元祖ファイアウォール企業が語る「境界型防御時代の終焉」と「セキュリティ人材不足の根源」（1/2 ページ）

ファイアウォール企業の元祖でもあるチェック・ポイント・ソフトウェア・テクノロジーズの青葉雅和氏がサイバー攻撃の実態とセキュリティ人材不足の背景にある根本的な問題を大いに語った。

[田渕聖人，ITmedia]

　ランサムウェアをはじめとしたサイバー攻撃が激化している。一度被害に遭うとしばらくの間、業務停止に陥るケースもありビジネスに与える影響は甚大だ。こうした脅威に向け、多くの企業がセキュリティ対策を講じようとしているが、人材不足から思うように対策が進んでいないのが実情だろう。

　では、なぜセキュリティ人材は不足しているのか。サイバー攻撃の実態に詳しいチェック・ポイント・ソフトウェア・テクノロジーズの青葉雅和氏（代表取締役社長　兼　日本地区担当ディレクター）は、セキュリティ人材不足の背景を「イメージの問題」だという。どういうことだろうか。

サイバー攻撃の攻撃対象領域（アタックサーフェス）が増大している

──まずはサイバー攻撃の現状についてお聞かせください。

チェック・ポイント・ソフトウェア・テクノロジーズの青葉雅和氏

青葉雅和氏（以下、青葉氏）：　当社の調査機関によれば、世界的には2022年の上半期ではサイバー攻撃が42％増加しました。日本においても、2021年に開催された国際的なスポーツイベントの影響もあり30〜40％増加しています。

　サイバー攻撃が激しくなっている要因としては、攻撃対象領域（アタックサーフェス）の拡大が関係しています。つまり、サイバー攻撃の侵入口が増大した結果、攻撃者にとって非常に有利な状況が生まれているのです。

　当社では、クラウドやモバイルなどの活用によってサイバー攻撃がさまざまなベクターから実行される状況を「第5世代の攻撃」と呼んでいます。ちなみに日本では電子メールが攻撃ベクターとしては非常に大きいのですが、海外などでは関連会社のWebサイトなどから侵入されるケースも多くなっています。

攻撃対象領域の増大は複数のベクターからサイバー攻撃を引き起こしている（出典：チェック・ポイント・ソフトウェア・テクノロジーズの提供資料）

──こうした状況を踏まえて、企業はセキュリティモデルを変革する必要に迫られています。

青葉氏：　セキュリティモデルの変遷を見てみると、2001〜2012年頃はインフラストラクチャが中心でした。つまり、データセンターの中でリモートオフィスや本社があり、基本的に全てのユーザーはどちらかにいました。ネットワークは閉じられた環境だったので、インターネットから入ってくる脅威はファイアウォールで監視していればセキュリティ対策としては十分でした。

セキュリティモデルの変遷（出典：チェック・ポイント・ソフトウェア・テクノロジーズの提供資料）

　しかし、ここ十年でアプリケーションがクラウドに移行したり、SaaS（Software as a Service）利用が拡大したりした結果、データセンター内にあるアプリケーションが非常に少なくなってきています。クラウドファーストと呼ばれる時代では、この傾向はより進むものとみられます。

　これは何を意味するかというと、これまでオフィスやデータセンターの出入り口の保護だけを考えればよかったのが、「Amazon Web Service」（AWS）や「Microsoft Azure」（Azure）といったクラウドを利用しながら安全なネットワーキングをどう実現するかを考える必要が出てきたということです。

　さらにこの考え方が進めば、アプリケーションや端末が外にあることが当然となり、社内の閉じたネットワークを利用する機会は減り、「インターネット＝社内ネットワーク」になるでしょう。こうなると攻撃対象領域は膨大な数になりますが、IT・セキュリティ担当者はこれを全て監視して保護する必要があるのです。

　しかし、このようにセキュリティを取り巻く環境は大きく変化しているにもかかわらず、実際には社内のセキュリティリソースはそれほど増えていないのが実態です。「脅威がどこから来るのか」「それに対してどのようなセキュリティ対策を講じるのか」は組み合わせの数だけ答えがあります。これを少ない人数で対処することは非常に困難でしょう。

　ある意味、昔はファイアウォールだけ監視していればどうにか対処できていたのですが、ここ十年で状況は激変してしまいました。この十年でさまざまなセキュリティソリューションが登場する中、特にエンドユーザーでこれらを全て理解し運用できる人がどのくらいいるのか、という話です。

──データセンターやオフィスの出入り口だけみてればいいという時代は終わったんですね。

青葉氏：　完全に終わりました。昔ながらの閉じたネットワークでアプリケーションがデータセンター内にあるというユーザーはまずいないでしょう。

サイバー攻撃者たちのエコシステムが構築されている

──青葉さんはサイバー攻撃手法の進化についてはどのように考えているのでしょうか。

青葉氏：　先ほども言いましたが、日本では電子メールが攻撃ベクターとしては非常に大きいので、Eメールセキュリティや標的型攻撃メール訓練などで対策ができていました。しかし最近では、「Slack」や「Microsoft Teams」（以下、Teams）などのコラボレーションツールも登場し、そこでの添付ファイルも注意しなければなりません。コラボレーションツールは基本的に身内以外からは連絡が来ないものが多いので、添付ファイルが来ても信頼して開いてしまうケースが増えています。

　また、最近はサービスのIDを窃取する専門業者も登場し、ランサムウェアを利用するサイバー攻撃者に盗んだIDを売るなど犯罪サービスの分業化が進んでいます。こうした状況もあり、自分がいつもやりとりしている顧客がマルウェアに感染し、Teamsで添付ファイルを送ってきたとしても多くのユーザーは疑いもなく開いてしまうでしょう。開けるハードルを下げる仕組みを攻撃者たちは作っているのです。

──いわゆるアクセスブローカーや「RaaS」（Ransomware as a Service）といった分業システムが構築され、それぞれが得意分野で活躍する犯罪ビジネスになっています。

青葉氏：　IDを窃取し、RaaSを使ってランサムウェア攻撃を実行できる仕組みができ上がっています。SaaSのように簡単にアプリケーションを利用できる仕組みがサイバー犯罪にも応用されているわけです。ちなみに私は「まさかRaaSが出てくるとは」と思いました。

　ランサムウェアは検知をかいくぐるために少しずつ改良されており、少数グループで支配的ではなくなっている点も特徴的です。分散化が進み、エコシステムが形成されているのです。ターゲットも多様化していますし、南米ではランサムウェアで国家を脅迫した事例もあります。

　ランサムウェアの被害に遭い、一度身代金を支払ってしまうとその後何回にもわたって標的になるケースもあります。ただし、自力で対処するのは現実的には困難で、身代金の何倍もコストや時間がかかってしまいます。特に公共機関に近い組織は身代金を払えないという事情もあり、数倍コストがかかるとしても何カ月も業務を停止して復旧せざるを得ないのです。