1)。さらに、サイバー攻撃による被害はあらゆる規模のビジネスに及んでおり、小規模ビジネスを含む全データのうち43%が回復に苦労をしていることが分かっています(2)。しかし残念ながら、多くの企業は「サイバー攻撃対策の重要性に対する認識不足」や「対策方法に関する知識不足」といった理由で最新のサイバー・セキュリティ・プロトコルを導入していないケースが多いのが現状です。その結果、IT業界だけではなく全ての業界において多くの企業がサイバー攻撃のリスクにさらされています。この記事ではサイバー攻撃の流行の現状と背景、そしてそれに対して企業が何をすべきかについて記載しています。

サイバー・セキュリティとは?
サイバー・セキュリティとはハッカーが組織・企業のデータを侵害することが出来る範囲を狭めることを意味します。しかし残念ながら、多くの組織ではセキュリティ・パッチがリリースされる度にすぐに適用しないケースが多いです。セキュリティ・パッチとはハッキングやマルウェアの拡散を防ぐためにソフトウェアやオペレーティング・システムに修正をかけるためのものです。セキュリティ・パッチがリリースされたにも関わらず適用しない場合、企業の脆弱性やシステムへの侵入方法などがハッカーに伝わる可能性があります。さらに、セキュリティ・パッチがリリースされる度にそのパッチで修正されるセキュリティ面の問題を提示されるため、ハッカーが攻撃しやすい状況を作ってしまいます。

2022年版 サイバー・セキュリティ統計に関する背景知識

ここからはデータ保護とサイバー・セキュリティ対策について考える重要性についてまとめていきます。データ保護とサイバー・セキュリティ対策の現状についてはわずか5%の企業しかサイバー攻撃に対して適切な対策ができていないという統計が出ています。しかし、サイバー攻撃はただ「企業」という枠組みの情報を侵害するだけでなくその範囲を超えた領域にまで影響を及ぼします。例えば、一般的にメールが危殆化した場合$24,439の被害額がかかり、そのリスクは年々上昇していきます(4)。


以下、現在流行しているサイバー攻撃の種類とその意味について紹介しています。

  • ランサムウェア -身代金要求型ウイルスとも呼ばれるマルウェアの一種
    個人や企業のデータへのアクセスを完全に遮断・暗号化したり、個人情報やデータの一部が流出させると脅迫をし、身代金の支払いを要求する攻撃手法です。
    2018年にはランサムウェア攻撃の発生率は350%まで上昇し、年々サイバー攻撃は増加し続けています(5)。問題はこの攻撃が年々悪質化してということで、多くの企業がリスクにさらされています。さらに酷いことには多くの組織が迅速な回復を実現する適切なバックアップもしくはオンプレミス以外でのクラウドのような高可用性構成を実装していないということです。ストレージ・レプリケーションの技術やスナップショットを対災害やリカバリの手段として使用している企業の数も懸念点です。このようなタイプのレプリケーションはランサムウェアに対しての耐性はありません。なぜならば、ストレージレベルでファイルだけでなく全てのレプリカとスナップショットも暗号化される、つまり使えなくさせるからです。
  • ネットワークとデータベース・セキュリティの脆弱性 – 組織のネットワーク脆弱性はハードウエア、ソフトウェア、処理中のプロセスの問題から生じる可能性があります。サイバー脅威がシステムに侵入し、セキュリティやソフトウエア・データ侵害を引き起こします。
  • マルウェア-マルウェアとは、ハッカーがコンピュータシステムに損害を与えたり、不正なアクセスをしたり、企業を混乱させたりするために作成したソフトウェアのことです。マルウェアはテキストやその他のオンラインフォーラムでも見受けられますが、マルウェアの94%は電子メールで送信されています(4)。また、モバイルマルウェアは間違いなく増加しており、2022年にヨーロッパ内で500%増加し(6)、その後も着実に増加しています。
  • ソーシャルエンジニアリング攻撃-オンライン通信を通じて相手を操り、機密情報やデータを取得することを指します。この攻撃手法は人間の脆弱性を利用するため、ヒューマンハッキングとも呼ばれ、サイバー犯罪の98%はソーシャルエンジニアリングに起因すると言われています(7)。
  • フィッシング攻撃 – フィッシング攻撃はソーシャルエンジニアリング攻撃の一種で、ハッカーが被害者にメッセージを送り、機密情報を引き出そうとすることから始まります。その後、ハッカーはマルウェアやウイルスを含むソフトウェアを拡散させることができます。
  • パンデミック – Covid-19では多くの社員が在宅勤務となり、感染終息後多くの国でオフィスが再開してもその勤務スタイルは多く残っています。そのため、サイバーハックやデータ漏洩のリスクにさらされ、さらにはクラウド漏洩も大幅に増加しています。パンデミック開始前の過去数年間は従業員にとってサイバースキルは必要ないものでした。しかし、サイバー犯罪が増加する中、「サイバー・セキュリティ侵害のほぼ95%(パンデミック時だけでなく一般的に)が人的エラーによって引き起こされているため、従業員に自衛のための必要な知識を与えることが不可欠である」と言われています(8)。もしあなたの会社がリモートワーカーを雇っている場合、会社は彼らと彼らの仕事、特にあなたのデータやネットワーク内で可能なすべての相互作用を保護する必要があります。

2020年から2025年の間に、サイバー・セキュリティを担当するITアナリストは、サイバー・セキュリティとサービスに対する支出予測が1兆ドルを優に超える(9)と予想しています。これは高額に思えるかもしれませんが、情報漏えいが共有コストに与える影響に加え、一般的に平均で7.27%減少することを考えると(10)、なぜこれがそれほど重要であるかが明らかになるでしょう。

クラウドにおけるセキュリティ
クラウド上で作業を行う場合、クラウドの互換性の必要性が明確になると思います。クラウドセキュリティは共有の責任であることを考慮し、ビジネスの管轄やビジネス要件に応じて私たちが利用できる多くのクラウドセキュリティ関連の規制フレームワークや標準を常に(もしくは必要に応じて)検討する必要があります。
 
業界固有のクラウドセキュリティ基準の例として、以下のようなものがあります:

  • PCI-DSS – PCI-DSS(Payment Card Industry Data Security Standard)は、クレジットカードやデビットカードの情報を受け入れる、または管理するすべての組織に対する一連のセキュリティ要件です。
  • HIPAA – HIPAA(Health Insurance Portability and Accountability Act)は、対象事業者が作成、使用、または維持するすべての「個人」の電子的な個人健康情報を保護するためのガイドラインを定めています。
  • APRA – APRA (Australian Prudential Regulation Authority) は、クラウドコンピューティングのような新しいテクノロジーについては、ゼロベースで信頼するという前提で動いています。したがって、新しい技術を採用する企業はそのコンプライアンス姿勢が業界のベストプラクティスに合致していることを証明する必要があります。
  • GDPR –GDPR(General Data Protection Regulation)は、欧州連合のデータ保護およびプライバシー規制法であり、個人が自分のデータに対して有する8つの基本的権利に焦点を当てたものです。

上記の業界別クラウドセキュリティ標準に加え、セキュリティ重視のフレームワークも取り上げます。

セキュリティ重視のフレームワークは法律や金融規制から独立しているものの、組織が特定の規制要件を満たすために使用できる堅牢なガイドラインです。セキュリティ重視のフレームワークの例としては、以下のようなものがあります。

  • ISO-27001/ISO 27002 – 情報セキュリティとコンプライアンスに関する最も有名な規格は国際標準化機構が開発したものです。ベストプラクティスを実施することで組織が機密データを保護することを支援するために作成されました。
  • ISO-27017 – ISO-27001を拡張し、クラウドの情報セキュリティに特化した条項を追加したものです。
  • ISO-27018 – パブリッククラウド環境における個人識別情報(PII)のセキュリティに取り組むISO規格です。
  • SOC – システム・組織統制は、IT「組織」の管理手続きに対する監査の一種です。
  • NIST – アメリカ国立標準技術研究所(The National Institute of Standards and Technology)は、技術・科学分野の競争力を高めるための具体的な規格や指標を作成する米国の連邦機関です。
  • CIS Critical Security Controls – 以前はSANS Critical Security Controlと呼ばれていたこのガイドラインは、オープンソースとコンセンサスに基づき、組織がシステムを保護するために作成されたものです。

続けてこのセキュリティ記事の第二部では、Oracle MAA (Maximum Availability Architecture) とOracle MSA (Maximum Security Architecture) を使ってデータを保護する方法について説明していきます。単一の製品やオプションでデータベースを完全に保護することはできませんので、私たちはMAAに加えOracle Maximum Security Architecture(MSA)を使用することをお勧めしています。加えて第二部の内容からは、Oracle Maximum Availability Architecture (MAA)を採用することでOracle Databaseに変更を加えることなくサイバー脅威からデータを保護することができることがお分かりいただけるかと思います。

もっと詳しく知りたい方はこちら:

Oracle MAAとMSAに関する素晴らしいコンテンツをご覧ください:

参考資料:

  1. https://abcnews.go.com/Health/wireStory/latest-india-reports-largest-single-day-virus-spike-70826542
  2. https://smallbiztrends.com/2019/05/2019-small-business-cyber-attack-statistics.html
  3. https://www.varonis.com/blog/cybersecurity-statistics
  4. https://www.verizon.com/business/resources/reports/2019-data-breach-investigations-report.pdf
  5. https://www.industryweek.com/technology-and-iiot/article/22026828/cyberattacks-skyrocketed-in-2018-are-you-ready-for-2019
  6. https://www.techrepublic.com/article/mobile-malware-is-on-the-rise-know-how-to-protect-yourself-from-a-virus-or-stolen-data/#:~:text=Mobile%20malware%2C%20as%20we%20have,in%20Europe%20(Figure%20A).&text=Image%3A%20Proofpoint.,malware%20detections%20in%20February%202022.
  7. https://www.triskelelabs.com/blog/recent-developments-in-social-engineering-attacks-you-need-to-know#:~:text=According%20to%20recent%20statistics%2C%20more,through%20various%20ransoms%20and%20threats.
  8. https://blog.threatcop.com/top-5-cyber-attacks-and-security-breaches-due-to-human-error/
  9. https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2021-to-2025/
  10. https://www.forbes.com/sites/sergeiklebnikov/2019/11/06/companies-with-security-fails-dont-see-their-stocks-drop-as-much-according-to-report/?sh=43afc0ee62e0