国際レベルのサイバー攻撃に対抗する 今取り組むべきセキュリティ対策

[PR／ITmedia]

PR

　2020年はかつてないほど、サイバー攻撃に関するニュースが世間を騒がせた年だった。金融や電機、ゲームなどの大手企業が攻撃を受け、大規模な個人情報の流出や金銭的被害などが各所で報じられたことは記憶に新しい。

　新型コロナウイルス対策としてテレワークの導入も広がり、働き方が一気に変化している。この先、どのようにサイバーセキュリティ対策を進めていけばいいのか悩んでいる企業も多いはずだ。

　そんな中、サイバー攻撃の分析やサイバーセキュリティ製品の運用支援サービスの提供を本格化させているのが日商エレクトロニクスだ。

　今回は、サイバーセキュリティ分野の専門家である高野聖玄氏が、日商エレクトロニクスのセキュリティ事業本部でマネージドセキュリティサービスの企画、提供に携わる坂口武生氏、奥村秀範氏、牧島安宏氏に、20年に起きたサイバー攻撃の特徴や解決のヒントを尋ねた。

左から日商エレクトロニクスの坂口武生氏、奥村秀範氏、牧島安宏氏

グローバルレベルの高度な攻撃が日本でも当たり前になった

高野氏：20年、サイバーセキュリティ業界ではさまざまな動きがありました。一番気になったトピックは何でしたか。

高野聖玄氏

坂口氏：お客さまから「日本企業に対するサイバー攻撃が増えましたよね？」と尋ねられるケースが増えましたが、日本企業に対するサイバー攻撃は以前から多々ありました。20年は被害を受けたことが明るみに出るケースが多かったです。

　その理由の1つは攻撃手法の変化です。かつて流行したランサムウェアは、攻撃者が企業のデータを暗号化し、一対一のやりとりの中で、復号のための鍵と引き換えに身代金を要求していました。

　しかし最近の攻撃者は「入手したデータの一部をインターネットで公開するぞ」と企業を脅迫します。被害に遭った企業のデータが攻撃者のサイトに公開されることで、被害がオープンになっています。

　20年のサイバー攻撃のもう1つの特徴は、グローバルレベルの高度な攻撃が日本でも当たり前になってきたことです。ターゲット企業のネットワークに侵入した後に社内の端末を一元管理するシステムを乗っ取ったり、偽装したIPアドレスを組み込んだマルウェアを利用して攻撃したりといった手法が見られるようになっています。

高野氏：これを踏まえると、どのような対策が必要なのでしょうか。

坂口武生氏

坂口氏：企業はさまざまなセキュリティ対策を講じていますが、常に攻撃者の方が一枚上手で、確実に被害に遭ってしまっています。やはり、グローバル目線に立ったサイバーセキュリティ対策が必要です。

　米Gartnerが提示した「SOC Visibility Triad」という概念も有効だと考えています。通信ログなどを収集・解析して脅威を見つける「SIEM」と、端末の動作を監視する「EDR」に、ネットワークのトラフィックを可視化し、監視する「NDR」といったサイバーセキュリティ製品を組み合わせて脅威を検知するアプローチです。

　攻撃者は自分の行動を追跡されることを嫌います。SIEMでログを取っているならそのログを消そうとしますし、EDRで端末の不審な動作の兆候をつかもうとしても、そのサービスやプロセスを停止させようとします。不測の事態に備え、この2つを補うシステムとして、リアルタイムにパケットを収集・分析し、攻撃を検知・防御するNDRが必要だと考えています。

高野氏：20年には、新型コロナ対応として多くの企業がリモートワークを導入しましたが、サイバーセキュリティにはどのような影響があったのでしょうか。

坂口氏：SSL-VPNのゲートウェイを侵入経路にした不正アクセスが注目されました。さまざまな企業が影響を受けましたが、共通しているのは、19年に公開されたVPN製品の脆弱（ぜいじゃく）性が悪用されたことです。JPCERT/CCをはじめ各種機関が19年からセキュリティ修正パッチを適用するよう注意喚起を行っていたにもかかわらず、多くの企業は実行していなかったのです。

JPCERT/CCの注意喚起

　在宅勤務が推奨されてVPNが多用されるようになり、攻撃者はその脆弱性を狙うようになりました。そんな中、1つの対抗策として、全ての通信を監視して対策するゼロトラストセキュリティや、Gartnerが提唱したSASE（Secure Access Service Edge）といった新しいサイバーセキュリティの概念が採用され始めています。

専門的な知識を磨き、三位一体で顧客のセキュリティ対策を支援

高野氏：こうした状況を踏まえて、日商エレクトロニクスはどういった体制で顧客のセキュリティをサポートしようとしているのでしょうか。

牧島安宏氏

牧島氏：当社では、攻撃者の目線に立ってお客さまのサイバーセキュリティ上の弱点をチェックし、どう防御策を講じるべきかをアドバイスできるよう、ホワイトハッカー（CEH） の資格を持つセキュリティエンジニアの育成に取り組んでいます。また、公認情報システム監査人（CISA）やセキュリティプロフェッショナル認定資格制度（CISSP）といった世界で通用する資格を持つ人材の育成も進めています。

坂口氏：お客さまのネットワークを監視してサイバー攻撃の検出や分析を行うSOCサービスを提供しているセキュリティサービス課の中には、おとりとなるサーバを運営し、継続的にマルウェアの検体を取っているメンバーもいます。

奥村氏：最近は、ツールだけ欲しいというお客さまはほとんどいらっしゃいません。お客さまの困りごと解決に向け、ツールの提供に加えてサービスもしっかり提供することが重要だと考えています。

分かりやすく煩雑にならないセキュリティ運用

高野氏：日商エレクトロニクスの運用サービスについて教えてください。

奥村氏：20年10月には、米MicrosoftのSIEM「Azure Sentinel」を活用したSIEM運用サービス「MSS for SIEM -Microsoft Azure Sentinel-」をリリースしました。SIEMは有用なツールですが運用が難しく、お客さまから支援サービスが欲しいとの要望を頂いておりました。SIEMの運用をサービスとして提供し、導入のハードルを下げられればと考えています。

高野氏：SIEMを導入したらアラートがあまりにたくさん上がり、何をどこまで見たらいいのか分からないといった声を聞くことがあります。MSS for SIEM -Microsoft Azure Sentinel-ではそこをどのように解決しているのでしょうか。

奥村氏：確かに、アラートの内容を全て確認するとどうしても煩雑になってしまいます。しかし、中には見逃してしまうとまずいアラートも含まれています。そこで、サイバー攻撃分類フレームワークの一つの基準である「MITRE ATT&CK」をベースに、われわれのノウハウに基づいて、「もしこのポイントで成功されてしまうと深刻な事態に至ってしまう」という重要なアラートを絞り込み、お客さまへの通知や状況の解析を行うサービスとして提供します。お客さまにとって分かりやすく、かつ煩雑にならないようにしています。

　サービスのプランとしては、おすすめのセキュリティ基準を元に脅威を検知する「Basic」、Basicを基に検知基準をカスタマイズする「Standard」、お客さまの要望に合わせて検知基準を定義する「Premium」という3つのメニューを用意しています。

高野氏：日商エレクトロニクスがAzure SentinelのようなMicrosoft製品の運用サービスを展開しているのはなぜでしょうか。

奥村秀範氏

奥村氏：世の中でMicrosoftの製品を使っていない企業さんはいないと言っても過言ではないでしょう。基幹システムや重要なデータの置き場所としてAzureが選択されることも多いため、連携のしやすさを考えるとAzure SentinelはSIEMとして合理的な選択肢だと言えます。また、当社ではMicrosoft製EDRの運用支援サービス「MSS for EDR -Microsoft Defender for Endpoint-」も提供しています。SIEMにしてもEDRにしても、運用時の最大の課題は検知したアラートの分析や対応策の判断です。今後、より多くのお客さまにMicrosoft製品のメリットを最大限に享受いただくべく、運用サービスを展開していきます。

ツールでできる部分を肩代わり

高野氏：セキュリティ対策・運用を考える企業に向けてのアドバイスをお願いします。

坂口氏：お客さまのシステム基盤が、ハイブリッドクラウドやマルチクラウドと多様化する中でも、サイバーセキュリティ対策の基準はある程度示されています。「セキュリティ更新パッチの管理」をはじめ、幾つかの共通点もあります。まずはこうした基準を理解して、やるべきことをやることが重要です。

　しかし、「もっと早く攻撃を検知し、対応を早めたい」「運用の負荷を減らしたい」といった要望は出てきます。日商エレクトロニクスが「Nissho Cross Platform - Cyber Security」として提供する運用支援サービスはその解決策という位置付けです。

　サイバーセキュリティ対策を万全にするには、経営層のリーダーシップや従業員の教育などさまざまな要素が必要になります。アウトソースできる部分をツールとわれわれのサービスで補い、守りをより強固にして頂ければと思います。

奥村氏：お客さまにはそれぞれコアビジネスがありますから、サイバーセキュリティに注力するというのはなかなか難しいでしょう。EDRにしてもSIEMにしても、まず運用サービスから始めて、時間や運用負荷をそれほどかけずに対策できるお手伝いをしたいと思います。

牧島氏：経営者から見るとセキュリティはまだまだコストと見られていますが、万一被害に遭った場合の損失は直接・間接含めると多大なものになります。企業イメージやブランド力を高めるという観点でセキュリティを“戦略的投資”と捉えてもらえるようにしていきたいと思います。

セキュリティ対策の負荷を軽減するには

　高度なサイバー攻撃が日本でも増加する中、最新のセキュリティ対策を常に追い続けるのは企業にとって大きな負担となる。日商エレクトロニクスでは、営業職やマーケター、エンジニアなどをセキュリティ事業本部の中にまとめ、顧客企業と密接なコミュニケーションができる体制を構築している。

　コロナ禍による急なテレワークやクラウドサービスの導入などで、サイバーセキュリティの体制に不安を覚えているなら、まずは日商エレクトロニクスに相談してみてはいかがだろうか。