現在も進化を続け、攻撃が巧妙化しているランサムウエア。フィッシングメールなどを起点に認証情報を盗み出す「インフォスティーラー」の活動も依然として活発だ。最近では生成AIを活用することで、中国など海外から送られてくるフィッシングメールの文面も、違和感のないものになった。そして脆弱性を狙う攻撃も後を絶たない。数多くのサイバー犯罪者が参加するダークウェブフォーラムでは、KEV^※1に掲載されていない脆弱性や攻撃手法が活発に取引されるなど、企業を脅かす状況は深刻さを増している。

企業のセキュリティーチームには、こうした脅威に迅速かつ確実に対応することが求められているが、これは決して簡単なことではない。実際、現在も多くの企業は「攻撃を受けてから対応」しているからだ。認証情報の漏洩やデータの暗号化、破壊といった金銭的な被害が後を絶たない中で、事後対応に追われているのだ。

KELA株式会社
Head of Pre Sales
川崎 真氏

このような状況に対して「サイバー攻撃の被害を最小化するにはアクティブサイバーディフェンスが必要です」と指摘するのは、KELAの川崎 真氏だ。同社は「顧客の安全な未来」の確保をミッションに掲げ、常に進化し続けるアンダーグラウンドのサイバー犯罪に関する情報を提供するとともに、その対策を支援している企業である。

「アクティブサイバーディフェンスとは、攻撃を受けてから対応するのではなく、攻撃者の行動や意図を事前に把握し、能動的に対策を講じるというアプローチです。つまり”攻撃者目線で先手を打つ”のです」（川崎氏）

そのためには、大きく2つの要件を満たす必要があるという。第1は「攻撃者の動向を知る」こと。第2は攻撃対象になり得る「自社資産の脆弱性などを可視化する」ことだ。

これは「孫子」の兵法にある「彼を知り己を知れば百戦殆（あや）うからず」という教訓と同じことだと言えるだろう。これによって攻撃を事前に無力化しておくことで、インシデントの発生を抑制できるわけだ。

「アクティブサイバーディフェンス」のイメージ

攻撃者の行動や意図を事前に把握することで、潜在的な脅威を特定し無力化することが可能になる

しかし多くの日本企業にとって、この2つを実現することは決して簡単ではない。攻撃者の動向を知るための「脅威情報」はほとんど日本語以外の言語で作成されており、日本語に翻訳されるまでに時間がかかっていたからだ。また、自社への「攻撃ポイントになり得る資産」の把握もハードルが高い。数多くの下請け企業で構成される多層型のサプライチェーンが当たり前になっている上、最近ではオンプレミスとクラウドが混在することでシステム自体が複雑化しているからである。

※1　KEV（Known Exploited Vulnerabilities catalog）：米国のCISA（Cybersecurity and Infrastructure Security Agency）が公開している、脆弱性に関するデータベースのこと

こうした問題を解決すべく、KELAが開発・提供しているのが2つのソリューションだ。

KELA社が提供する2つのソリューション

2つのソリューションを組み合わせることで、アクティブサイバーディフェンスの実現が可能になる

1つは、企業名と同じ「KELA」というソリューションだ。攻撃者が参加している「ダークネット」を常時監視し、そこから得られた知見を活用可能にする「脅威インテリジェンスプラットフォーム」である。

「KELAでは、フォーラムへの投稿や認証情報の流出など、攻撃者の動きを常に追いかけています。必要に応じてサイバー犯罪者に接触し、さらなる情報を収集することもあります。最近ではサイバー犯罪者に対する中国政府の取り締まりが厳しくなったこともあり、中国のサイバー犯罪者がロシアのTelegramに参加するケースも増えていますが、このような動きも詳細に把握しています」（川崎氏）

つまりテクノロジーやソリューションの開発だけではなく、人的な活動も行うことで、積極的に脅威情報を取得し、顧客が活用できるようにしているのである。それではなぜKELAはこのようなことができるのか。

「KELAはイスラエルで生まれた企業なので、サイバー戦争で培われた高度なノウハウを持つ数多くのリサーチャーが所属しています。また、イスラエルにはロシア語を使える人材が多く、ロシア語が多く使われているダークネットの情報を把握しやすい、という事情もあります」（川崎氏）

このようにして入手された最新の脅威情報は、CVE^※2のスコアはもちろんのこと、攻撃者目線での優先順位付けも行われた上で、利用企業に提供される。インフォスティーラーの活動や初期アクセス情報などの中から、自社に関連する情報を抽出することも可能。このような情報をいち早く知ることで、脅威へのより効果的な対策を立案することも容易になる。

※2　CVE（Common Vulnerabilities and Exposures）：共通脆弱性識別子。一般公開されている脆弱性に付けられた固有の識別子のこと

KELA株式会社
Senior Sales Engineer
堀 雅人氏

もう1つが「ULTRA RED」だ。KELAが「敵を知る」ためのソリューションであるのに対し、ULTRA REDは「己を知る」ためのソリューションだと言える。

「ULTRA REDはEASM^※3に継続的な脆弱性管理機能やBAS^※4を実装したCTEM^※5オールインワンソリューション。インターネットに接続されているお客様の情報資産を常時スキャンし、脆弱性や設定ミスをチェックします」と説明するのは、KELAでULTRA REDを担当している堀 雅人氏だ。

「最近ではクラウド化が進んだ結果、関連会社のIT資産を内部から把握することが難しくなっています。そこで、インターネット側からそれらの機器のリスク評価を行うのがEASMです。攻撃の初動は外部から来ることが一般的であるため、こうした評価を行うことで、攻撃に使われる危険性のある脆弱性を的確に把握できます」（堀氏）

また、EASMに加えてCTEMもカバーすることで、攻撃者目線での脆弱性検証と、それを継続的に改善するサイクルも実現可能。そしてサイバー戦争で培われた技術をBASで活用することで、より現実的な脆弱性評価も実現しているのだという。

※3　EASM（External Attack Surface Management）：外部に公開している情報資産の脆弱性を継続的に把握する取り組みや、そのためのソリューション

※4　BAS（Breach and Attack Simulation）：実際のサイバー攻撃手法を模倣し、企業のセキュリティー体制が正しく機能しているかを検証する手法。攻撃の脅威を事前に把握し、防御力を強化することができる

※5　CTEM（Continuous Threat Exposure Management）：組織全体のセキュリティー状態を継続的かつ包括的に監視し改善するフレームワーク

KELAのソリューションは既に、国内企業でも活用されている。その1社が、医療用検査機器メーカーのシスメックスだ。同社は国内外に複数の拠点を持つが、そのグローバルなセキュリティー体制構築の基盤として、KELAの脅威インテリジェンスとULTRA REDを採用。社内にナレッジを蓄積することで、チーム全体のスキルや成熟度が向上したと評価されている。

また、不動産開発などを行うオープンハウスもULTRA REDを導入。子会社や関連会社を含むグループ全体の攻撃対象領域（アタックサーフェス）を可視化し、それまで把握が難しかった脆弱性を迅速に検出・対応できる体制を強化している。

「ULTRA REDにはVITA AIという生成AIアシスタントも組み込まれており、発見された脆弱性の内容や修正方法に関する質問に対応していますが、オープンハウス様ではこの機能も高く評価されています」（堀氏）

もともとは政府向けのセキュリティーソリューションからスタートしたKELAだが、最近では日本国内の民間企業のニーズにもパートナーと連携しながらきめ細かく対応しているという。

これらのソリューションがあれば、攻撃者に先手を打ったアクティブサイバーディフェンスの実現も容易になるはずだ。なおKELAは2025年10月21日（火）に、日経クロステック Activeの協力のもと「Active Cyber Defense Seminar」を開催予定だ。パーソルキャリアによる事例講演も予定されている。興味のある方はこのセミナーに参加してみるとよいだろう。