直近のサイバー脅威に対する理解獲得と「企業」を守るための努力方法

名和 利男 氏
特別講演
【講演者】
株式会社サイバーディフェンス研究所
専務理事/上級分析官
名和 利男 氏

はじめに

今回は、みなさまの会社・組織で構築すべき防衛戦略の参考になる情報を提供できればと考えている。これまで、私はサイバーディフェンス研究所の上級分析官として、サイバー攻撃主体者の追求や彼らの活動を困難にする努力等を行ってきた。これらの活動で得た知見をもとに、日本の企業が現在置かれている情報を客観的な形でお伝えできれば幸いだ。

脅威アクターにおける攻撃戦略の高度化

まず、みなさまにお伝えしたいのが、脅威アクターにおける攻撃戦略の高度化である。我々の防衛戦略の立案に相反するように、攻撃者たちの戦略は日々進展している。攻撃の手口としては、USBデバイスやメール、Web経由でのマルウェア感染、アップデートサーバーやアプリサーバーを利用した攻撃、正規サービス・OSを使った攻撃など、私たちの身近なものを利用している。最近では、悪意のあるアプリを利用した認証情報の盗み取りや偽Wi-Fiへの誘導といった巧妙な手口も目立つ。敵対する国家による影響工作を受けた内部関係者がITの不正利用を引き起す例もある。また、近年深刻な問題になっているのが、ソフトウェア・サプライチェーンを介した侵害行為である。

現在、開発の現場では、開発を急ぐあまり出来合いのソフトウェアをベースに開発が行われることも多い。しかし、これらの出来合いのソフトウェアは必ずしもセキュアに開発されたものであるとは限らない。カフェや自宅などの不安全なネットワーク環境で開発されている場合、Wi-Fiネットワークなどを介して攻撃者が悪意のある機能を密かに組み込む可能性がある。現実問題として、マルウェアを我々のプロダクトやネットワークに侵入させるのは、想定されている以上に簡単である事実をまず知っておいてほしいと思う。

企業における防衛戦略の(相対的な)有効性低下

一方、企業における防衛戦略は相対的に低下しているように感じられる。その主な原因は、セキュリティ対策の準備不足と人的ミスだ。

日本は他の主要国と比べ、事業・社員の規模に比べるとセキュリティチームの権限や人的リソースが小さい。一部の企業は人材不足をツールや自動化を通じてカバーしようとしている。しかし、それでも過度なアラートがあがったり、想定外の事象が発生したりした場合には、少人数のセキュリティチームでは対応しきれない。現場に過剰な負荷がかかる。その結果起きるのが人的ミスだ。このミスは障害が出るまで認知されることなく、ずっとシステム内に残り続ける。そして、ある日それが暴発するというわけだ。

日本の組織では、こういったいわば自爆型の漏洩事案が比較的多い。攻撃者はセキュリティの対策の不備やフィッシングメール、デジタルフットプリント、人的ミス等を利用して内部情報を手に入れ、攻撃を行う。就職活動をしている学生向けのサイト、人材募集ページなどで無防備にさらされている社内情報も、彼らにとっては貴重な情報源だ。特に、SNS上に露出するハックティビストのような攻撃者に、標的企業の周辺情報や断片的情報から内情を読み解くことに長けた者が関与しやすい。企業側が自ら発信する情報が攻撃者に悪用されることは非常に多い。企業側としては、こうした現状を認識するべきだ。

サイバー防衛戦略のあり方と壁

こうした状況をふまえ、サイバー防衛戦略を行う必要があるわけだが、必要なことはシンプルである。現在のリソース・環境におけるリスクを把握し、それに対するそれぞれのリソースの防衛成熟度と防御失敗の可能性を箇条書きで書き出す。たったそれだけの作業で、我々のセキュリティは向上する。大規模な会社でもおよそ2週間程度で終わる作業だ。

ところが、日本の場合、そのシンプルな作業がうまくいかない傾向がある。それは日本型組織特有の性格によるものだ。日本型組織には、終身雇用制、年功序列、現場主義といった特徴があるといわれる。トップが責任をとらない、現場に実務を丸投げするという傾向も見られる。その結果、上層部がサイバーセキュリティの重要性や脅威を認識できない、幹部が状況を認識および理解できないまま現場の人間にセキュリティ対策が丸投げされる、といった現象が多発しているように感じられる。

セキュリティ対策、特に情報資産の防衛には、情報漏洩対策としての「IA(インフォメーション・アシュアランス)」に加え、ネットワークシステムを常時監視および多層的に防御するという「CND(コンピュータ・ネットワーク・ディフェンス)」という軸も必要になる。しかし、日本ではCNDは委託先に丸投げをしているようなところがあり、知識体系がほとんど整備されていないというのが実情だ。

こうした状況を招いている一因は、自分たちのシステムは自分たちで守る、という意識を強く持たない企業が多いからである。不十分な状況認識が、脅威の侵入を招く。想定した脅威に対してセキュリティを施すわけだが、攻撃は日々進展している。防衛する側が脅威の想定レベルを上げていかなければ、攻撃者による侵入を容易に許してしまうだろう。特に上層部の方には適切な状況認識を持っていただく必要がある。

脅威アクター及び企業における「力量」の乖離拡大

脅威アクター及び企業における「力量」の乖離拡大も課題だ。攻撃者は強い意図や目的を有する。攻撃者の中には不況やコロナの影響により困窮し、食いつなぐためにやむなく犯罪行為に手を染めている人さえ存在する。そうした攻撃者は勉強熱心で、常に高いモチベーションを持っている。我々が相手にしているのは、こういった攻撃者であることを忘れてはいけない。企業防衛に関わる高い目的意識を持たなければ、企業を攻撃から守ることはできないのだ。

現在、セキュリティ分野ではさまざまなすばらしいソリューションが登場しており、私としてもぜひそれらを活用してもらえればと考えている。しかし、それ以上に努力していただきたいことが、人への教育・投資だ。参加する価値の高いカンファレンス、セミナーなどが日本でも開催されているが、分析を共有するためのアナリスト・ミーティングが普及していないのは問題だ。サイバーセキュリティ・アナリストは、単独では限界がある。アナリストの能力を向上させるためにも、アナリスト・ミーティングは必須であり、今後日本でも導入が望まれる。

直近のサイバー脅威から「企業」を守るための努力方法

サイバー脅威から企業を守るためには、レジリエンスの発想が必要になる。

「倒れる壁」に例えると、自然災害への対応は、倒れた1枚の壁を元に戻すような努力で復旧が完了する。しかし、サイバー脅威はそうはいかない。倒れた1枚の壁の後ろ側に、持続的に倒そうと圧力をかけ続ける他の多数の壁が存在しているのである。サイバー脅威に対するレジリエンス体制を整備するには、まずはこうしたサイバー脅威の特性を理解しなければならない。

レジリエンスが低い場合、事態発生の前段階における「監視(状況認識)」や「インシデント対処・管理」がスカスカである。「予兆管理・警戒」、「早期検知・調査・抑制」というサイバー脅威に適したセキュリティ投資を適切に行い、レジリエンスを高めなければならない。こうした知識はすでに複数の行政機関のサイトで公開されている。

セキュリティ投資については、ベンダーが開発したすばらしいソリューションによってカバーできるところも多い。しかし、これらのソリューションはそれを使う人間の側の問題までは解決してくれない。従来の常識とセキュリティ体制では我々の組織は守れないということを、すべての組織構成員、特に上層部の方に知っていただきたい。知らなければ、甚大なるクライシスが発生することが約束されたようなものである。このような危機感を持っていただきたいと考えている。