ニューノーマル時代の
サイバーセキュリティ対策 Review
ニューノーマル時代の
サイバーセキュリティ対策 Review
ニューノーマル時代の
サイバーセキュリティ対策 Review
既存の常識が通用しないニューノーマル時代、セキュリティ対策の常識も大きく変わった。巧妙化する脅威を前に、境界防御による水際対策が無力化。企業ネットワーク内に入り込んだ脅威を早期に発見し、被害を最小化するEDRのアプローチが求められるようになっている。また、テレワーク環境からもセキュアなインターネットアクセスを実現するSASEや、CASB、CSPMといった手法も一層重要性を増している。このような状況のもと、企業・組織がリスクを適切にコントロールするには、最新のセキュリティ動向を知り、必要な対策を速やかに実行することが求められている。本セミナーでは、情報セキュリティ領域の有識者やベンダー、ユーザー企業が一同に会し、新時代のセキュリティ対策について語った。当日の模様をダイジェストで紹介する。
捕獲・解析したマルウエアの情報を発信する
安全・安心な社会の実現に貢献したい
横浜国立大学
大学院環境情報研究院/先端科学高等研究院
吉岡 克成氏
社会インフラを支える施設のIoT機器もリスクに直面
IoT(Internet of Things)の普及に伴って、各種IoTデバイスが攻撃を受けるケースが増えている。この状況を背景に、横浜国立大学では2015年から、IoT機器を狙った攻撃を観測・解析するシステムを独自に構築・運用してきた。「おとりシステムである『IoTハニーポット』を使って、攻撃者が送り込んできたマルウエアを捕獲し解析しています。現在までに20万を超えるマルウエアの検体を収集し、確認した情報を世界中の研究者・開発者に提供しています」と同大学の吉岡 克成氏は紹介する。
また最近は、ハニーポットによる受動的観測に加えて、狙われそうなIoT機器を探索する能動的観測も実施している。そうすることで、既に存在する攻撃以外に、これから流行るかもしれない攻撃をいち早く予測できるようになるからだ。
そのために用いているのが、インターネット接続済みのIoT機器を網羅的に探索する広域スキャンシステムである。これを利用すれば、世界中に存在する様々なIoT機器を効率的に見つけ出すことができる。中でも吉岡氏は、治水や防災、発電などの社会インフラ施設を監視・制御するIoT機器の探索に力を入れているという。「これらの施設は無人で運用されていることが多く、監視や制御はインターネット経由で行うのが一般的です。我々の調べでは、脆弱性や設定不備の問題を抱える機器が数多く見つかりました」と吉岡氏は言う。
同様に、広域スキャンシステムではコネクテッドカー向けの車載器なども多く発見されている。万一これらの重要IoT機器が不正に操作されてしまえば、人々の暮らしや命にかかわる重大事故につながりかねない。そこで同大学は、リスクの高いIoT機器を保有する事業者への注意喚起も行っているという。「2020年に総務省主導で行った重要IoT機器調査では、924件の重要IoT機器候補と13件のゼロデイ脆弱性を発見しました。このうち保有事業者が判別できたものについては、速やかに注意喚起を実施。約83%の事業者に何らかの対応を進めてもらうことができました」と吉岡氏は成果について話す。
Webブラウザで使えるマルウエア感染検査サービスも開発中
このような事業者向けの注意喚起に加え、広くあらゆるIT利用者を守るための活動も進めている。「それには、まず皆さんに我々のメッセージを届ける仕組みが必要です。そこで、PC/スマートフォン向けの通知アプリを開発しました」と吉岡氏は説明する。
このアプリは、脆弱性を抱えたサービスや外部からの攻撃を検知した際に、その危険性をプッシュ通知する。こちらも、通知を受けた人の8割以上が何らかの対応をする意思を示すなど、大きな手応えがあったという。
さらに現在は、より簡単に使えるサービスとして、Webブラウザだけで利用できるマルウエア感染検査サービスを開発中だ。マルウエアは、仮に感染してもその被害に気付かず、表向きは“無症状”であるケースも多い。その意味で、現在世の中を騒がせている新型コロナウイルスと似た点があるという。「本サービスは、サイバー版のPCR検査のようなもの。リリース後は無償で提供する予定なので、ぜひ多くの方に利用してもらいたいですね」と吉岡氏は述べる。
世の中に存在するリスクを捕捉し解析するのみならず、その情報の積極的な発信と注意喚起を行う。吉岡氏の活動は、安全・安心な社会の実現に貢献するものといえる。
現場の“やりたいこと”を叶えつつ
ゼロトラスト、DXを推進する方法
auカブコム証券株式会社
システム統括役員補佐
石川 陽一氏
“やりたいこと”をベースに環境を整える
インターネット証券会社のauカブコム証券は、働き方改革を念頭に置いたテレワークの試行、制度整備などを2017年ごろから積極的に進めてきた。
「2019年には、DXに向けた取り組みも強化しました。『Microsoft 365』の利用を開始するとともに、MDM(Mobile Device Management)やMAM(Mobile Application Management)を活用。貸与iPhoneでのMicrosoft 365アプリ利用について、ガバナンスを利かせる仕組みも整備しました」と同社の石川 陽一氏は語る。
そんな折、新型コロナウイルスのパンデミックが起こった。同社は、テレワークの本格運用へ舵を切るかたわら、業務アプリケーションのクラウドシフトを推進。同時に、リモートアクセスのセキュリティ強化にも取り組んだという。あらゆるデバイスや人を信頼せず、都度の認証を行う「ゼロトラスト」をコンセプトに、環境の整備を進めた。「その際は、業務遂行上、どのようなことが必要か、つまり“やりたいこと”をベースにシナリオを考え、必要なセキュリティ対策を講じていきました」と石川氏は説明する。
同社が整えた環境は次のようなものだ。まず「Microsoft 365 E5」を中核に据え、ID統合管理とアクセス管理のためのIAM(Identity and Access Management)、インターネット経由で社内の業務アプリケーションを安全に利用するためのIAP(Identity-Aware Proxy)を構築。このほか、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)などのクラウドアクセス保護の仕組みや、ログ解析を行うSIEM(Security Information and Event Management)も導入した。
加えて端末の保護についても、かねて利用してきたMDM/MAMに加え、EDR(Endpoint Detection and Response)を新たに導入したという。
「ユーザーやデバイス、アプリケーションを管理するディレクトリシステムも見直しました。当社は以前からActive Directory(AD)を採用していましたが、これとAzure Active Directoryを同期する仕組みを『Azure AD Connect』を使って実現。これにより、デバイス側での2要素認証に加え、どのユーザーが、どういうリソースに対し、どういう経路でアクセスしてきているかといった詳細な条件によるアクセス制御も行えるようにしています」と石川氏は紹介する。
コロナ禍で急遽必要になったアプリを内製で開発
また、auカブコム証券は開発の内製化にも注力している。急遽必要になるアプリケーションを俊敏に開発できる体制を整えることで、コロナ禍でもDXを加速したいと考えたためだ。
ローコード開発ツール「Microsoft Power Apps」や、データの規模を問わず同様の操作感で容易にデータ解析を行える「Microsoft Power BI」を備えた「Microsoft Power Platform」を導入。「SaaS型の業務システムの機能を補足するユーティリティや、アプリケーション開発プロジェクトの内容・進捗を管理したりするアプリケーションなどを必要に応じて開発しました」と石川氏は言う。
このように、auカブコム証券はゼロトラストに基づくセキュリティ対策を推進しながら、DXを加速している。ベースにあるのが“やりたいこと”ありきの姿勢だ。テクノロジーの活用を軸にするアプローチでは、やりたいことが不明確になり成果につながらない。同社の取り組みは、DXに取り組む多くの企業にとって参考になるものといえるだろう。
コロナ禍の“教訓”に学ぶ
アフターコロナ時代のセキュリティ対策
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループマネージャー
佐々木 勇人氏
攻撃は手当たり次第。どんな組織も狙われる
「2020年4月から2021年3月までのインシデント報告件数は、前年比2倍以上の約4万7000件。コロナ禍になってサイバー攻撃に関する報告が顕著に増えています」。こう話すのはJPCERTコーディネーションセンター(JPCERT/CC)の佐々木 勇人氏だ。
JPCERT/CCは国内のセキュリティ向上を推進する組織。脆弱性情報の発信、注意喚起、インシデント対応などセキュリティ事案の“火消し”を行うインシデントレスポンス機能と、国際間・国内連携における窓口の役割を担うコーディネーション機能の2つの役割を軸に活動を展開している。
具体的な手口としてはフィッシングメールによるものが7割と最多を占める。国内有名ブランドを悪用したものが増えているのも特徴だ。「コロナ禍による巣ごもり需要で、オンラインサービスやECサイトのニーズが高まっている中で、大きな脅威です」と佐々木氏は分析する。
2020年は2019年に引き続き、マルウエアのEmotetが猛威を振るった。ではなぜ爆発的な感染連鎖を引き起こしたのか。Emotetは感染端末のメールデータを搾取し、連絡先やメール文面を転用して次のターゲットに配信していく。「実在の相手と実際にやりとりした内容を含むメールが送られてくるため、一見しただけでは攻撃メールと分からない。見破るのは非常に困難でした」と佐々木氏は訴える。早いサイクルで改良と活動再開を繰り返すことも感染連鎖に拍車をかけた。
Emotetはユーロポール(欧州刑事警察機構)の国際共同作戦により、2021年1月27日にテイクダウンが発表されたが、今後も大規模なマルウエア感染を目的とする犯罪スキームが出現する可能性があるため、引き続き警戒が必要だ。
制圧されたEmotetと異なり、被害が国内外で増加しているのがランサムウエア被害である。ランサムウエアの被害増加の背景には、標的候補の拡大がある。情報搾取が目的の攻撃は特定分野のターゲットを執ように狙い侵入を試みるが、金銭搾取が目的の場合は手当たり次第に「侵入できそうな組織」に攻撃を仕掛ける。侵入可能なルートがあり、身代金要求に応じる可能性があると考えれば、どのような企業でも標的となってしまうのである。
また、マルウエア開発者、侵入ルートの情報転売者、実際に攻撃を仕掛ける攻撃者といった分業制による犯罪スキーム連携が進み、攻撃はますます効率化している。「手っ取り早く攻撃できるため、対策が強化される前に、あるいは競合の攻撃者が攻撃する前に攻撃できそうな企業を早々に攻撃する。そんな力学が働いています。保有している情報や業種・企業規模を問わず、どんな組織でも攻撃対象になりやすい状況なのです」と佐々木氏は警鐘を鳴らす。
コロナ禍で情報収集の“基礎体力”が低下
狙われる対象にもコロナ禍による変化が色濃く反映されている。SSL-VPN製品はその象徴だ。リモートアクセス用に以前から使われていたが、テレワークの拡大で利用頻度も台数も格段に増加した。実際、大手ベンダーが脆弱性の注意喚起を発表すると、それを狙った攻撃が多発した。
ベンダーからは修正パッチも提供されたが、その適用までのタイムラグが狙われた形だ。SSL-VPNはファイアウオールなどで守られたほかの機器に比べるとセキュリティ対策が手薄で対応が後手に回った。そもそも脆弱性の存在を知らなかった企業もあったという。「コロナ禍によって情報共有活動やイベントなどでの情報を得る機会が減り、重要なセキュリティ情報を得る“基礎体力”が社会全体として落ちている可能性もある」と佐々木氏は指摘する。
自組織が使用している製品の脆弱性情報を確実に入手できているか。専門機関など外部からの通知をセキュリティ部門がしっかりキャッチアップできているか。これまで参加していたコミュニティ活動や取引先とのコミュニケーションを維持できているか。「今一度、見直しを行い、最新の脅威動向や脆弱性に関する外部からの情報を取りこぼさない体制の確立が急務です」と佐々木氏は主張する。
コロナ禍が浮き彫りにしたセキュリティリスクは、原点に立ち返ることの重要性を強く示唆している。
サイバーセキュリティ自給率低下が問題
解決のカギは国内の観測・研究開発の強化
国立研究開発法人情報通信研究機構(NICT)
サイバーセキュリティ研究所 サイバーセキュリティネクサス ネクサス長
井上 大介氏
どのサイバー攻撃もいまだに根絶に至っていない
20世紀のサイバー攻撃は、愉快犯や自己顕示タイプが多かった。しかし21世紀に入り、身代金要求や諜報活動を目的とするサイバー攻撃が常態化してきた。また、攻撃対象もあらゆる領域に広がり、攻撃手法の多様化も進んでいる。
身代金要求型の代表的な事案の1つに、2017年5月から大規模なサイバー攻撃を開始したランサムウエアのWannaCryがある。Windowsを標的としたWannaCryは、身代金として暗号資産ビットコインを要求する手法で世界中に大きな被害を与えた。コロナ禍の2020年には、身代金を目的に医療機関を狙った標的型ランサムウエアが次々と登場した。
近年、WindowsからIoT機器への攻撃対象のシフトも顕著だ。2019年にNASA(アメリカ航空宇宙局)のジェット推進研究所へのサイバー攻撃で機密データが流出した事案では、無許可で接続していた小型PCが侵入口となった。また、2021年12月に発生した米国IT大手のソーラーウィンズへのサイバー攻撃は、同社のIT管理ツールを踏み台に導入企業を狙うサプライチェーン型攻撃と呼ばれるものだった。多くの米国政府機関や大手企業に被害が広がっており、国家的諜報活動との見方も出ている。
「重要な問題は、無差別型攻撃、標的型ランサムウエア、サプライチェーン型攻撃など、様々な攻撃が並行して行われており、どの攻撃も根絶に至っていないということです」と情報通信研究機構(NICT)の井上 大介氏は指摘する。
日本のサイバーセキュリティ自給率の向上へ
NICTは、情報通信分野を専門とする日本唯一の公的研究機関だ。NICTのサイバーセキュリティ研究室では、サイバー空間で発生する様々な情報セキュリティ上の脅威を迅速に観測・分析し、有効な対策を導き出すために、NICTER(Network Incident analysis Center for Tactical Emergency Response)プロジェクトを実施している。NICTERとは、未使用のIPアドレス空間であるダークネットを観測する日本最大規模のサイバー攻撃観測システム。未使用IPアドレスに到着するパケットは、マルウエアの感染活動などインターネットで発生している不正な活動に起因している可能性があるという。
「NICTERは、国内外の30万の未使用IPアドレスを観測しています。2020年は約5000億のパケットを観測しており、平均すると1つのIPアドレスに1年間で約180万の攻撃に関連したパケットが飛んできていることになります。また、攻撃対象に関して、トップ30の中ではIoT機器に関連したものが36.9%に上り、Windowsは8%にすぎませんでした。NICTERによる観測情報は、セキュリティ関連組織との情報共有はもとよりWebでも一般公開されています」(井上氏)
日本におけるサイバーセキュリティの問題点は、国内のサイバーセキュリティの自給率の低さにあると井上氏は指摘する。つまり、セキュリティに関するデータが集まらない→研究開発や人材育成ができない→国産技術が作れない→技術が普及しない→データが集まらないという、データ負けのスパイラルに入っているというのだ。
こうした現状を打破すべく、NICTでは2021年4月にサイバーセキュリティ統合知的・人材育成基盤CYNEX(Cybersecurity Nexus)をスタートさせた。CYNEXは、サイバーセキュリティ情報を国内で収集・蓄積・分析・提供するとともに、社会全体でサイバーセキュリティ人材を育成するための共通基盤となる。
「CYNEXを通じてNICTの研究成果や人材育成のノウハウを民間企業や教育機関に活用してもらいます。つまりCYNEXが、サイバーセキュリティに関する産学官の結節点となり、日本のサイバーセキュリティの向上を図るわけです」(井上氏)
2021年4月、NICTは第5期中長期計画をスタートさせた。今後もサイバーセキュリティとAIの融合研究、Beyond 5Gの研究開発など、Society 5.0の実現に向けて新たな研究領域に取り組んでいく考えだ。
リスクに立ち向かわずしてDXはない
攻めの情報セキュリティ対策を推進
株式会社竹中工務店
グループICT推進室 ICT企画グループ 副部長
高橋 均氏
時代に合わせたセキュリティ対策の進化
日本建設業連合会(日建連)の情報セキュリティ専門部会は、実際に発生した事故に基づいた「建設業界の情報セキュリティ5大脅威」を選出している。そこには情報機器の紛失・盗難、SNSへの投稿による現場写真の漏えい、図面など重要書類の紛失・盗難、メール誤送信による図面データなどの漏えい、標的型攻撃メールによるマルウエア感染が挙がっており、近年はランサムウエアによる事故の増加も目立つ。
こうした状況の中、大手ゼネコンの竹中工務店では、総務室とグループICT推進室を中心とした情報セキュリティ主管部門が対策をリードしている。
同社の高橋 均氏は、「この主管部門の直下に設置したTAKENAKA-SIRTが、事故発生時の対応をはじめ、予防策や再発防止などセキュリティ全般の活動を推進。日本シーサート協議会などの外部組織とも連携し、自社にとどまらずグループ会社や協力会社への対応も強化しています」と語る。
根幹にあるのは、「ICT・組織・人によるバランスの良い対策」、「サービス、アウトソースを活用した対策」、「環境変化に合わせた実施」を3本柱とするセキュリティ対策の考え方だ。この基本方針に基づき、境界防御(~2013年)からモバイル展開に合わせたセキュリティ強化、グループ共通基盤整備に合わせたガバナンス強化(2014~2018年)といった形で、時代に合わせたセキュリティ対策の進化を図ってきた。
ゼロトラスト・セキュリティの導入を加速
そしてクラウドシフト時代に入った2019年以降、竹中工務店が注力してきたのが次の3つの取り組みである。
まず1つ目は「検知・拡散防止・復旧」のプロセスを一貫したサイバー攻撃対策だ。「2016年に当社でもランサムウエア感染が発生し、もはや100%の防御はできないと痛感しました。こうして社内に侵入されることを前提とした対策へと転換。具体的には2019年に社内のすべての端末にEDRを導入し、脅威が侵入しても端末内で即座に不正通信を検知し、ブロックできる体制を整備しました」(高橋氏)。
次に2つ目が、あらゆる場所での快適な接続と強固なセキュリティの両立だ。クラウドプロキシサービスを活用し、危険なサイトへのアクセス防止や脅威の侵入をクラウド上で行うようにした。「この仕組みにより、わざわざ社内を経由してインターネットへアクセスする必要はなくなりました」(高橋氏)。
そして3つ目が、人任せにしない業務システム基盤(IaaS)の構築だ。具体的にはCSPM(Cloud Security Posture Management)サービスを活用し、業務システムの通信状況や稼働状況を一元管理する体制を整えた。「システムに内在している設定ミスや脆弱性を自動修復して保護するほか、セキュリティポリシーと異なる設定をした場合も、システム管理者へのアラート通知によってすぐに修正されます」(高橋氏)。
さらに2021年度においても、クラウドリフトする業務システムへのEDR導入、認証・認可をクラウド上で一元的に行う仕組みの構築、脅威の早期検知による効果的なサイバー攻撃対策といった施策を推進している。「業務環境の変化によって、ますます複雑化していくICT環境に対する多層的なリスク対策を実現するため、ゼロトラスト・セキュリティの導入を加速していきます」と高橋氏は話す。
竹中工務店にとってセキュリティは、もはや守りのための施策ではない。「攻めのサイバーセキュリティで竹中グループのDXをけん引し、すべてのステークホルダーに価値を提供する」をスローガンに、竹中グループのDXを引っ張っていく考えだ。