企業を狙ったサイバー攻撃による被害が後を絶たない。昨今ではアタックサーフェス(攻撃対象領域)が拡大し、企業のセキュリティ担当者は日常的にセキュリティ事故(インシデント)発生の脅威にさらされている。万が一の事態に備えるには何をすべきか、そしてインシデントが発生してしまった際、どのように早期収束と復旧を図っていくのか――。トレンドマイクロで10年以上に渡り、顧客のセキュリティ事故が起きた際の支援を行うスペシャリストに、万が一の有事の際に持つべき心構え、そして最も大切にすべき対応の要点を聞いた。

万が一に備える、事前の対策が
費用圧縮と時間短縮につながる

サイバー攻撃は年々増加の一途をたどっている。トレンドマイクロの調べでは、全世界における2023年の攻撃検出数は過去最高を記録。1日あたりの換算では約4億件以上ものサイバー攻撃が発生している計算となる。この数字を見れば、いつ自社が攻撃を受けてもおかしくないことを実感するのではないだろうか。

2016年~2023年までの年別サイバー攻撃検出数の推移(全世界)出典:トレンドマイクロ株式会社のセキュリティ基盤「Smart Protection Network」からの収集データを基にトレンドマイクロが作成

企業に対する脅威の代表格として認知されているのが、金銭要求型不正プログラムのランサムウェアである。IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2024」では4年連続で脅威のトップとなり、業界や規模を問わず多くの企業・団体がランサムウェアによる被害に遭ったことが報告された。

トレンドマイクロで主席IR(Incident Response)コンサルタントを務める田中啓介氏は「ファイルを暗号化して金銭を要求するランサムウェアの被害に関して、大手企業を中心に頻繁に相談を受けています」と語る。田中氏は、インシデントへの対応なども含め、企業組織のサイバーセキュリティ対策におけるスペシャリストだ。2023年9月には書籍『ランサムウェア対策 実践ガイド』を上梓し、滋賀県警察サイバーセキュリティ対策委員会アドバイザーなども務めている。

トレンドマイクロ
主席IR(Incident Response)コンサルタント
田中 啓介氏

田中氏は現在のサイバー攻撃の傾向について、「不正プログラムを無差別にばらまくのではなく、攻撃者がネットワークに入り込んで侵害するインタラクティブ型の攻撃やランサムウェアによる被害が増えています」と指摘する。新型コロナによってリモートワーク可能な環境を企業が整備したことでVPN利用が急増した背景もあり、実にランサムウェア攻撃のおよそ7割がVPN経由での侵入になっているという。

トレンドマイクロ
主席IR(Incident Response)コンサルタント
田中 啓介氏

こうした状況で、企業はサイバー攻撃に対してどんなポイントを押さえるべきか。田中氏は「インシデントが発生した場合を想定して、例えば、各種ログの保存期間の確認、バックアップ取得計画の見直しや復旧手順の確認、構成図の最新化などを行っておく等、万全の準備をしておくことが理想です」と話す。仮にデータセンターが被害を受ければシステムが機能不全に陥り、事業停止に追い込まれるリスクも考えられるからだ。ある意味、震災・災害に向けたBCP(事業継続計画)と同列だが、現状を鑑みると震災や災害よりもサイバー攻撃に襲われる確率のほうが高いともいえる。

「被害に遭わなければ当事者意識が生まれないのは当然かもしれません。トレンドマイクロではこれまでの経験に基づいて、実際にインシデントが発生した場合にどのような事業への影響が起こることになるのかを、ファクトベースでお客様にお話しすることで対策の必要性をお伝えしています」(田中氏)。また、JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)などからもインシデント被害損害額に関する調査レポート(※)などが出ているように、インシデント発生時の損害額の大きさから考えると、事前の対策が結局は費用の圧縮と時間の短縮につながるといえる。

※出典:JNSAインシデント調査レポート(https://www.jnsa.org/result/incidentdamage/data/2024-1.pdf)

ただひとつ。大切なのは、顧客に寄り添い、
復旧後まで含めてお客様にとっての最善策は何かを考える「共感力」

では実際に、セキュリティ事故が発生した際にはどう対処するのがベストな方策だといえるのだろうか――。「まずは証拠を保全すること。そのうえで、できれば専門家に今後の対処方法などについて相談することをお勧めしています」(田中氏)。

田中氏は、顧客にセキュリティ事故が発生した際に、インシデントの原因究明から事後対応まで、顧客の事故対応を迅速に支援・サポートする「Trend Service One for Incident Response(インシデント対応サービス)」の責任者を務める。

「初めて経験するインシデント対応に戸惑い、何から着手すればよいのか、どうしていけば良いのか整理出来ていないケースが多いように感じています。何が起きているのか、原因は何なのか、復旧のゴーサインを出すべき判断基準をどう考えるか、復旧して大丈夫なのか――。これら混沌としている状況をお客様担当者だけで進めていくのは難しいため、私たちのような専門ベンダにまずはご相談いただければと思っています」(田中氏)

田中氏はさらに続けて指摘する。「まず、様々な情報から感染状況を調査して全体を可視化することが重要です。私たちコンサルタントは、そのうえで被害状況に応じて迅速な復旧支援と対応報告を行なっていくわけですが、過去の経験なども踏まえて、例えば『このケースであれば、この程度の監視期間を経て復旧していくのがよいだろう』といった具体的なアドバイスを行うようにしています」。

何が顧客にとって最適なプロセス・支援なのかを常に念頭に置き、顧客としっかり会話を行い、顧客が安心して対応を進めていくことができるようサポートする。この、顧客との向き合う「共感力」を、田中氏は最も大切にしているという。

「技術的な観点のみを解決すればよい、ということではないと考えています。『目の前のインシデントを解決する』という短絡的な対応ではなく、事後同じことが起きないように中長期の対策も検討していくことが大切です」(田中氏)

そのため、顧客に寄り添いながらも、時には顧客にとっては工数を要する対応依頼を行うケースもあるという。

「あるお客様が侵入によってパスワード変更を余儀なくされたことがあります。攻撃者に悪用されたアカウントのパスワードを埋め込んだシステムが各所に散りばめられていたため、当初は当該アカウントのパスワード変更を回避したいと話されていました。ですが、もし攻撃者が不正にパスワードを入手していたら、やはり変更せざるを得ません。その際は『作業の手間は相当かかるかと思いますが、復旧までに悪用されたパスワードの変更を行うことは必須だと考えます』と正直にお伝えしました。根本問題を解決せずに対処したまま、結果再発してしまうのが最悪のケースですから。なによりも重要なのは、お客様がいかに早く、かつ安心して日常業務に戻れるかということです。そのため双方で最善策を探りながら、合意を取って進めていくことが肝要だと考えています」(田中氏)

こうした対応の積み重ねにより、新たな攻撃手法の情報などが蓄積される。ここから得た知見を脅威の検知ルールやパターンファイルなどの形で製品に反映できることは、トレンドマイクロの強みと言えるだろう。トレンドマイクロ製品を使われている顧客全体のセキュリティ強化にもつながっている。

田中氏の話にも通じるが、トレンドマイクロから感じるのは真の「カスタマー・ファースト」の精神だ。その表れが、製品のみならず、顧客が安心してビジネスを推進できるよう、顧客のセキュリティ・ライフサイクル全般にわたり、様々な支援やサービスを提供している点だろう。例えば、インシデント対応サービスだけではなく、セキュリティの専門家が24時間365日で顧客環境を監視し、脅威の兆候を検知した場合、対処のアドバイスなども含めて顧客へ報告する「検知・対応マネージドサービス(MXDRサービス)」なども提供している。

AIによる攻撃の巧妙化、アタックサーフェスの拡大。
AIによるサイバーセキュリティの進化。
「AIxセキュリティ」が描く未来は

サイバー犯罪者は常に最新のテクノロジーを悪用して攻撃の高度化、複雑化を試みている。急速に進化するAI技術により、ますます攻撃は巧妙になる。一方で、企業のデジタル環境においてはAI技術の利用が進むことで、新たなアタックサーフェス(攻撃対象領域)が広がっていく。顧客がセキュリティインシデントに遭遇する可能性はさらに高まっていくかもしれない。

このような環境下で、持続可能で復元力を備えたデジタル組織を構築していくために、企業はどのような対策を講じていくべきなのか。

その解の一つとして注目されているのがあらゆるビジネスで活用が進むAIである。人材不足の対応や迅速な攻撃元の把握などすでにサイバーセキュリティ対策でもAIの役割が期待されている。ではAIの進化によりサイバーセキュリティはどのように進化していくのだろうか――。

トレンドマイクロは、この問いに応えるべく、「“AI x セキュリティ”が進む先」をテーマにしたカンファレンス「2024 Risk to Resilience World Tour Japan」をこの夏に開催する。AIとセキュリティでどのような未来が描きだされるのか、組織はどのような戦略をとるべきか――。業界の第一人者や有識者が熱く議論を交わす予定だ。本記事に登壇した田中氏も、「インシデントからの復旧宣言の条件」を焦点にセッションを展開する他、セキュリティのAI研究を行うエキスパートなどが登壇する。

本カンファレンスはAI時代のサイバーセキュリティを考えるうえで多くのヒントが得られる機会となるのではないか。

「カスタマー・ファースト」を貫き、セキュリティへの先進の技術と「人」の両面から顧客のセキュリティ・ライフサイクル全般をサポートするトレンドマイクロ。AI時代を生き抜く企業組織にとって、信頼できるパートナーとしてこれからも期待が持てそうだ。

トレンドマイクロ「Trend Service One for Incident Response(インシデント対応サービス)」

詳しくはこちら

トレンドマイクロカンファレンス2024 Risk to Resilience World Tour Japan “AI x セキュリティ”が進む先

東京開催(7月23日)へのお申し込み 大阪開催(8月1日)へのお申し込み