サイバー攻撃は人間のミスを突いてくる！

ホワイトハッカーが診断し

対策を提言するサービスとは

サイバー攻撃は人間のミスを突いてくる！

ホワイトハッカーが診断し

対策を提言するサービスとは

サイバー攻撃は人間のミスを突いてくる！

ホワイトハッカーが診断し

対策を提言するサービスとは

　サイバー攻撃による被害が後を絶たない。その攻撃手法は、ますます巧妙化しており、組織の中の小さな脆弱性を突いてくる。例えば、運用上のミスや誤設定・誤操作はその一例だ。ディスクスペースが足りずにパッチが当てられていなかったサーバー、古いバージョンのソフトウエアをそのまま使い続けていたPC、セキュリティ設定ミスなど、人間の“うっかり”を攻撃者は見逃さない。また、ファイアーウオールなどで守られていた社内ネットワークと異なり、パブリッククラウドやクラウドサービスを利用する際には、これまでと異なる観点からセキュリティ対策を講じる必要がある。これも抜け漏れの原因となりやすい。

　自社では気付きにくい小さな脆弱性や抜け漏れをいかに防ぐか――。こうした観点から、最近ではセキュリティコンサルティングを利用する企業が増えている。その中で大きな注目を集めているのが、サイバーセキュリティ会社のエフセキュアだ。1988年にフィンランドで設立された同社は、サイバーセキュリティ製品の開発をする一方で、セキュリティコンサルティングをグローバルで15年以上提供しており、世界トップクラスのコンサルティング実績を有する。

　具体的には、全世界800社以上、そのうち金融機関が100社以上、交通関連企業15社以上に及ぶ。米国、欧米、北欧などの大手銀行の多くがエフセキュアのセキュリティコンサルティングを利用。日本でも金融機関はもとよりSaaS事業者、Webサービス事業者、大手製造業などが、同社のセキュリティコンサルティングを利用しているという。

　セキュリティコンサルティングでは、なによりもコンサルタントの質と能力が問われる。

　「その点エフセキュアは、高度なIT関連の技術や知識を持つホワイトハッカー300人以上を社員として有しており、その規模も質も世界トップクラスです。その実力はインターポールなど70以上の国際機関と協業し、ヨーロッパにおいて数多くのサイバー犯罪の捜査協力を実施していることからも明らかです。また、金融機関、政府官公庁、製造業、流通業など多様な業種・業態での知見を基に、その特性を考慮した脅威を想定し、攻撃者の視点からホワイトハッカーによりコンサルティングを行うのが、当社の大きな強みとなっています」とエフセキュアの河野 真一郎氏は強調する。

　近年、サイバー攻撃が急増する中、日本企業はどのようなニーズからセキュリティコンサルティングを利用するのだろうか。「2020年から2021年にかけて特にお問い合わせが増えているのがクラウド環境のセキュリティ診断です。例えばある国内大手ネット銀行様からは、オンプレミス環境で稼働していたオンラインバンキング環境や情報系システムのクラウド移行に際して、システム環境全体に対するペネトレーションテストを実施したいというご要望をいただきました」（河野氏）。

　ペネトレーションテストは、実際に攻撃を仕掛け、侵入を試みることで課題を洗い出すもの。複数のセキュリティコンサルティングベンダーの中から、エフセキュアが採用に至った理由について河野氏は次のように話す。「お客様からは、クラウド環境におけるセキュリティ診断サービスの豊富な実績と事例、成果物の詳細なレポートの紹介に加え、基幹システムも含めてAWS、Azure、GCPのそれぞれに特化した攻撃シナリオを提案できたのはエフセキュアだけだったと、実績と技術力の両方で高い評価をいただきました」。 　エフセキュアのセキュリティ診断サービスでは、クラウド環境診断に加え、Webアプリケーション＋API診断、プラットフォーム診断、プラットフォームの脆弱性を減らすハードニングレビューなど総合的な診断が可能だ。セキュリティ診断サービスを実施した結果としての成果物にも、エフセキュアならではの特徴があるという。「自動化ツールによる脆弱性の検出では見えてこない部分にこそ、注意が必要な場合があります。ホワイトハッカーの高度な推測により、仕様上は正しい動作だとしても、悪意のあるハッカーが悪用できるシナリオまで網羅的に診断します。加えて、優先順位を付けた推奨改善策も提言します」（河野氏）。

　コロナ禍を背景にしたクラウドシフトという点では、Salesforce環境に対するマルウエア対策の重要性も高まっている。企業の窓口業務がWeb経由の電子申請に切り替えるケースが増加したことで、電子申請時に住民票や免許証など個人情報関連ファイルがアップロードされるケースが増えているが、悪意ある攻撃者の側が、これを悪用してマルウエアやランサムウエアを Salesforce環境へ送信するケースも起きているからだ。

　特に注意したいのは、Salesforce環境では「利用している企業側がマルウエア対策を講じる必要と責任がある」という点だ。「Salesforce社では、『データプライバシー保護の観点から、お客様から受領したファイルに対してウイルススキャン、検疫は実施しません』という旨のコメントを出しています」と河野氏は指摘する。

　日々発生する膨大な電子申請に関するファイルに対し、いかに効率的かつ適切にウイルスチェックを行うか。こうした観点からエフセキュアでは、アップロードファイル／ダウンロードファイルや、メールなどのメッセージに含まれるURLや添付ファイルのセキュリティチェックを行う「F-Secure Cloud Protection for Salesforce」を提供している。これはSalesforceとF-Secure Security Cloudとのクラウド間連携により、外部からアップロードされたファイルや保存済みのファイルに対して自動的にウイルスチェックを行うソリューションだ。

　「新規サーバーの導入やPC環境へのソフトウエアのインストール、ネットワークの設定変更などは一切不要で、導入手続きは数分間で完了します」と河野氏は紹介する。 　F-Secure Cloud Protection for Salesforceは、外部とのファイルや情報のやり取りを頻繁に行う企業が導入するケースが多いという。「国内金融機関様は、新規口座開設者やサービス利用者から送付される申し込み書類のウイルスチェックに利用しています。また、日本最大級のポータルサイトYahoo! JAPANを運営するヤフー様は、月間10万件以上の問い合わせに対するウイルスチェックに利用しています。1日数千件の問い合わせに関するマルウエアのスキャンをしてもパフォーマンスの劣化がないという評価もいただいています」と河野氏は話す。

　また、Salesforce環境のセキュリティ対策として、エフセキュアへの問い合わせが急増しているのが Salesforce環境設定診断サービスだ。使用中の Salesforce環境に万が一、設定ミスや設定漏れが存在する場合は、企業内情報や個人情報の漏えいリスクとなる。エフセキュアは長年にわたり、Salesforce環境の設定診断をセキュリティコンサルティングサービスとして提供してきた実績を持ち、日本国内のユーザーに対しても、Salesforce環境に適切な設定が実施されているかを、セキュリティ診断サービスとして実施しているという。

　「Salesforce環境の設定診断では、設定内容やユーザー認証、権限設定などを総合的にチェックする設定診断サービスに加えて、お客様環境、Salesforce環境のバージョンアップのタイミングで環境設定が適切に実施されているかをチェックする定期診断サービスを提供しています。国内ユーザー様の大半は、設定診断サービスと定期診断サービスの双方を利用して、Salesforce環境をより安全に活用することをご希望しています」と河野氏は説明した。

　DX推進に欠かせないクラウド。その普及は、サイバー攻撃のリスク拡大を伴う。しかし、グローバルレベルで実績のあるクラウド環境向けの高度なセキュリティ診断サービスは、ほとんどない。今後もエフセキュアでは、安全・安心なクラウド利用と日本企業のDX推進に貢献していく考えだ。