普華永道諮詢公司與慶應義塾大學共同開發了可識別高優先網路安全對策並推薦給企業的系統。慶應大學分析了普華永道的網路安全研究人員掌握的研究結果,並將其變成工具供一般企業使用。隨着駭客技術的日益精進,一些日本企業很難確保能將大量相關資訊納入防禦措施的人才,預計新系統將提供給這些企業使用。
新開發的工具會針對每種攻擊方法和對策評估並顯示公司内部的防禦系統的水平(供圖:普華永道諮詢公司)
駭客的最新攻擊戰術和在「暗網」上買賣的惡意程式等資訊會被安全企業、研究人員和政府機構等分析並寫成日報。這種資訊收集和分析作業稱爲「威脅情報」。
相關資訊的數量非常龐大。美國通訊巨頭AT&T旗下的企業提供的代表性威脅情報工具「OTX」每天大約能收集到1900萬條關於駭客使用的伺服器和惡意程式等的資訊。
萬物互聯的「IoT(物聯網)」的普及加速增加了需要分析的資訊量。據美國MITRE公司介紹,2021年全球共發現2萬多個可能被用於網路攻擊的漏洞。這個數位是5年前的3倍以上。
威脅情報是採取更新安全產品和IT設備的設置以及使用開墾軟體等安全對策的指南,但很難對資訊進行取捨。美國企業大多由出身于軍隊、資訊機構和安全企業的人負責威脅情報,而日本比較缺少這方面的人才。
在NRI Secure Technologies公司圍繞網路人才實施的調查中,有54.3%的日本企業回答缺少「制定安全戰略和規畫的人才」。能充分利用情報的人才正在枯竭。其次是39.3%的企業提到了「評估和監查風險的人才」的短缺。
普華永道的上村益永董事指出:「當駭客組織正瞄準日本企業的報告出來後,企業負責人往往會在對安全風險瞭解不足的情況下被迫做出是否應該採取對策的決定」。
該公司2021年10月開始與慶應大學共同推進的這項研究的目標之一是:「建立一個無需過度依賴負責人的安全能力即可利用情報的系統」。慶應大學網路安全研究中心的砂原秀樹教授等人採訪並分析了普華永道公司負責分析情報報告等的研究人員的工作内容。在工具中嵌入了將情報資訊公式化的流程。
爲方便企業做出管理決策,還針對「勒索軟體(勒索型電腦病毒)攻擊」和「線上資料丟失」等20多種應該警惕的事件,分別制定了5級風險評估標準。
爲了做出準確的判斷,不僅是外部的威脅資訊,内部資訊也很重要。新開發的工具會獲取公司内部的個人電腦和安全產品的運行記錄,以及管理層的網路安全風險敏感性的公式化資料等,評估公司内部的防禦系統的水平。
該工具針對「漏洞管理」和「供應鏈風險管理」等各項防禦措施分5個等級顯示進展。在針對風險特別高的事件的防禦措施中會挑選出低級別防禦措施,爲企業應該採取的對策設定優先順序。
普華永道的上村董事表示:「估計會收到容易受到最新威脅的先進企業和全球企業等的諮詢」。正如豐田日本工廠停產事件帶來的教訓那樣,供應鏈中的中小企業越來越有可能成爲攻擊大企業的突破口而被盯上的風險正在增加。「在不久的將來,安全領域的資料利用在所有企業都將變得很重要」。
日文:寺岡篤志、《日經產業新聞》,2022/6/29
中文:JST客觀日本編輯部
