Special
» 2019年08月05日 10時00分 公開

「企業を狙うサイバー攻撃に国境はない」:精鋭ホワイトハッカー1000人の力を世界から結集 日本企業を強くするペネトレーションテストとは

IoTや自動運転など、ビジネスにおけるデータの活用価値の向上と同時に危険性を増しているのがサイバーセキュリティだ。優良顧客の獲得を目的に、信頼性の強化と脆弱性検査に取り組む企業が増えている。ただし、その多くは特定のセキュリティツールやシナリオに依存した各社独自の内容で、本当の意味で攻撃者の視点に立った防御や、顧客が安心できるレベルの対策に至っていない。国内でも政府調達におけるガイドライン対応の義務付けが始まった今、この課題をクラウドソーシングで解決するサービスが日本にあることをご存じだろうか。

[PR/ITmedia]
PR

 国内市場が成熟期を迎えた今、さらなる成長を望む多くの企業はグローバル展開を図るだろう。そこで問われるのが、自社の競争力や価値だけでなく「十分なセキュリティ対策を実施しているか」「データ活用の際、プライバシーにも配慮しているか」といったビジネスに必要な規範対応だ。

 これまでの日本のセキュリティ対策は、内容やレベルが各企業や組織に委ねられてきた。しかし、金融機関や防衛分野の入札から始まったガイドライン適用が、今後は医療や自動運転など、幅広い分野に拡大する可能性が高い。2020年にさまざまな国際的なイベントを控える今、国内の企業や組織がサイバー攻撃の標的となるリスクが高まり、グローバル展開の有無に関わらず、攻撃者視点による世界水準の対策が求められている。

(注)国際的なイベントにおける攻撃例:2012年のロンドンオリンピックでは、公式Webサイトに多数のサイバー攻撃が報告された。

 この脅威への対応は「ISMS」や「ISO27001」といった認証取得で解決する話ではない。限られたリソースで自社の情報資産を守るためには、対策ポイントを絞った実効性の高いセキュリティ対策が必須になる。また、プライバシー保護にも注意が必要だ。

 EUの「一般データ保護規則(GDPR)」は、「情報漏えいが発生した組織が、72時間以内に対応して当局に報告する義務」を定める。本社が日本にあっても、EU市民の個人データを扱っていれば原則としてGDPRの対象となる。情報漏えいが起き、この義務に違反した場合、信用の失墜はもちろん、高額な制裁金によって企業全体の経営が揺らぐリスクに直面する。

 こうした背景から、グローバル市場では、企業としての信頼性確保こそビジネス展開に不可欠な要素として認識されている。そのため、セキュリティを企業ブランドの中核に据えるCISO(Chief Information Security Officer)の役割が重要視され、セキュリティ対策は費用から戦略投資の一部と捉えられるようになった。

 米国のセキュリティ企業Synackで、Chief Revenue Officerを務めるジム・ハイマン氏は、同社のサービスを日本で提供するデジタルハーツで行われたインタビューで、「10年前ならばCISOには予算も与えられず、経営会議に呼ばれることもなかった。だが今は権限を与えられるようになった。セキュリティは、もはや経営課題の1つだからだ」と話した。

「脆弱性検査」「ペネトレーションテスト(ペンテスト)」が抱える課題とは

Synackのジム・ハイマン氏

 サイバー空間では、日々悪意のある攻撃が横行しているのは周知の通りだ。特に目立つのが、情報漏えいを引き起こそうとする攻撃だ。過去に大規模な被害を出した事例としては、大手スーパーマーケットのTargetや、高級ホテルチェーンのMarriot Internationalなどが標的にされた事件が記憶に新しい。

 その多くは、Webアプリケーションの脆弱(ぜいじゃく)性を突く方法で行われている。ひとたび発生すれば、顧客の個人情報やパスワード、クレジットカード情報などが流出し、企業にとっては被害に遭った一部の事業だけでなく、会社全体にとって大きなダメージになる。特定の組織や情報を狙ってあらゆる攻撃を仕掛ける「標的型攻撃」による情報流出も後を絶たない。

 こうした被害を防ぐためには、サプライチェーン全体にわたる対策が重要だ。例え本社がどれほどの対策を実施していても、事業部や子会社、あるいは関係会社が構築したサイトの脆弱性を突かれて同様の事故が起これば、その責任は免れない。インターネット上のつながりが多様なビジネスを生む昨今、この問題は製造業だけにとどまらない。

 今求められるのは、顧客や取引先に迷惑を掛ける前に、脆弱性や攻撃にさらされそうな領域を把握し、攻撃者に先んじて対策する、積極的な取り組みだ。

 最近、一部の企業が、Web関連の自社システムにどんな問題があるかを第三者の目でチェックする「脆弱性検査」や「ペネトレーションテスト(ペンテスト)」を実施しはじめた。ペンテストは、攻撃者の視点で実際に疑似攻撃を仕掛ける「レッドチーム」を用意し、侵入される可能性がある部分を見つけることで、企業が発見された脆弱性に応じ、具体的な修復作業や対応策を実行できる。

 ハイマン氏は「既存の脆弱性検査はどちらかといえば受け身で、対策が後手に回ることが多い。しかし、より多くのデータを扱うこれからのビジネスには、もっとプロアクティブな検査と対策が必要だ」と語る。

 一般的なペンテストは、どのような攻撃を受けるかという仮説に基づいた、いわゆるシナリオベースで実施される。この方法による検査では、内容は想定可能な脅威となり、検査期間や対象範囲も限定的となる。なぜなら、人月ベースの工数による料金体系が多く、依頼する企業の予算には限りがあるため、網羅的な検査が困難だという課題が残る。

世界トップレベルのハッカー1000人以上が在籍するSynack Red Team

 Synackの「クラウドソースペネトレーションテストサービス(CPT:Crowdsourced Penetration Testing)」は、テストシナリオを用意せず攻撃者の視点で問題を探り、既存の脆弱性検査が抱える課題を解決するペンテストが主役の脆弱性検査サービスだ。ハイマン氏はSynackのサービスを「ペンテストの世界に破壊的創造(ディスラプション)をもたらす」と表現する。

 Synackのペンテストは、約60カ国で活動する1000人以上のホワイトハッカーで編成する「Synack Red Team(SRT)」を使う。1回の検査に複数地域から検査員として60〜80人のホワイトハッカーが参加し、24時間体制で7日間、あらゆる手法を使って対象になったアプリケーションやWebサイトの脆弱性を検査する。従来型の数人で行うペンテストとは、明らかにスケールが異なるサービスだ。

 同社のペンテストは、報告された問題に再現性があり、確かに脆弱性であると判定(Verify)されたら、クライアントに問題を報告し、指摘したホワイトハッカーに報酬を支払う「バグバウンティ(注)」方式で実施される。脆弱性検査の様子は、見つかった脆弱性の数や種類、深刻度などの情報と一緒に、顧客専用のダッシュボードでリアルタイムに共有される。

(注)バグバウンティ:報奨金制度を利用したホワイトハッカーによる脆弱性発見プログラム

SynackによるCPTのフロー(画像出典:デジタルハーツ)

 「深刻な脆弱性には多額の報奨金が支払われるし、同じ脆弱性であれば早く報告した人物にのみ報奨金が支払われる」(ハイマン氏)。優れたホワイトハッカーが競い合ってスキルを向上し、深刻な問題を迅速に見つけ出すユニークな仕組みを採用している。

合格率8%以下、信頼できるホワイトハッカーを厳選

 競争が激化する社会で、企業は新たなサービスやアプリケーションをよどみなく生み出すことを求められる。これは同時に、セキュリティ検査の対象となるシステムが頻繁に増えることを意味する。しかしその一方で、適切なスキルを持ったセキュリティ人材は不足している。ハイマン氏は「これは日本だけでなく、グローバルで見ても非常に深刻な問題だ」と述べる。

 GoogleやAmazonといった大手Webサービス企業は、社内チームによるセキュリティ検査だけでなく、全世界のセキュリティ検査員から脆弱性報告を受け付けるバグバウンティを実施している。だが脆弱性を報告する社外の検査員が、どのような人物かを知ることはない。高度なスキルや知識を備え、かつ信頼できるホワイトハッカーをどうすれば確保できるのか。

 Synackは、全世界のセキュリティ業界で活躍する優秀なホワイトハッカーを常にスカウトする。検査員候補になった彼らを待ち受けるのは、「本当にSynackで検査を行えるかどうか」を判定する厳しい審査だ。

 「技術的なスキルのチェックはもちろん、二重、三重の身元や経歴などのバックグラウンドチェックを実施する。パスポートや社会保障番号の提示を義務付け、FacebookやTwitterといったソーシャルメディア上の言動もチェックする」(ハイマン氏)

 Synack Red Teamのメンバーになれるのは、合格率8%以下という厳格な審査を通過したホワイトハッカーのみだ。この点も、登録制で誰でも参加できる一般のバグバウンティと、連邦政府の検査を任されるSynackの違いだという。

Synackによるホワイトハッカーの審査プロセスの概要(画像出典:デジタルハーツ)

 Synack自体、米国の政府機関でサイバーセキュリティに携わってきた人物が立ち上げた企業だ。米国国防総省が2016年に実施したバグバウンティプログラム「Hack The Pentagon」に参加し、2018年の中間選挙では、有権者登録システムや選挙Webサイトなどのセキュリティ検査を行う「Secure the Election」を展開した。また、“第5の戦場(サイバー空間)”で脅威に対抗するセキュリティ人材の育成など、さまざまな活動を通じて提供サービスに対する信頼を確立してきた。

信頼性への配慮で検査過程を可視化し、結果を数値化する仕組み

 Synackの徹底した監視は、ホワイトハッカーの審査にとどまらない。サービスの各プロセスで信頼性に配慮した仕組みが導入されている。

 CPTは、AI技術を活用した専用スキャナー「Hydra」を用いた脆弱性検査と、Synack Red Teamによる検査を併用する。顧客に対する全ての検査は「LaunchPoint」と呼ばれる専用ゲートウェイを経由する。Synackは、どの検査員がどんな検査を行ったか、どんな情報にアクセスしたかといった事柄をLaunchPoint経由で把握する。万一、ルールに反する行為があれば、顧客に対する責任はSynackが負い、不適切な行為が疑われる検査員を閉め出す仕組みによって、安全性を保証している。

Synackの検査員による検査目的の攻撃は全て、専用ゲートウェイ「LaunchPoint」を通して行われる Synackの検査員による検査目的の攻撃は全て、専用ゲートウェイ「LaunchPoint」を通して行われる(画像出典:デジタルハーツ)

 同社は、検査対象となる顧客ごとに「Mission Ops」と呼ばれる一種のプロジェクトマネジャーをアサインし、検査の管理や監視、対応支援に当たる。また、検査状況やレポートを一元的に把握できるポータルサイトを用意し、発見された脆弱性の種類や深刻度、件数などに基づいて算出した「Attacker Resistance Score(ARS:攻撃耐性スコア)」などの情報を提供する。このスコアによって顧客は、客観的な視点で自社のセキュリティ対策や攻撃耐性を、定量的に評価できるようになる。

 自社のセキュリティ対策を継続的に見直したい顧客には、年間継続サービスを用意している。Synackはテスト結果の提示だけで終了せず、その後も脆弱性の修復支援で効果を維持向上する包括的なソリューションサービスを提供し、刻々と変わるサイバー脅威への対策を促し続ける。

セキュリティの知識とノウハウを熟知するデジタルハーツが支援

 バグバウンティやレッドチームの存在自体が珍しい日本の企業が、いきなり先進的な取り組みを導入するのは難しい。そこをサポートするのが、Synackのパートナーとなったデジタルハーツだ。

 脆弱性は、広い意味で「バグ(不具合)」の一種だ。ゲームやモバイルアプリのテストやバグ検査をしてきたデジタルハーツは、ここに自社事業との共通点を見出し、セキュリティ人材の育成にも取り組んでいる。「サイバーブートキャンプ」という独自のプログラムを通じて約40人の人材を養成しており、Synackによる国内でのペンテスト展開も支援する。

 具体的には、顧客企業のヒアリングを通じて、「どんな問題意識があるか」「どこを検査すべきか」といった課題を明らかにした上で、Synackのペンテストを実施する。テスト終了後のレポートで示された問題点にどう優先順位を付け、どのように対応するべきかをアドバイスし、継続的なセキュリティ強化を支援する。さらにシステム改修などが必要な場合は、販売パートナー各社が自社サービスと組み合わせて対応する。

 デジタルハーツの岡田卓也氏(セキュリティ事業部 部長)は、「日本のセキュリティ業界はいまだにツール依存で、20年前と根本的に変わっていない。そんな現状をSynackのサービスで変えていきたい」と話す。

 サイバーセキュリティの強化が、それもサプライチェーン全体にまたがる対策が求められる今、クラウドソーシングを使った特徴的な手法で効率的に脆弱性を見つけ、継続的な対策を支援するSynackおよびデジタルハーツのテストソリューションは、日本企業にとって大きな力になるだろう。

ジム・ハイマン氏。「サイバー攻撃に国境はない。実際に会った日本企業や組織の関係者から、グローバル水準のセキュリティへの関心と、熱心に取り組む姿勢を感じた」と語った

資料ダウンロード

世界の産業分野別攻撃耐性と、サイバーセキュリティ対策強化に向けた5つの提言

拡大するオンラインサービス市場では、セキュリティ対策による信頼性の構築が重要な差別化要素となる。世界の主要企業は、サイバー攻撃の脅威から、どんな手段で自社資産と顧客情報を保護しているのか、最先端の取り組みと効果を解説する。


資料ダウンロード

攻撃者視点による世界水準のペネトレーションテストで、自社状況をスコア化

脆弱性診断が、既知の脆弱性発見に有効な手段として普及している。しかし、巧妙化しつづけるサイバー攻撃という国境のない現実の脅威には、疑似攻撃で深刻な脆弱性を特定する「ペネトレーションテスト」が効果を発揮する。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社デジタルハーツ
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2019年9月11日

資料ダウンロード

拡大するオンラインサービス市場では、セキュリティ対策による信頼性の構築が重要な差別化要素となる。世界の主要企業は、サイバー攻撃の脅威から、どんな手段で自社資産と顧客情報を保護しているのか、最先端の取り組みと効果を解説する。

脆弱性診断が、既知の脆弱性発見に有効な手段として普及している。しかし、巧妙化しつづけるサイバー攻撃という国境のない現実の脅威には、疑似攻撃で深刻な脆弱性を特定する「ペネトレーションテスト」が効果を発揮する。