中堅・中小企業こそ備えたい
サイバー攻撃対策の現実解とは

　2024年1月にIPA（情報処理推進機構）が公開した「情報セキュリティ10大脅威」によれば、「ランサムウェアによる被害」が4年連続1位、「サプライチェーンの弱点を悪用した攻撃」が2年連続2位となった。ファイルを暗号化するなどの障害を意図的に発生させ、その解決のための身代金を要求するランサムウエアは今も全世界で被害が続いている。

　「マルウエア、そしてランサムウエアは大手のみならず中堅・中小企業もターゲットとしており、被害に遭えば得意先との取引停止や損害賠償が発生するリスクもあります。あらゆる企業・団体にとって無視できない脅威となってきています」とキヤノンITソリューションズの市原 創氏は警鐘を鳴らす。

　造業、卸売・小売業、サービス業など様々な業種が被害に遭っているが、企業規模を問わずに攻撃されているのが最近の傾向だ。攻撃難易度の高い大企業を直接狙うのではなく、取引関係のある下請け企業など、脆弱性のある企業を踏み台にするサプライチェーン攻撃のリスクが高まっている。警察庁の調査によれば、被害組織の37％が調査・復旧費用に1000万円以上かかったと回答しており、従業員数十人規模の、ある物流会社はランサムウエア被害に遭ったことで、業務停止のみならず、取引先からの契約解除などで倒産に追い込まれた。セキュリティーインシデントでは想定外の規模で損害を被る可能性がある（図1）。 　それでは、このような脅威に対して企業はどのような対応を行うべきなのか。市原氏は大きく4つのポイントを挙げる。

　1つ目は「脆弱性への対応」だ。セキュリティーパッチの適用に加え、侵入経路として悪用されることの多いVPN機器の見直し、エンドポイントの脆弱性対策などが必須要件となる。リスクはマイクロソフト製品にとどまらないため、サードパーティ製品の脆弱性管理も必要だ。「脆弱性の対応を確認するのが難しい場合は、外部の脆弱性診断サービスを活用するのも有効です。対策漏れの機器やサービスを早期に発見して対処できれば、セキュアな状態を維持することができます」と市原氏は言う。

　2つ目は「製品の適切な利用」だ。公開範囲や権限は正しく設定できているか、十分な強度のパスワードを使用しているか、パスワードの使い回しや共有はないか、などが基本的なチェックポイントとなる。高度化するセキュリティーの脅威に対抗するため、複数のセキュリティー対策を組み合わせることも推奨される。

　3つ目は「情報収集とセキュリティー教育」だ。様々な脅威情報の収集に加え、従業員一人ひとりに脅威を知ってもらう教育・研修は予想以上に大きな効果がある。「知らないことに対して備えるのは難しいですが、知っていることに対しては多くの人が“危険だ”と気付くことができます。例えば、ウイルスが添付された“ばらまきメール”が流行っていることを従業員に周知するだけで、うかつにURLをクリックしない、添付ファイルを開かないという対策につなげることができます」と市原氏はアドバイスする。

　4つ目は「被害を受けた場合を想定した対策」だ。被害を受けた際の影響を最小限にするため、どこに何が保存されているのか、何を優先的に守るのかを明確化し、アクセス管理の徹底やデータの暗号化、定期的なバックアップなど適切な管理を心がける。「ログモニタリングも重要です。ログを確認することで、攻撃の痕跡や不自然な挙動に早く気付くことができれば、被害を最小限にできます」と市原氏は話す。

　こうした対応を行うには専門的な知識を有する担当者の確保が欠かせないが、リソースが限られた中堅・中小企業では決して容易なことではない。そこで注目されているのが、高度なセキュリティー監視と運用をサービスとして提供する「ESET PROTECT MDR」だ（図2）。 　「ESET PROTECT MDRは、ESETとキヤノンマーケティングジャパングループが共同で提供する監視サービス型のXDRソリューションです。NGAV（次世代型アンチウイルス）を含むエンドポイント保護から、クラウド／ネットワーク／アプリケーションといった、あらゆる層のセキュリティー監視とデータ収集を統合してシステム全体を包括的に守るXDRまでの監視・運用・支援サービスをセットで提供いたします」とイーセットジャパンの曽根 禎行氏は話す。

　これまでEDRやXDRに関しては、導入企業の中で運用や使いこなしに多くの課題があることが指摘されていた。まず、これらのツールを導入した際には初期準備として各企業に合わせた最適なチューニングや日々の運用メンテナンスが必要になる。また監視をスタートした段階からは24時間365日の監視体制が必要となり、万一のインシデント発生時には原因の追及、対応といった高度なアクションが求められる。

　これらをリソースの限られた中堅・中小企業が自ら行うのはハードルが高い。そこでESET PROTECT MDRでは、包括的なセキュリティーツールの提供に加え、その導入と監視・運用までを顧客企業に代ってトータルに支援する。

　それではESET PROTECT MDRを導入すると、どのようなメリットが得られるのか。

　最大のポイントは、高度かつ網羅的な対策がESETワンブランドのソリューションで構成される点だ。まずセキュリティーツールとしては、エンドポイント保護、クラウドサンドボックス、フルディスク暗号化、クラウドアプリケーション保護、端末パッチ管理、XDRといった機能が提供される。これらすべてESETのワンブランドで構成されるため、難易度の高いツール間での連携開発や相関分析設定といった対応も不要だ。クラウドサービスであるため自社でサーバー構築・運用が不要なことも重要なポイントだといえるだろう。

　これらのツールはESET PROTECTクラウド型統合管理コンソールによって一元管理されるほか、パターンファイルの最新化も担保される。また、端末パッチ管理は、もちろん、マイクロソフト製品のみならず、サードパーティアプリケーションを含めて対応が可能となっている。

　「ESET PROTECT MDRでは、高度なスキルを持つセキュリティーエンジニアが24時間365日監視・運用しており、脅威ハンティングや定期レポートの提出も行います。インシデントが発生した際にはお客様への通知、調査、対応を行いますが、緊急度が低い場合は、こちら側で対処した内容のご確認、重要サーバーの切り離しが必要な場合など、ビジネスインパクトの高い緊急時には、お客様の経営判断を仰いだ上で最適な対処を行います。いずれの場合も日本語ネイティブのセキュリティーエンジニアが直接ご連絡を差し上げるため、導入されたお客様からは非常に安心感が高いという評価をいただいています」（曽根氏）

　こうした点が評価され、導入する企業・組織も増えている。自治体向けのソリューションを提供する、従業員2000人規模のA社は、有事の際に夜間や休日も含め日本語で支援してくれる点と、ESETのEPPを導入済みでMDRへの移行がスムースだったことからESET PROTECT MDRを導入。定期的に提供されるレポートにより、継続的にセキュリティーの改善が行え、社内でもセキュリティーノウハウが蓄積された点を評価しているという。

　サイバー攻撃は今後も、より高度化・巧妙化していくことは疑う余地がない。中堅・中小企業が、こうした状況に対応するには、ESET PROTECT MDRのようなマネージド・サービスの利用も有効な手段の1つだといえるだろう。