サイバーインテリジェンス セキュリティマネジメント Summit
2025 Winter
ラピッドセブン・ジャパン

もう過去の常識は通用しない!
「残念なセキュリティー対策」を回避せよ

企業・組織が信頼を獲得する上で、セキュリティー対策が不可欠なものとなっている。そんな中、「うちは対策を打っているから大丈夫」と考えていると、思わぬリスクに足元をすくわれることになる。ビジネスを取り巻くリスクは刻々と変化しており、従来の当たり前は通用しなくなっているからだ。必要なのは過去の常識を捨て、時代に即したセキュリティー運用を考えることである。ラピッドセブンはそのための方法を提案している。

  • サイバー攻撃は
  • 「想定外」のところを突いてくる

TOPへ
ラピッドセブン・ジャパン株式会社 最高技術責任者、CISSP、CISA 古川 勝也氏
ラピッドセブン・ジャパン株式会社
最高技術責任者、CISSP、CISA
古川 勝也
 高まるサイバーリスクが企業の経営課題となっている。従来は効果的といわれていた対策や、これまでの常識が通用しない攻撃手法、インシデントが現在は数多く発生。時々刻々と変化する状況に対応することが、非常に難しい時代となっている。

 「もちろん、昔と比べれば対策ソフトの性能や防御のレベルは格段に向上しているため、対策を施した箇所を正面突破されることは少ないと思います。にも関わらず侵害が多発しているのは、脅威は『想定外』のところを突いてくるからです」とラピッドセブン・ジャパンの古川 勝也氏は指摘する。見えていないものは守ることができない。多くの企業が被害に遭っているランサムウエアも、最初のきっかけの多くは想定外のところで発生しているという。

 セキュリティー侵害の原因となる想定外には、大きく次の3種類がある。

 1つ目は「想定の範囲やレベルが間違っている」ことだ。想定するリスクの内容がアップデートされておらず古いままであり、現在は妥当といえなくなっているケースなどがこれに当たる。「セキュリティーインシデントの発生要因のうち、これが最も多くを占めていると当社は考えています」と古川氏は言う。

 2つ目は「実施した対策が想定通りに機能していない」ことだ。監視や対策の範囲は正しく定めているものの、ソリューションがインストールされていない機器の存在、パッチの適用漏れ、設定や運用の人為的ミスなどによって適切に機能できていないケースである。これはコントロール可能なリスクのため、抜け・漏れのない対応で抑えることが重要になる。

 そして3つ目が「想定を超えた手法による侵害」である。企業・組織の側は、社会的に果たすべきセキュリティー対策を実施していても、そのレベルを明らかに超えた攻撃によって被害に遭うケースがこれに当たる。これは事実上、防ぎようがない侵害とみなされる。

 「想定外をつぶすためには、セキュリティー対策の常識といわれてきた“樽の理論”を再考することが必要です」と古川氏。樽に水を入れる場合、水は樽板の最も低い部分までしか溜めることができない。樽の理論は、これをセキュリティー対策に当てはめたもので、「最も対策の手薄な部分がその組織のセキュリティーレベルを規定する」という考え方のことだ。

 「最近のセキュリティーソリューションは高性能なので、樽板の高さは十分です。一方、多くのインシデントが樽板の“継ぎ目”で発生しています。現在はこの継ぎ目から水が漏れるという視点でのセキュリティーが求められているのです」と古川氏は強調する。

  • ASMの概念を広げる

 そこで継ぎ目を可視化する際に、多くの人が頭に浮かべるのはASM(Attack Surface Management)かもしれない。ASMは、外部からの攻撃対象範囲を可視化して把握するのはもちろんのこと、加えて保有するIT資産やそれらの脆弱性、組織や人も含めて可視化する。その上で、実施している個々のセキュリティー対策が「連携できているかどうか」をチェックする。これにより、インシデントの発生原因になる継ぎ目を埋めることが肝心だという。

 「ASMの実施に当たっては『可視化』『対処』『検証』のサイクルを回すことが重要です。外部だけでなく、内部のシステムや開発環境、付随するIT資産を含めた全てを棚卸しして状況を可視化します。その上で、脆弱性を発見したら、脅威インテリジェンスによる適切な優先順位付けに基づいてパッチ適用や設定変更を行います。そして、その対処がうまく実施できたかどうかを検証し、評価するのです」(古川氏)

 なお、日本国内においてASMソリューションをうたう製品などが多々存在するが、ASMという用語はそれぞれでやや異なる意味で用いられることが多いという。正しい対策を実行するためには、用語を正しく理解することが不可欠と古川氏は指摘する。その上で、ラピッドセブンが提唱するような可視化、対処、検証のサイクルを高速に回すことができる統合基盤が必要になっている。

  • 事前・事後の対応を一元的に行える
  • 統合プラットフォームを提供

 ラピッドセブンは、多彩なソリューションポートフォリオを有している(図1)。
図1 ラピッドセブンのソリューションポートフォリオ 図1ラピッドセブンのソリューションポートフォリオ 事前対応の領域(エクスポージャー管理)、事後対応の領域(検知・対応)を横断する多彩なソリューションスタックを有している
 具体的には、大きく「エクスポージャー管理」と「検知・対応」の2つに分けられる。まずエクスポージャー管理は、脆弱性管理やアプリケーションセキュリティー、クラウドセキュリティーなどの「事前対応(リスク管理)」を行うものだ。ASMはこの領域に含まれ、外部/内部の資産、アイデンティティーも含んだ攻撃対象領域をカバーする。

 もう1つの検知・対応は、SIEMやXDR、脅威インテリジェンスなど、有事の「事後対応」を担うものである。また、この両方を統合して提供するのが「Rapid7 Command Platform」(図2)だ。これにより、継ぎ目をもカバーするセキュリティー運用を強力にサポートするという。
図2 Rapid7 Command Platform 図2Rapid7 Command Platform 多様なセキュリティー製品から収集したデータ、インテリジェンスを基に、事前対応と事後対応を一元的に管理・運用できる。両方を単一のプラットフォームで提供、その上からマネージドサービスも提供している点が独自の強みだ
 「事前対応では、ネイティブのスキャナで収集した情報のほか、外部のSaaS/クラウドサービスやサプライチェーン企業のシステム、IoT/OTシステムなどからも情報を収集し、あらゆるIT資産を可視化します。外部・内部すべてを網羅し、インテリジェンス情報も収集して活用します」と古川氏は紹介する。

 事後対応については、検知はSOCサービス、対応はインシデント対応リテーナーサービスをそれぞれ利用している企業が多いだろう。だが、その状態ではどうしても対策にタイムラグや連携の間が発生してしまう。ラピッドセブンはマネージドXDRも提供しており、Rapid7 Command Platformによって、検知・対応を一体で実行することが可能となり、シームレスに有事の初動対応を高速化できる。「インシデント対応の開始時に必要なデータがあらかじめプラットフォーム上にそろっているため、精度の高い意思決定も実現できるようになります」と古川氏は付け加える。

 攻撃者もAIを活用する時代、サイバー攻撃の手法やスピードはどんどん高度化している。このようなプラットフォームでシームレスな運用を行い、運用のスピードでも攻撃者を上回ることができれば、「想定」を超えた手法による侵害においてもビジネスインパクトを最小化することができ、企業のリスクコントロールは従来に比べてはるかに緻密化できるはずだ。

 変化し続ける環境、迅速化する攻撃に対処する上で、ラピッドセブンの提案は重要な示唆をもたらしてくれるものといえる。これまでの常識にとらわれて、「残念なセキュリティー対策」に陥っていないだろうか。今一度、自社の状況を見つめ直してみてほしい。
関連リンク
お問い合わせ
ラピッドセブン・ジャパン株式会社 URL:https://www.rapid7.com/ja/contact/
PAGETOP