現在、様々な業界がサイバー攻撃の被害を受けていますが、通信業界も例外ではありません。ここでは、通信業界がサイバー攻撃のターゲットになりやすい理由に加えて、脅威の動向を解説します。
様々な業界がサイバー攻撃の標的となっていますが、通信業界も標的となりやすい業界のひとつです。その理由には、通信サービスが停止した際に社会的に与える影響が大きい点や、顧客データや通信履歴など、攻撃者にとって魅力的なデータを大量に保有している点などが挙げられます。
さらに、通信業界ではインフラが複雑化していること、5GやIoTなど新しい技術の導入に伴う脆弱性も抱えていることなどから、サイバー攻撃の標的になりやすいという面もあります。
サイバー攻撃のトレンドは年々変化しており、最新の動向を確認することが重要です。近年多く行われているサイバー攻撃には、大規模DDoS攻撃、ランサムウェア、サプライチェーン攻撃、重要インフラを狙ったAPT攻撃、内部脅威、ゼロデイ攻撃などが挙げられます。
様々な攻撃がありますが、例えばサプライチェーン攻撃はターゲット企業に直接攻撃を仕掛けるのではなく、セキュリテイ対策が不十分な関連企業などに攻撃を仕掛け、踏み台としてターゲット企業に不正侵入を行う攻撃。これはサプライチェーンの複雑化が要因とされています。この点から、サプライチェーンへの攻撃は全ての企業・組織が対策するべき問題であるといえます。
ここでは、通信業界で実際に発生したサイバー攻撃の事例を紹介していきます。
情報通信会社がシステムの脆弱性を突かれ、不正アクセスを受けてアプリケーションの一部が改ざんされ、結果多くの個人情報が漏洩。その情報には顧客のクレジットカード情報が含まれていました。このように、わずかな脆弱性でも対応せずに放置してしまうと、システムの改ざんや情報漏洩につながる可能性があるといえます。
Webサービスのログインアカウントとパスワードを盗み、サービスの通信内容を改ざん。その結果、不正ログインに成功し、多くの個人情報が漏えいしました。
情報が漏えいしてしまったユーザーからは直接的な被害報告は入っていないものの、攻撃を受けた情報通信会社では、安全上の懸念からサービスの一部停止を余儀なくされました。この件のように、IDとパスワードを何らかの方法で手に入れることで、悪意ある第三者も問題なくログインできるようになるため、不正アクセスへの対策も非常に重要です。
5Gの進展によりIoT機器が多く利用されていますが、その中で脆弱性を持ったIoT機器を狙った攻撃が多く行われているという面もあり、新たなセキュリティリスクをもたらしています。
IoT機器は性能が限定されている、設置後あまり管理されない、長期間使用されるなどの特徴があり、十分なセキュリティ対策が実施されずに脆弱性が残存した場合には、悪意ある第三者によって不正操作などが行われてしまい機器の利用者に影響を及ぼす可能性も考えられます。
以上の点に加えて、今後はさらにサイバー攻撃の増加や高度化が想定されるため、導入機器におけるセキュリティ対策の強化が必要といえます。
通信インフラの安定稼働を目指す上では、冗長性確保が重要です。例えば単一のハードウェアや仕組みに頼らず、予備を用意し万一の時に代替リソースに切り替えられるようにしておくことを冗長化といいます。冗長性の向上によってシステムやサービスに不測の事態が発生しても継続して稼働できます。
ただし冗長性を高めると運用が複雑化し、監視する対象も増えるといったように、冗長性とセキュリティは時にトレードオフの関係にあります。この点から、ニーズと予算に合わせ冗長性とセキュリティのバランスを考えていくことが必要です。
ここでは通信インフラの安全と信頼を確保するために、通信業界ではどのようなセキュリティ対策が求められているのかを解説します。
通信業界の現場では、様々な技術的対策が必要とされます。
例えばネットワーク機器のセキュア設定やアクセス制御、ログの監視などが必要です。このことで不正アクセスや情報漏洩のリスクを低減するとともに、内部から情報が不正に持ち出されるリスクにも対策ができます。また、万が一情報が盗まれてしまった時に備えて、暗号化技術の適用を検討することがおすすめです。
さらに、自社にとって適切なセキュリティ対策を講じるには定期的な脆弱性診断も必要です。この対策によってネットワークやシステムにおける潜在的な脆弱性を把握でき、必要な対策を行えます。
全社的にセキュリティ対策を行うには、経営層や管理職がサイバーリスクを自分ごととして捉え、リーダーシップをとって推進していくことが非常に重要です。その上で、企業や組織のセキュリティを適切に管理するためのルールや方針を定め、実行するためのセキュリティガバナンスの確立が求められます。
またセキュリティリスクに基づいた投資判断や、セキュリティ対策の全社的な方針を決定する、人材育成へのコミットメントなどがマネジメント層に求められる役割として挙げられます。
被害の最小化と早期復旧のためには、あらかじめインシデントレスポンスの体制を整えて迅速かつ適切な対応を取れるように準備しておくことが必要です。さらに、被害の拡大防止や類似事故防止などの観点から、顧客や社会に対する透明性ある情報公開を行うことも重要です。情報公開によって被害拡大が見込まれる特殊なケースを除き、情報公開を前提とした対応を行っていくことが、企業の信頼にもつながるといえます。
また、情報セキュリティ関連のインシデントへの対応を主な業務とする専門組織である「CSIRT」を設置します。このことにより、インシデント発生時の意思決定の迅速化・組織内外の関係者との円滑な調整を図れるといったメリットがあります。さらに、インシデント対応においては平時からの準備や訓練も重要ですが、CSIRTはセキュリィ分野の啓発や教育といった役割も担っています。
通信業において、高度なセキュリティ人材を育成するための研修について解説していきます。効果的な研修プログラムを選ぶ際のポイントもまとめました。
ネットワークエンジニアやセキュリティ担当者など、実務者向けのセキュリティ研修は、実務で役立つ知識やスキルに注目して設計されます。例えば情報セキュリティ・ネットワークセキュリティの基礎や代表的なサイバー攻撃の手法とその対策を学ぶほか、インシデント対応の演習や脆弱性管理などの内容が考えられます。サイバー脅威は進化し続けるため、定期的な復習やアップデートも必要です。
またセキュリティに関するスキルを証明できるものとして、下記のような資格が挙げられます。
経営層や部門長、リスク管理担当者などマネジメント層向けのセキュリティ研修は、企業経営の観点から必要とされるセキュリティの知識や考え方を学び、どのような責任が求められているのかを知ることがポイントです。
そのため、昨今のセキュリティ事情やインシデント発生時の経営層や管理職の役割、サイバー攻撃に強い組織づくりを行う方法を学ぶなどの研修内容が考えられます。その上で自社に必要なセキュリティ対策を把握し、組織の資源の割り当て方、インシデント発生時にどのような点に注意し行動すればよいのかを知ることにより、組織全体を守ることにつながります。
マネジメント向けのセキュリティ研修に関連する資格やプログラムとしては、下記のようなものが挙げられます。
セキュリティ研修を行う上では、自社に合った研修の選択が重要なポイントとなってきます。例えば下記のようなポイントがあります。
あらかじめ、研修の目的や自社のニーズをはっきりさせておくことも大切です。その上で、上記の項目を満たしているか、ニーズに合った内容かを見極めながら研修を選択してくことがおすすめです。
研修を行う上では、その研修を一過性のものにしないための取り組みも重要です。ここでは、組織全体のセキュリティレベルを継続的に向上させる仕組みづくりについてまとめました。
セキュリティ対策を行う上では、まずは自社の状況を把握することが第一です。そのため、研修で得た知識や視点を活かしながら、自社のセキュリティ対策の現状レベルを客観的に把握・評価します。現状把握・評価の方法としては、セキュリティアセスメントの実施や内部監査の実施によるリスクの可視化、外部のセキュリティ診断を受けるなどの方法が考えられます。
この取り組みによって、自社に足りない対策や課題を見つけ、具体的な取り組みにつなげていきます。
セキュリティに対する意識と知識を特定の部門のみのものとするのではなく、部門を超えた組織全体に浸透させて「セキュリティ文化」として定着させることも重要です。例えば、下記のような取り組みにより定着を目指せます。
上記のような取り組みによって、セキュリティへの意識を組織風土として根付かせることが非常に重要です。
サイバー攻撃の脅威や技術は日々進歩しているため、一度研修を行って終わりとするのではなく、継続やアップデートを行っていける仕組みづくりも大切になります。例えば定期的なレビューを行う、フォローアップ研修を行う、最新情報の収集・共有体制づくりを行うなどの方法が考えられます。
また、研修内容だけではなくセキュリティに関する社内ルールや対策も定期的に見直し、アップデートを行っていくことがポイントです。
通信業もサイバー攻撃の標的になりやすい業界であるため、全社的なセキュリティ対策が求められます。
まずは自社のセキュリティ対策について現状把握と課題の特定を行うこと、セキュリティ人材育成の策定を行う、専門家に相談をするなど、できるところから着手し、ひとつひとつ課題を解決していくことが大切です。通信インフラを守るという社会的な使命を果たすためにも、継続的なセキュリティ強化に取り組んでいってください。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。

CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など

セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など

企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など