ここを怠ると被害後に差がつく 非常時に頼れる“サイバー消防隊”とは？：サイバーインシデントにも“駆け付ける仕組み”を

ランサムウェア攻撃を受けてしまうと、自社だけでなくサプライチェーン全体に影響が出る。“経営危機”に直結するリスクを低減するには、被害の拡大を防ぐ“事後対応力”の強化が要求される。中小企業にも優しい「サイバー消防隊」という新たな選択肢を解説する。

PR／ITmedia

PR

　ランサムウェア攻撃によって業務停止に追い込まれる企業が相次いでいる。その影響はサプライチェーンを通じて取引先企業にまで波及し、一般消費者の生活にまで影響を及ぼす事態となっている。

　中小企業には「ウチには重要な情報もなく大手企業ではないから狙われない」「セキュリティ製品を導入していれば大丈夫」といった誤解もあるが、実態は異なる。

ソフトバンクの西村亮氏（AIプラットフォーム開発本部 セキュリティ事業第1統括部 セキュリティデザイン推進部 セキュリティBD課 課長、CISSP）

　ソフトバンクの西村亮氏は「オフィス用品のECプラットフォームを運営する企業がランサムウェア攻撃を受けた事例では、取引先の小売企業にまで影響が及びました。中小企業といえども、自社が攻撃の踏み台にされたり、知らない間に加害者になったりするリスクがあります」と警鐘を鳴らす。

　自社が被害に遭うだけでなく顧客の環境まで被害が波及すれば、取引停止や巨額の損害賠償につながる可能性がある。「自分たちは関係ない」と言っていられない状況だ。中小企業にとって、ランサムウェアを含めたサイバー攻撃は「起こる前提」で対策を講じるべき経営リスクと言える。

侵入された後の対処が明暗を分ける

BLACKPANDA JAPANの平岡正樹氏（代表取締役社長 MANAGING DIRECTOR JAPAN）

　多くの企業が、外部からの侵入を防ぐファイアウォールやアンチウイルスなどに加え、侵入後の対応を担うEDR（Endpoint Detection and Response）などの対策も取り入れている。しかし、それだけで十分だろうか。シンガポールに本社を置くBlackpandaの平岡正樹氏は、大手企業の被害事例を振り返りながら従来の防御が直面する限界を指摘する。

　「ランサムウェア被害に遭った大手企業は、強固なセキュリティ対策を講じていたはずです。それでも攻撃者は脆弱（ぜいじゃく）な箇所を執拗（しつよう）に探し出して、防御の網を突破して侵入してきます。大手企業でさえこういった課題に直面しているので、リソースやインシデント対応計画が不足している中小企業ではより深刻な状況にあるでしょう」

　こうした現状を踏まえて平岡氏は、米国国立標準技術研究所（NIST）が提唱する「Cybersecurity Framework（CSF） 2.0」の中で定められた6つのコア機能――「統治」「識別」「防御」「検知」「対応」「復旧」のうち、事後対処に当たる検知、対応、復旧の重要性を主張する。

　インシデントレスポンスはCSFにおける「対応」「復旧」をカバーするものだ。事業規模によらず全ての企業にとって必要な最後のとりでとなる機能だと同氏は言う。

　インシデントレスポンスは大きく3つのステップで構成される。まず「調査」をして何が起きているかを明確にし、次に「止血、封じ込め」によって被害の拡大を防ぎ、最後に「根絶」するために攻撃者の痕跡を完全に除去する。被害に遭った企業は再び狙われやすいことから、被害を繰り返さないようにするためにも、原因究明と再発防止を含めたインシデントレスポンスのプロセスを被害が発生する前から「備え」構築しておくことが重要だ。

なぜ中小企業はインシデントレスポンスに目を向けないのか？

ソフトバンクの柴田憲明氏（AIプラットフォーム開発本部 セキュリティ事業第1統括部 セキュリティデザイン推進部 セキュリティBD課）

　中小企業の多くはインシデントレスポンスの重要性を十分に認識できていない。ソフトバンクの柴田憲明氏は、その理由を次のように語る。

　「中小企業の経営者は『何らかのセキュリティ製品を入れて対策すればいい』と考えがちで、インシデントレスポンスの手順や相談先が決まっていないケースも多くあります。サイバー攻撃をもし受けても『ITシステムの保守や運用を委託しているベンダーが対応してくれる』と誤解しているパターンもよく見聞きします。しかし、委託先のベンダーは初動対応までで、証拠保全やフォレンジック調査といった専門的な対応は範囲外ということも多々あります」

　こうした誤解によって準備を怠ると、被害に遭ってから助けを求めてセキュリティ企業に連絡することになるが、対応できる企業が見つからず事態が深刻になる事例もあるという。

　インシデントレスポンスの難しさを見誤り、自社だけで対応しようと考えている企業もある。しかしインシデントレスポンスには高度な専門性が必要だ。フォレンジック調査ができるアナリストは、サイバーセキュリティエンジニアの中でもトップクラスの技能が求められる。社内のITエンジニアが片手間で対応できるレベルではない。

　そこで有効な手段として挙げられるのが、インシデントレスポンスサービスの活用だ。インシデントレスポンスサービスは「インシデント発生後に依頼するもの」「事前に契約しておくもの」に大別できる。事後に依頼するサービスは、夜間に鍵の解錠サービスを頼むようなもので、高額になる場合が多い。

　事前契約型サービスは「保険」に近い。平時から一定の費用を支払うことで、有事の際に迅速な対応を受けられる。しかし事前契約への心理的なハードルは高い。「何も起こらなければ無駄になる」という理由で、事後対応で十分と判断してしまう企業も多い。

　事前契約型は、インシデントレスポンスに充てる時間枠を購入しておき、インシデントが発生するとその時間内で対応を受けられる。インシデントが発生しなければ時間枠に相当する脆弱性診断などのサービスに充当できる仕組みが主流だ。これも決して安くはなく年間数百万円の契約になることもある。

「サイバー消防隊」が実現する中小企業に優しいインシデントレスポンスモデル

　では、中小企業にも優しいインシデントレスポンスサービスの条件とは何だろうか。

　第一に即応性だ。インシデント発生時、企業は何が起きているか分からない状態に陥る。受発注や経理、人事といった業務が停止する中、一刻も早く状況を把握し、復旧の道筋を示せるサービスである必要がある。

　第二に専門性の高さだ。攻撃者の戦術や技術、手法を深く理解し、痕跡を見逃さず調査できるフォレンジック能力が要求される。専門家でない人が対応すると、攻撃者が環境内に仕込んだバックドアを見逃してしまう危険がある。

　第三に手頃な価格設定だ。中小企業の手が届く価格帯であることが条件と言える。

　さらに、「対応が素早いかどうか」「特定のツールや領域に限定されない専門性があるかどうか」といった点も意識したい。

　これらの条件を満たすインシデントレスポンスサービスが、Blackpandaの「IR-1」だ。「サイバー消防隊」というコンセプトの下、従来の常識を覆す価格と仕組みで展開されている。

Blackpandaのコンセプトはサイバー消防隊だ。自宅が火事になり、いざというときに頼れる消防署が必要なように、サイバー世界でも緊急事態に陥った企業のために迅速に出動する（出典：BLACKPANDA JAPAN提供資料）《クリックで拡大》

　「現実の世界では、火事が起こると消防隊が駆け付けてくれます。しかし、サイバー空間では攻撃を受けた際に頼れる存在が少なく、どこに連絡すべきかも分からないケースがあります。これを大きな社会課題と捉えて始めたのがIR-1です」（平岡氏）

Blackpandaのインシデントレスポンスサービスの概要（出典：BLACKPANDA JAPAN提供資料）《クリックで拡大》

　IR-1は「スピード」「質」「コスト」で中小企業のニーズに応える。速さについては、問い合わせから迅速にインシデントの初動対応に着手する。迅速に調査を始めて止血や封じ込めに当たることで、業務への影響を最小限に抑える。

　次に質の高さだ。APT（持続的標的型）攻撃など国家が関与するような高度な攻撃を分析・対策してきたメンバーがBlackpandaに在籍しており、攻撃者の戦術や技術、手法を深く理解している。アジア太平洋地域に絞ってサービスを展開していることも強みだ。地域特有の攻撃パターンに精通した専門家が、迅速かつ的確に対応する。

　Blackpandaの専門性は公的機関にも認められている。シンガポール政府のサイバーセキュリティ機関であるCSAと脅威インテリジェンスの分野で協力関係にあり、シンガポール警察サイバー犯罪対策本部に3年連続で表彰されている。

　最後に圧倒的な価格だ。IR-1は事前契約型のサービスでありながら、年間サブスクリプション方式を採用している。「保険」のように、多くの企業で費用を出し合い、実際に被害が発生してしまった企業の費用負担を軽減できる社会づくりを目指す。サービス設計に当たって、攻撃が発生する確率を計算し、必要な機能に絞ってサービスを設計しているため、時間枠買い切り型や飛び込み型のインシデントレスポンス対応の約10分の1という低価格を実現している。

　「サービス構成もシンプルで低価格なので中小企業にとっても使いやすいサービスです」（柴田氏）

IR-1の3つのメリット（出典：BLACKPANDA JAPAN提供資料）《クリックで拡大》

導入事例と平時から備える価値

　IR-1の有効性は導入事例が証明している。グループ会社が管理していた公開サーバの脆弱性を突かれ、ある大手企業に攻撃者が侵入。基幹システムまで被害が及んだ。平岡氏は当時の状況をこう振り返る。

　「通報時、お客さまは何が起きているか理解できていない状態でした。受発注や経理などの基幹システムも止まっており、早く復旧させたいという焦りがありました。私たちがすぐに出動して調査し、『復旧させてもいい箇所』『マニュアルで回す必要がある箇所』などを切り分けました。素早い実態把握によって迅速に対策できました」

　この迅速な対応は、対外的な信頼維持にもつながった。サイバー攻撃は被害を公表するケースが多く、取引先への説明責任が生じる。適切な対応と説明ができたことで、企業イメージの失墜を最小限に抑えられた。

　IR-1のメリットは平時にもある。無償で使えるセルフサービスASM（Attack Surface Management）機能により、インターネットから見た自社の脆弱性を可視化できる。攻撃者は侵入口を探すために偵察活動をしているため、ASM機能を活用することで弱点を発見して対処できる。

　西村氏は「インシデントレスポンスは企業を守る“最後のとりで”です。サイバー攻撃を受けた際、事態をいかに早く収束させるかが、業務への影響を最小限に抑え、事業活動を継続するための鍵となります。中小企業にとって必須の対策の一つとして、インシデントレスポンスにも目を向けてほしいと思います」と訴える。

　平岡氏は最後に、中小企業へのメッセージとしてこう力を込めた。

　「サイバー攻撃が激化している中、何かあってから初めて対処を考えるのでは手遅れです。IR-1は手頃な価格と必要な機能を備え、多くの企業にインシデントレスポンスを提供します」