サイバー犯罪対策の実践的アドバイスをまとめたホワイトペーパー、HPEが公表：サイバー犯罪のビジネス化の実態を浮き彫りに

米HPEは、サイバー犯罪の動機や違法組織の“バリューチェーン”を分析し、企業のリスク軽減に役立つ実践的なアドバイスをまとめたホワイトペーパーを発表した。

[＠IT]

　米ヒューレット・パッカード・エンタープライズ（HPE）は2016年5月17日（米国時間）、HPE Security部門がサイバー犯罪の動機や違法組織の“バリューチェーン”（価値連鎖）を分析し、企業のリスク軽減に役立つ実践的なアドバイスをまとめたホワイトペーパー「The Business of Hacking」を発表した。

「The Business of Hacking」のダウンロードサイト

　HPE Securityは自部門のデータ、観察結果、オープンソースの情報、他の業界レポートを利用してサイバー犯罪者の動機、組織、攻撃機会を分析し、洞察を導き出した。

　HPEは、同ホワイトペーパーの意義を次のように説明している。「サイバー犯罪者は活動を立ち上げ、展開していくために、ますます巧妙な管理手法を駆使して勢力を拡大し、金銭的利益を増やそうとしている。この2つは、2016年現在のほとんどの組織的なサイバー犯罪の主要な動機だ。企業はこうした内部実態を知ることで、組織的な攻撃の阻止やリスクの軽減に向けた対策につなげることができる」

　HPEによると、2016年現在のサイバー犯罪者は、体系的な活動モデルと“バリューチェーン”を構築していることが多い。これらは合法のビジネスで構築されるものとよく似ており、攻撃のライフサイクル全体を通じてサイバー犯罪組織がより高いROI（投資収益）を達成することを目的としている。企業のセキュリティ責任者や規制当局、法執行機関がサイバー犯罪組織に打撃を与えるには、まずこの闇経済のバリューチェーンの各ステップを理解する必要があるという。

　HPEは、サイバー犯罪のバリューチェーンモデルの重要な要素として、以下を挙げている.

• 人材管理：特定の攻撃要件を満たすためのサポートスタッフの募集、選考、決定、報酬の支払い。攻撃者のスキルトレーニングと教育
• オペレーション：“管理チーム”が攻撃ライフサイクルを通じて情報と資金の円滑な流れを確保する。このチームは各ステップでコスト削減とROIの最大化に積極的に取り組む
• 技術開発：最前線の“ワーカー”が、特定の攻撃の実行に必要な技術ノウハウ（調査、脆弱（ぜいじゃく）性の悪用、自動化など）を提供
• マーケティングと営業：これらのチームは、攻撃組織が闇市場で高い評判を得るようにするとともに、手に入れた違法商品が潜在的な買い手に認知され、信頼されるようにする
• ロジスティクス：商品を買い手に配送することに責任を持つ人とシステムを含む。商品としては、盗んだクレジットカード、医療記録、知的財産などが考えられるが、大量になる可能性がある

ハッキングの金銭的利益と労力の分布（出典：HPE）

　HPEは企業のセキュリティ担当者に、こうした組織化された攻撃者に対し、以下のアプローチで適切な対策を講じることを勧めている。

• 攻撃者が得る利益を減らす：エンドツーエンドの暗号化ソリューションを利用し、企業へのサイバー攻撃の金銭的見返りを限定する。保存時、移動時、使用時のデータを暗号化すれば、攻撃者にとっては、データを入手しても販売が困難になり、利益が減ることになる
• 攻撃のターゲットを減らす：モバイルデバイスやIoT（Internet of Things）の急速な利用拡大に伴い、どの企業でも、攻撃の標的になる要素が増えている。企業はリスク軽減や攻撃防止のために、セキュリティを考慮して開発を進め、デバイスにかかわらずデータ、アプリ、ユーザーの間のやりとりを保護することに力を入れなければならない
• 敵から学ぶ：ハニーポットのようなおとりのシステムを使うことで、攻撃者をわなにかけ、監視し、攻撃行動に関する情報を得ることができる。企業はこの情報を活用することで、セキュリティ対策を強化し、類似の攻撃を未然に撃退し、攻撃の進行を遅らせることができる