サイバーセキュリティが企業に必須の時代に。
常識はどう変わる?
止まることを知らぬ、サイバー攻撃──。
近年では、規模を問わず企業や組織への不正アクセスを行い、身代金を要求する種類の攻撃=ランサムウェアが増え続けている。
一方で大事だとは思いつつ、予算面や日々の忙しさから後回しにされがちなサイバーセキュリティ対策。
いざ検討しようにも、難しい概念や横文字のオンパレードでよく分からないまま、結局疎かにしてしまう経営者や担当者も多いだろう。
だが対策をしなければ、ニュース報道も明日は我が身。
そこで本記事では、トレンドマイクロ株式会社ビジネスマーケティング本部シニアプロダクトマーケティングマネージャーの釜池聡太氏に、サイバーセキュリティ対策の基本や最新動向について、素人の編集者がわかるまで聞いてみた。
様々な定義がありますが、簡潔に言えば、企業の重要な機密情報を、マルウェアやコンピュータウイルスなどから守ることだと私たちは考えています。
一つ気を付けなければならないのは、決められたルールやポリシーに沿ってセキュリティ運用をしていても、攻撃者はそのルールの隙を突いてくる可能性があるということです。
そのため対策には、攻撃者の心理や目的などに注目することが必要なので、サイバーセキュリティの専門家の知見が重要というわけです。
確かに、一般の方からすれば、サイバーセキュリティの分野は難しい言葉がたくさん出てきたり、とっつきにくい印象があったりしますよね。
私たちは、30年以上にわたり、セキュリティ業界を見ていますが、サイバー脅威と守りの永遠のいたちごっこはまさに今この瞬間も続いています。セキュリティ技術が日進月歩で新しくなっていると同時に、脅威も日々より巧妙化しています。
そのスピードが早すぎるがゆえに、新しい専門用語や概念が出てきてしまうんです。
あとは、日常生活とはあまりにかけ離れた世界なので、「本当にそんなことがあるの?」と、リアリティを感じることが難しいのかもしれませんね。
よくある議論ですが、私たちは、事前のセキュリティ対策は投資であると考えています。なぜなら、事後対応だけでは、ビジネスに致命的な影響を与える可能性が高いからです。
昨今では、いつ・どこで・誰から企業の情報が狙われるのか、全く予測ができません。事前に準備しておくことは、犯罪が多発する地域で家にカギをかけておくのと同じくらい重要なことなのです。セキュリティが甘かったせいでビジネスが止まってしまった事例も多くあるんですよ。
そのため、今では、経営とセキュリティは切っても切れないものになっていると思いますね。
確かに、今起きていない事象に対してお金をかけることは、コストだと捉えられる気持ちも分かります。ただ、コストと捉えて費用削減にフォーカスしすぎてしまうと、結果的に狙われやすくなるだけでなく、被害にあった際の費用や労力も追加で必要になってきます。
経営に影響を与えるリスクが高まるという意味で、やはり前向きに「投資」と捉えるべきでしょう。
よく耳にするマルウェアとは、簡単に言えば、悪意のあるソフトウェアの総称です。
近年、その中でも特に増えているのが、「ランサムウェア」です。ランサムウェアは、企業の重要なデータを盗み出し、暗号化します。そして、それを復元するための必要なカギを渡す代わりに身代金を払え、と脅すサイバー攻撃です。
以前はいたずら目的のものも多かったですが、最近では明確に企業や組織がターゲットとして狙われています。また、一種のダークサイドのビジネスとして成立してしまっているんです。
犯罪を計画する人と実行する人が分かれており、アフィリエイト化して、オレオレ詐欺の受け子のように犯罪に加担してしまうケースも増えていますね。
家の出入り口がいくつも増えた
そのEDRについてもう少し分かりやすく教えてください。このシステムを入れると、侵入者の正体を特定できるようになるんですか。
釜池企業が守るべき範囲が、拡大し続けている点が大きいでしょう。
デジタルトランスフォーメーション(DX)や働き方改革の流れが、コロナ禍により加速しました。その結果、リモートワークが増え、ハイブリッドな環境で仕事ができるようになりましたよね。
もちろん、いい面もありますが、クラウドサービスの利用が増えたことで、企業のデータが外部に頻繁に出るようになりました。建物のセキュリティにたとえるならば、家の出入り口がいくつも増えてしまったのです。
また、企業間のデータのやりとりが増えたことで、サプライチェーンリスクも増大しつつあります。攻撃対象領域が広がったことで、守るのがより難しくなっている、という事情もありますね。
なるほど。具体的なリモートワーク下での攻撃事例はありますか。
自宅やカフェのネットワークセキュリティの問題だけでなく、VPN(インターネット上に仮想の専用線を設け、通信の安全性を確保する仕組み)機器のぜい弱性を狙うケースがここ2、3年で頻発しています。
VPNは何となく安全なイメージがありますが、ちゃんとメンテナンスされていなかったり、パッチを当てず弱い部分が残ったままで使い続けていると、穴を突かれます。
従来のランサムウェアは、無差別にウイルスを撒き散らす、いわゆる「ばら撒き型」でした。しかし最近では、明確にターゲットを定め、VPN機器のぜい弱性やメールの添付ファイルなどから内部に侵入し、様々な攻撃手法を駆使しながら対話的に侵害範囲を広げていく「ヒューマンオペレイテッド(人手による)ランサムウェア」が勢力を拡大しています。
まさに、メールでのやり取りのような、対話方式で攻撃を仕掛けてくるため、より高度化しつつあるんです。
そもそもなぜ、サイバー攻撃を完全に防ぐことが難しいのでしょうか。
明確なパーセンテージは難しいのですが、実は、起こるサイバー攻撃の9割程度は既存の技術で防げるものなんですね。なので、実際にそれでブロックされているケースが大半と言えば大半。それでもどうしてもすり抜けてしまう事例が、世間を賑わしていると考えていただければと。
ただ、冒頭で触れたように、私たちも悔しいですが、攻撃と防御のいたちごっこはこれからも永遠に続いていくでしょう。
加えて私たちの身の回りのソフトウェアは日々、複雑性を増しています。例えば、iPhoneも頻繁にアップデートが繰り返されますよね。ひと昔前のバージョンのままなら、当然危険な状態です。一方で、全ての企業が常にソフトを最新の状態にもっていくのは難しい。そのため、どうしても一定数は攻撃が成功してしまう部分はあります。
私たちの防御テクノロジーに加えて、お客さま環境を万全に保つことが理想ですが、実際のところは100%にはなかなかならないのが実情です。
PCの監視カメラ役 = EDR
つまり、昨今ではPCの戸締りだけでなく、事後対処にも重点が置かれるようになってきている、ということでしょうか。
はい。その通りです。
よく病気にたとえることがありますが、ウイルス対策ソフトは予防接種のようなものです。それでも病気になってしまえば、病院に行って原因を特定して薬をもらいますよね。
コンピュータがウイルスに感染した時も同じで、この事後対処の部分で今、「EDR(Endpoint Detection and Response)」と呼ばれる技術・ツールの重要性が高まってきているんです。
仮に事後対処をしなかった場合、どれくらいの被害が出ますか。
警察庁が公表しているデータでは、ランサムウェアの被害に遭って、復旧にかかる費用は1000万円を超えるというケースが4割以上を占めています。また、復旧するまでに1ヶ月以上かかるケースも珍しくありません。
このように経営やビジネスへの影響はクリティカルなので、どれだけ早く脅威の侵入を見つけて復旧まで持っていくか、という点がキモになるわけです。
また事後の調査で脅威侵入の原因を突き止めることができれば、その部分を塞ぐことで、さらに強い予防ができるようになるんです。
そのEDRについてもう少し分かりやすく教えてください。このシステムを入れると、侵入者の正体を特定できるようになるんですか。
はい。別の考え方をしましょう。
お店でも家でも監視カメラってありますよね。普段は、レコーディングして記録しているだけです。何も無かったら見ないと思います。何か事件や事故が起きたときに、それがどのような状況だったのかを知るために記録を見ます。
それと同じように、各自のPCでレコーディングを行います。普段は何も見ませんが、インシデントや怪しい動きがあった際に、アクティビティデータ(活動の記録)を繋げて、時系列で何が起きたのかを特定できるようになります。
よくあるケースとして、メールの添付ファイルを開いたのちに、怪しいサイトにアクセスした履歴や個人情報が入ったエクセルが送信された記録などの被害状況が、詳しく見られるなどの機能があります。
どこに穴があるのか、何が原因なのかが分かれば、具体的な対策や社員教育などに繋げられますよね。そのために役立つツールが、EDRなんです。
玄関だけでは危険。家全体の監視が急務
なるほど。では、もし監視カメラの付いている玄関ではなく、無防備な裏口から侵入されたら、どうなるのでしょうか。
まさにそこが直近の業界課題であり、EDRの盲点でもあります。
EDRの特徴は、原因を特定できることです。しかし、感染源や入り口が分かったとしても、同時多発的に攻撃された場合、その先の動きがエンドポイントだけでは状況を拾いきれない、という運用面での問題が起きてくるんです。
よくセキュリティ製品でも、PC向け、サーバー向け、電子メール向けといった具合に縦割りで提供されることも多いのですが、攻撃者はそんなことはお構いなしで縦横無尽に攻撃してきます。そのため、活動記録をより詳細に追える全方位のセンサーの需要が今、高まってきています。
これをEDRから派生して、「XDR(Extended Detection and Response:拡張版の検知と対応)」と呼んだりしますが、玄関だけでなく階段にもガレージにも、裏庭にも監視カメラを一挙に付けることができるイメージに近いですね。
そんなにたくさん監視できても、把握するのが大変ですよね……?トレンドマイクロとしてはその課題についてどう考えていますか。
見える化+緊急度の高いタスクの、優先順位を付けることが重要だと考えています。
EDRは確かにピンポイントで問題の箇所をアラートで知らせてくれるので、便利なものです。一方で、監視カメラで撮った映像をつなぎ合わせて初めて問題の全体像が把握できるため、どうしても工数がかかる。しかも、アラートが増えれば増えるほど、どこから手を付けていいのか、現場の経験がなければ分からなくなってしまうと思います。
また、アラートが発生している箇所を見に行ったら何でもなかった、といった誤検知もよくある話です。
XDRはアラートを一括で見られる点が特徴ですが、その上で、できるだけ危険かつ重要な項目に優先順位を付けて絞ってくれる、という機能が重要ですね。
EDRやXDRを選ぶ際のポイントはありますか。
そうですね。まず、EDR選定においては、社内で運用ができそうかという点が一つ。あとは、既存のアンチウイルスソフト製品とうまく組み合わせることで、アラートの数を大きく減らすことも可能ですので、既存製品の有効活用もポイントです。
なので、いきなりEDRを導入するのではなく、まずは少ない台数で運用・検証してみて、もし良ければ組織に本格導入、といったケースはよくありますね。
小さく始めて、大きく育てる
セキュリティとは運用なんですね。情報システム部門や担当者がコストを使うとなると、経営者の理解が必須です。まず何を知っておくべきですか。
もちろん、実際に被害に遭った場合の費用や、復旧までのコストを認識しておくことも大事ですが、ソフトウェアのぜい弱性等、社内のリスクを一元的に確認・対処できるようにしておくべきでしょう。
例えば、社員各自に割り振られたアカウントで、あるタイミングで東京からログインしたとします。その1時間後に同IDでパリからログインが行われました、という場合、IDが盗まれている可能性が高いですよね。そういった不審な動きやサイトへのアクセスがすぐに検知できれば、組織全体のリスクも低減できます。
経営層は、詳しい技術まで理解する必要はありませんが、ぜい弱性の種類やセキュリティ体制の運用計画にコミットするなど、常に進化する脅威に対してある程度のリテラシーは、今後必須になってくると思いますね。
企業がより攻撃に対して強い組織になっていくために、どのような心構えが必要ですか。
これまで述べてきた、次の3つの要素を最初に覚えておけば、攻撃に対して強い組織をつくることができると思います。
EDR・XDRのプラットフォームは様々な種類がありますが、私たちのTrend Micro Vision Oneというセキュリティプラットフォーム上では、EDR・XDR機能はもちろん、ぜい弱性の管理やゼロトラストも実現可能なので、ぜひお気軽にお問い合わせいただきたいですね。
セキュリティの基本は、小さく始めて、大きく育てる、です。
これからも私たちは、日本企業のセキュリティリテラシーを向上させ、サイバー攻撃の被害を減らすための活動を行っていきます。
執筆・編集:花岡郁
撮影:吉田和生
デザイン:久須美はるな
NewsPicks Brand Designにて取材・掲載されたものを当社で許諾を得て公開しております。
2022-12-12 NewsPicks Brand Design
