企業よ、ランサムウェア対策の前に“サイバーセキュリティ負債”を解消せよ

ランサムウェア攻撃が激化する中、これに向けた対策は企業の喫緊の課題だ。しかし企業が抱えている「サイバーセキュリティ負債」がこの課題の解決を阻んでいるという。

[田渕聖人，ITmedia]

　近年、国内外を問わずランサムウェア被害の報告が頻繁に上がっている。標的になる企業も大企業から中堅・中小企業まで幅広く、被害に遭うことを前提とした対策を講じることが求められている。

　そのための仕組みを構築する上であらためて注目すべきなのが、システムへのアクセスやさまざまな操作を可能にする「特権ID」の管理だ。特権ID管理を含めたアイデンティティーセキュリティ製品を提供しているCyberArk Softwareの創業者兼エグゼクティブチェアマンであるウディ・モカディ氏とCyberArk Softwareの日本法人で執行役社長を務める倉橋秀則氏が特権IDの重要性と、日本企業が抱える「サイバーセキュリティ負債」について語った。

特権ID管理は新たなフェーズに入っている

――日本企業を取り巻くセキュリティの現状についてお聞かせください。

倉橋秀則氏（以下、倉橋氏）：　クラウドやSaaSが普及し、企業を取り巻くサービスおよびインフラ環境は大きく変化しました。場所を選ばない働き方が広がり社外からのアクセスが増加した結果、従来の境界型防御によるセキュリティ対策が限界を迎えています。

　こうした状況において、ランサムウェアをはじめとしたサイバー攻撃も激化・高度化しています。ソフトウェアサプライチェーンを狙った攻撃も盛んになり、米国ではファイル転送サービス「MOVEit Transfer」のゼロデイ脆弱（ぜいじゃく）性を利用したサイバー攻撃が話題を集めています。

　さらに、サイバー攻撃者は狡かつさを増しており、RaaS（ランサムウェア・アズ・ア・サービス）といったビジネスが攻撃者の間で広がった結果、高いスキルを持っていなくても簡単にランサムウェア攻撃を実行できるようになってきています。つまり今後も攻撃は弱まることなく続くと予想されるため、もはや侵入を前提にしたセキュリティ対策が必要となっています。そこで注目されているのが特権ID管理です。

CyberArk Software日本法人の倉橋秀則氏（執行役社長）

　これまで特権ID管理は、2008年に施行されたJ-SOXに伴う内部IT統制の一環として取り入れられてきました。特権操作の監視や証跡の取得、内部不正による個人情報の漏えい防止などの目的で導入する企業が増えていたわけです。

　しかしサイバー攻撃が激化した今、攻撃者は脆弱性を悪用したり、ID／パスワードを窃取したりしてシステムに侵入後、権限昇格による脅威の横展開（ラテラルムーブメント）を目的に、特権IDの奪取を狙います。そのため内部統制といった用途だけでなく特権ID管理をセキュリティ対策としてあらためて捉え直す時期に差し掛かっています。

　私たちは多くの日本企業とお話ししていますが、海外の企業と比較して特権を保護する意識や取り組みはまだまだ浸透しているとは言えません。そうした企業に向けて気付きを与えるのが当社の使命だと考えています。

ウディ・モカディ氏（以下、モカディ氏）：　補足すると特権ID管理は新たなフェーズに入ったと言えます。ただ管理するだけでなく、セキュリティ対策を意識する必要があります。それは具体的には特権ID管理の中でローテーションの仕組みを取り入れたり、セッションをきちんとモニタリングして必要があればそれをストップしたりすることなどを指します。コンプライアンスだけを意識していれば良かったのは昔の話で、今はラテラルムーブメントに対する戦略的な防御が求められているのです。

企業が抱える「サイバーセキュリティ負債」とは何か？

――海外の視点から、日本企業はどのようなセキュリティ課題を抱えていると思われますか。

モカディ氏：　コロナ禍を経てクラウド活用が広がり、デジタルトランスフォーメーション（DX）を推進する企業が増加しましたが、こうしたデジタル革新に対して“セキュリティが追い付いていない”あるいは“ギャップを抱えている状態”を当社では「サイバーセキュリティ負債」と表現しています。

CyberArk Softwareのウディ・モカディ氏（創業者兼エグゼクティブチェアマン）

　認証分野におけるサイバーセキュリティ負債でいえば、アイデンティティーの乱立が発生している点が挙がるでしょう。クラウドサービスをたくさん導入したことで多くのID、特に強い権限・特権を持ったIDが発行されるようになりました。ここには管理者権限だけに限らず、SaaSオーナーやデベロッパーなどの権限なども含まれます。特にDXを推進している企業ではデベロッパーに強力な権限を与えているケースが多くあります。

　そのためこうしたサイバーセキュリティ負債に対処するにはゼロトラストセキュリティやユーザーやシステムに必要最低限の権限しか与えないリーストプリビレッジ原則の考え方を取り入れて、しっかりと特権IDをコントロールしていく必要があると理解してほしいと思います。

――この状況は他国と比較してどうでしょうか。また、サイバーセキュリティ負債を抱えている企業の特徴はありますか。

モカディ氏：　他国の状況も似てはいますが、業界で見ると米国や欧州の銀行、保険などの金融業はDXに合わせてセキュリティ投資を増やしています。しかし製造業や小売といった業界は日本と大きく変わりはなく継続的なキャッチアップが必要でしょう。ただセキュリティに対する投資を高めていこうという意識は高まっているように思えます。

――これを踏まえて日本企業はどのようなセキュリティ対策を進めていけばいいのでしょうか。

倉橋氏：　当社としては、エンドポイントの特権IDを管理することを推奨しています。多くの企業では、エンドポイント保護対策としてEDR（Endpoint Detection and Response）製品を導入しているかと思いますが、先進的なサイバー脅威が増加している今、これだけではインシデントを防ぎ切るのは困難です。そのため、エンドポイントの特権IDをしっかりと守り、特権に昇格させない、マルウェアを起動させない、脅威を横展開させないことが重要になります。

モカディ氏：　「脅威を横展開された場合どうするか」「ランサムウェア被害に遭ったときに迅速にリカバリーするにはどうするか」などをあらかじめ考えて準備やリハーサルしておくことも重要です。侵入されてもゲームオーバーというわけではありませんので多層的な対策を講じておくことを意識すると良いでしょう。

――ありがとうございました。