ラックはいかにしてゼロトラスト基盤を改良したのか？――マイクロソフトブリーフィング

日本マイクロソフトはメディアブリーフィングで、2022年度におけるサイバー脅威の最新動向とラックのゼロトラスト基盤構築事例、日本マイクロソフトが考えるゼロトラストの次に来るセキュリティアプローチを公開した。

[宮田健，ITmedia]

　日本マイクロソフト（以下、マイクロソフト）は2022年11月24日、サイバーセキュリティに関するメディアブリーフィングを開催した。

　同社はブリーフィングで、脅威インテリジェンスの状況に関する最新の分析情報をまとめた調査レポート「Microsoft Digital Defense Report」の2022年度版のデータを公開した。その他、セキュリティ企業のラックによるMicrosoftのセキュリティ製品の活用術や、マイクロソフトが考えるゼロトラストの次に来るセキュリティアプローチなども発表された。

データで見るランサムウェア攻撃の実態　企業の“穴”が明らかに

　ブリーフィング冒頭、マイクロソフトの花村 実氏（Security Solution Area Chief Security Advisor）が登壇し、Microsoft Digital Defense Reportから幾つかのデータをピックアップし、ランサムウェアと恐喝の現状について報告した。

ランサムウェアと恐喝のモデル（出典：マイクロソフトの発表資料）

　ランサムウェアによる恐喝は非常に用意周到だ。顧客のEDR（Endpoint Detection and Response）から収集したデータを基にMicrosoftが作成した分析モデルによれば、脅迫先を選定する際には、まず2500社が想定ターゲットとしてピックアップされ、そのうち60組織に対して攻撃が仕掛けられる。そして、約20の組織で攻撃が成功し、その中で最も“利益が見込める”組織1つが選ばれる。

マイクロソフトの花村 実氏

　花村氏によれば、ランサムウェア攻撃はシステムへの侵入を目的とした攻撃と暗号化という2つのフェーズに分かれているケースが多い。「暗号化のタイミングで対処していては遅い。いかに準備段階を検知して防ぐかが重要だ」（花村氏）

　しかし企業のセキュリティ対策としては、特権アクセスの管理やラテラルムーブメント（横展開）のコントロールができていないのが実情だ。さらに、その攻撃対象として選ばれるのは、製造業とヘルスケア業界が多数を占めている。「データから身代金を払う可能性が高い業界が狙われていることが分かる」（花村氏）

ランサムウェア攻撃対策が十分でない企業が多く、特権アクセス管理やラテラルムーブメントをコントロールできていない（出典：マイクロソフトの発表資料）

国家主導のサイバー攻撃にどう対処するか？

　Microsoftは、国家主導のサイバー攻撃へのセキュリティ対策を支援している。ロシアがウクライナに戦争を仕掛けた際にも、事前にサイバー攻撃が実行されていた。Microsoftは戦争が始まる1週間前に、ウクライナが持つ政府機関のデータをウクライナ国外のパブリッククラウドに移行する支援をした。

国家主導のサイバー攻撃は全世界で発生している（出典：マイクロソフトの発表資料）

　花村氏は続けて、中国による国家主導型のサイバー組織「NICKEL」について解説した。MicrosoftはNICKELが持つ42のコマンド＆コントロールドメインを2021年に制圧（テイクダウン）し、攻撃を阻止した。しかし2022年3月に攻撃が再開し、再度世界の5つ以上の政府機関を侵害している。

　世界には同様に国家主導とされるサイバー組織が存在する。花村氏は「それらの組織に対してコストをかけさせてサイバー攻撃を非効率化することが重要だ」と述べる。

　また、最近では虚偽の情報「ディスインフォメーション」の問題も無視できない。ロシアは、2021年11月にあらかじめ投稿していた“ウクライナが生物兵器を隠している”という内容の動画を、戦争が始まったタイミングでプロパガンダとして放映したという。「投稿時には動画への注目が集まらないようにしておき、開戦後に紹介するなど用意周到に準備されている。ディスインフォメーションとソーシャルエンジニアリングを組み合わせたサイバー攻撃が、今後活発になる可能性がある」（花村氏）

Microsoftはロシアのプロパガンダを追跡している（出典：マイクロソフトの発表資料）

Microsoft製品で実現するゼロトラストとは？

　ブリーフィングでは、ゲストスピーカーとしてラックの谷口隼祐氏（ICTイノベーション推進室アドバンストグループ　グループマネージャー）が登壇した。

ラックの谷口隼祐氏

　谷口氏は「Microsoft 365 E5活用の想定内と想定外」と題する講演で、ラックのテレワークにおいて、Microsoft製品を活用してどのようにセキュリティ基盤を改良したかを語った。

　谷口氏は新型コロナウイルス感染症（COVID-19）の影響によるテレワークへの移行で、ラックでも「セキュリティに関する困り事が増えてきた」と述べる。その状況を打破するため、同社は2021年4月にセキュリティ基盤となるシステムを見直した。

　谷口氏は「ベンダーニュートラルなラックの強みを生かしてサービスに頼りつつ、多様性を許容しながら見えない部分を増やさないことを目指した」と語る。「ゼロトラストを構築したかったわけではないが、どこからでも働けて利用者と攻撃者の区別を付けられるID管理やデバイス管理を目指した結果、正しくゼロトラストの考え方になっていた」（谷口氏）

ラックにおけるゼロトラストをベースとした新基盤（出典：ラックの発表資料）

　刷新したセキュリティ基盤は、SIEMソリューション「Microsoft Sentinel」に各種ログを集約しつつ、「Azure Active Directory」（以下、Azure AD）や「Microsoft Intune」（以下、Intune）「Microsoft Defender for Endpoint」を組み合わせ、ラック独自のチューニングを施した上で構築した。端末管理とID認証基盤を連携させており、管理されていない（Intuneが入っていない）端末はIDが正しく承認されていてもシステムには入れない仕組みだ。

　谷口氏はこの基盤について「Azure AD、Intune、Microsoft Defender for Endpointの管理は非常に強力だ。『Microsoft Power BI』を利用したチューニングも可能で、セキュリティの“ガードレールを作りたい”というニーズに応えられる。Intuneはもう少しキビキビと動いてくれるとありがたいが」と話す。

　「決してMicrosoft製品でなければこれらが実現できないというわけではない。だが契約すれば誰でもこれが手に入るという意味では、『Microsoft 365』を利用する組織同士で事例を共有しやすく、守る側の土台を合わせられる。うまくやれば攻撃側に対抗できるのではないか」（谷口氏）

　また、谷口氏は“想定外”のポイントとして、クラウドのメリットでもある更新頻度が想像以上に高く、管理者の少数精鋭化が求められる点を指摘した。さらに便利になったことで浮かび上がる問題点として、管理者権限の管理がより厳密にならざるを得ない点を挙げた。

　「ゼロトラストはデジタルデータを基に機械的なチェックが可能になるが、あくまでも仕組みを作るのは人間なので、人は減らせても、知識を持つ少数精鋭のチームは必要だ。便利になったことで管理者権限を持つ人のIDが仮に奪われると、多くの端末に一斉に攻撃ができてしまうため、より十分に対策を講じる必要がある」（谷口氏）

　ラックはこれらの知見を生かし、今後は「Microsoft 365 E5」を中心とした「Microsoft Sentinel活用支援サービス」（仮称）を2022年度内に立ち上げる予定だ。

Microsoft 365の“想定外”（出典：ラックの発表資料）

ゼロトラストの先にあるものは

マイクロソフトの河野省二氏

　マイクロソフトの河野省二氏（技術統括室　チーフセキュリティオフィサー）は、同社の考える「サイバーハイジーン」（Cyber Hygiene）についてデータを基に解説した。ハイジーンとは「衛生管理」という概念であり、サイバーハイジーンはサイバー世界で脆弱（ぜいじゃく）性を持たない環境の確立を目指すことだ。

ゼロトラスト基盤によるハイジーンの維持（出典：マイクロソフトの発表資料）

　そしてゼロトラストの先にあるものこそが、サイバーハイジーン環境の構築だ。河野氏は「ゼロトラストを目的とするのではなく、何のためにこれを構築するのかを明確にすることが重要だ。そのための手段がハイジーンの維持であり、攻撃を受けたとしても影響を受けないまたは影響を最小化するためには、デバイスやアプリ、データ、アカウント、権限管理でそれぞれ対策する必要がある」と語る。

　「これらの対策が実は“ゼロトラスト”だ。ゼロトラストを構築する上でハイジーンが維持でき、攻撃を受けにくい環境が作れる」（河野氏）

　河野氏は最後に「しかし、これを1社だけが頑張っても世の中はよくならない。このようなプラットフォームをサプライチェーン全体で活用し、攻撃を受けにくい社会を作っていく。攻撃者がマネタイズできない社会を作り、攻撃そのものを減らしていく。それによって、企業が活動しやすい環境を作っていきたいというのが、マイクロソフトの考え方だ」と語った。