結局、攻撃側と防御側のどちらが有利なの? 有識者が語る「防御側の強み」

サイバーセキュリティの世界では「『攻撃側』と『防御側』のどちらが有利か?」という話題がしばしば議論に上る。生成AIの登場によって、攻撃側がより有利になっているという意見もあるが有識者はどう考えているのか。

» 2024年11月14日 07時00分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 サイバーセキュリティの世界においては「『攻撃側』と『防御側』のどちらが有利か?」という話題がしばしば議論に上る。

 「攻撃者側が有利」派の論法でよく使われるのが「防御側のジレンマ」という考え方だ。例えば「攻撃者は1000回攻撃を仕掛けるうち一度でも成功すればいいが、防御側は1000回全ての防御に成功する必要がある、つまり攻撃者側の方が有利だ」という主張である。

 この一見もっともらしく思える主張に、異を唱えるのがGoogle Cloudのスティーブ・レザン氏(APJ Mandiant CTO)だ。レザン氏は「防御側の優位性」とはどこにあると考えているのか。

結局、攻撃側と防御側のどちらが有利? 攻撃の最新事情から考える

――まずはサイバー脅威の現状についてお聞かせください。

スティーブ・レザン氏(以下、レザン氏): サイバー攻撃に対する防御はより難しくなっていると思います。企業がDXを進める中で、悪用可能な攻撃対象領域はますます拡大している上に、ランサムウェアをはじめとしたサイバー犯罪の手口も洗練されてきています。攻撃手法が洗練されてきた背景には防御側の能力向上も関係しています。

――攻撃手法はどのように洗練されているのでしょうか。

レザン氏: 多くの企業においてEDR(Endpoint Detection and Response)製品の導入は一般化していますが、これによる検知を回避する動きが見られます。具体的にはVPNなどのエッジデバイスを標的にした攻撃です。

 多くのエッジデバイスはアプライアンスの形式であり、インターネットに接続されていながらEDRが導入されておらず、かつリブートの頻度も決して高くないので攻撃者はこれらの中にうまく潜伏できてしまいます。

Google Cloudのスティーブ・レザン氏(APJ Mandiant CTO)(出典:Google Cloud提供資料)

 この攻撃に対抗するにはエッジデバイスのテレメトリーログ情報を収集できる堅牢(けんろう)なシステムが必要になります。しかし多くの企業はこの対策を怠っているため、攻撃に対処できていないのが現状です。

 この他、ランサムウェア攻撃手法の洗練化についても注意が必要です。企業に侵入するための認証情報を売買するイニシャルアクセスブローカーといった攻撃者の存在に加え、昨今はRaaS(Ransomware as a Service)のように、ランサムウェア開発者(オペレーター)が攻撃の実行者(アフィリエイター)にツールを提供するビジネスも確認されており、高度な分業化が進んでいます。サイバー犯罪の経済圏が確立されているわけです。

――ランサムウェア攻撃手法でいうと、窃取した情報をリークサイトに公開すると脅すことで金銭を要求するいわゆる「二重の脅迫」と呼ばれる手法も一般化しています。

レザン氏: 攻撃者たちは、企業に対していかに圧力をかけてより多くの身代金や恐喝金を手に入れるかに頭を悩ませています。“企業が嫌がること”への理解度が上がってきていると感じます。

――最近話題の生成AIは攻撃の洗練化に関係しているのでしょうか。

レザン氏: 主にソーシャルエンジニアリング攻撃の高度化に関連しています。例えばフィッシングメールに生成AIを悪用すれば、どのような言語でもスペルミスや文法上誤りがない自然な文章を作成できます。この他、ディープフェイクを駆使してなりすましを実行する攻撃者も現れています。

 ただ生成AIについては、攻撃側よりはどちらかといえば防御側に必要とされていると感じます。セキュリティ人材不足を補う上でAIがその活路となるからです。

 マルウェア解析や脅威情報の収集に生成AIを活用すれば、短時間で何百のドキュメントをまとめてサマリーを作成できます。これまで手作業で時間をかけて実施していたことが簡単かつスピーディーにできるためアナリストの負担低減につながります。また、上級のセキュリティエンジニアに限らず、ジュニアのエンジニアでも生成AIを使えば、自然言語で、ログ調査などのクエリや検知ルールを作成できるため作業効率化が期待できるでしょう。

侵入されても負けたわけではない 防御側の優位性はどこにある?

――今までの話をお聞きしていると「『攻撃側』と『防御側』のどちらが有利か」という議論においてはやはり攻撃側が有利であるように思えます。防御側に優位性があるとすればどのような部分なのでしょうか。

レザン氏: 防御側の優位性としてはまず“ホームグラウンド”であることが挙げられるでしょう。攻撃者と比べると防御側の方が自分たちのシステムやネットワークについて知見を持っています。当然ですが非常に大事なことです。

 そしてもう一つ重要なのは、“侵入に遭った時点で防御側が負けたわけではない”ということです。「攻撃者が企業システムに侵入すれば攻撃は成功した」と考える方も多いかもしれませんが、侵入が当たり前になった今、実質的な被害が出ない限りは防御側の勝ちでしょう。

 攻撃者はシステム侵入後、EDRなどの検知を回避しながら、権限昇格やラテラルムーブメント、データの窃取など何段階にもわたって攻撃を仕掛けなければなりません。一つでもミスをして検知されればそこで防御されて目的を達成できないわけです。「防御側のジレンマ」では一度でも攻撃に成功すれば「攻撃側の勝ち」になるわけですが、攻撃は一度に来るわけではなく細かく分かれているので、どこかのプロセスで止められればいいのです。これは正しく防御側の優位性でしょう。

 効果的な防御に向けては「インテリジェンス」「検出」「対応」「検証」「脅威ハンティング」「統制」という6つの機能を高めることが重要だと考えています。サイバー攻撃は「侵入ありき」だと念頭に置いて、これらの対策を進めてください。

――ありがとうございました。

【Amazonギフトカードプレゼント】「ITmedia Security Week 2024秋」開催

アイティメディアは2024年11月25日〜同年12月2日、「ITmedia Security Week 2024秋」を開催します。多様なセキュリティ領域にまたがるセッションテーマを設け、セキュリティリーダーの課題解決となるヒントを提供します。ぜひご参加ください。

●編集部おすすめセッション

Day6 12月2日 15:10〜15:50    マネージドサービス  あなたの会社のセキュリティシステムは誰のもの? 〜人材育成とMSSの相関関係を語ります(GMOあおぞらネット銀行株式会社 執行役員 テクノロジー&プロセシンググループ長 金子邦彦氏)

●編集部の一言

人材不足が深刻化する中、マネージドセキュリティサービスを効果的に活用することが自社のセキュリティ強化の鍵を握ります。GMOあおぞらネット銀行の事例からそのポイントを学びましょう。

Copyright © ITmedia, Inc. All Rights Reserved.