「サイバー攻撃は現実的な問題」 被害に遭えば致命的、でも“24時間365日守る”なんてムリ――企業の対策は？

[PR／ITmedia]

PR

　悪意あるメールを起点に感染を広げるマルウェア「Emotet」や、企業の機密情報を人質に金銭を要求するランサムウェアといったサイバー攻撃への注意喚起や被害報告が連日のように報道されている。

　もちろん過去にも、サイバー攻撃の被害が急増してセキュリティベンダーや行政機関が警戒や対策を呼び掛けた時期はあった。しかし、これまでは「このマルウェアが流行っているから要注意です」と声掛けしても、「自社は大丈夫」と思っていた人も多い。ところが現在はサイバー攻撃の被害が具体化し、現実的な危機として受け止められつつある。

ソフトバンクの澤入俊和氏（セキュリティエバンジェリスト）

　こうした状況で企業の危機意識が高まっていると指摘するのは、ソフトバンクのセキュリティエバンジェリストである澤入俊和氏だ。「大手製造業がランサムウェアに感染して工場の操業が停止する、取引先企業がEmotetに感染したなど脅威を身近に感じるケースが増えています。サイバー攻撃に遭ったらどのような実害があるのかを目の当たりにしたことで、脅威を現実的な問題として実感する人が増えました」（澤入氏）

　いまや情報システム部門の担当者だけでなく、業務部門も経営層もサイバー攻撃に対する意識や警戒感は高まっている。しかし、肝心の対策は進んでいない。企業は脅威にどう立ち向かい、自社を守ればいいのか。澤入氏に解説してもらった。

洗練度を高めるサイバー攻撃　従来の対策では企業の資産を守りきれない

　注意喚起や被害報告が増えると、「新たな攻撃方法が登場したのか」「感染力の強いランサムウェアが出てきたのか」と心配する人がいる。しかし、 攻撃に使われている技術そのものは大きく変わっておらず、攻撃者の手口が洗練されたことで被害が拡大している。

　数年前のように無差別にランサムウェアを拡散して、感染した企業に脅迫を送る「ばらまき型」ではなく、はじめから特定の企業や特定のシステムを狙う「標的型」に変化している。そのため、以前より高い精度で明確にターゲットを狙って攻撃するようになったと澤入氏は警鐘を鳴らす。

　攻撃者の姿勢が変わったことで、従業員に「不審なメールは開かない」「怪しいファイルはダウンロードしない」と指南しつつ、セキュリティ対策製品をPCに導入するだけでは対処できなくなった。従業員がファイルを開かずとも、VPN機器やリモーデスクトップツールなどの脆弱性を突いて社内ネットワークに侵入できてしまう。一度侵入してアクセス権限を入手できれば、機密情報を暗号化し、復旧と引き換えに金銭を要求できるため企業にとっては致命的だ。

　このように、これまで通り情報セキュリティ対策を製品に任せっきりにするだけでは被害を防げない。脆弱性を修正するといった基本的な対策で侵入そのものを防ぐとともに、万が一ネットワーク内に侵入された場合でも早期に検知して食い止める体制を作り、企業にとって最も重要なシステムや情報に被害が及ぶ前に事態を収拾することが重要だ。

セキュリティ対策製品を導入しても、24時間365日対応するのは困難

　被害の拡大を防ぐという考え方から、EDR（Endpoint Detection and Response）という製品が注目を集めている。EDRはエンドポイントのログを分析して異常な動きがあればアラートを出す製品で、攻撃者の動きを検知できる。これを生かせば、セキュリティ担当者は影響があった範囲を特定して、それ以上広がらないようにネットワークから遮断するなど対応できる。

　ただし、EDRを含む多くのセキュリティ製品は異常があればアラートを出すが、それを受けて次にどう対応すべきかを担当者が迅速に判断するのは難しいと澤入氏は指摘する。情報セキュリティを専門に担当する組織のCSIRT（Computer Security Incident Response Team）を設置していても、24時間365日体制で張り付いて対応に当たる人員を用意するのは困難だ。さらに影響範囲の特定といった追加の調査まで自社内で完結する体制は、そう簡単には作れない。

セキュリティ専門部隊が24時間365日対応する「マネージドセキュリティサービス」

　自社だけでは情報セキュリティ上の脅威から守りきれない――こうした背景から登場したサービスが「マネージドセキュリティサービス」（MSS）だ。セキュリティベンダーの専門部隊が、顧客企業のIT環境を24時間365日体制で監視する。顧客の代わりにアラートを受け取って誤作動などのノイズを排除し、深刻な事態につながりそうなら顧客の担当者に通報する。サービスによっては、初期対応まで実施することもある。

　実は、ソフトバンクでもMSSを提供している。MSSとは具体的にどのような内容で、企業をどう守るのか、澤入氏は同社が提供するサービスを例に説明してくれた。

MSSの全体像（クリックで拡大）

MSSは、幅広いセキュリティ製品を網羅する必要がある

確かな情報セキュリティ対策を実現するには、幅広いセキュリティ製品の中から顧客のIT環境や要望に合わせて適切な構成を作ることからはじまる。

　ソフトバンクの場合は、PCやスマートフォンなどのエンドポイント監視ツールやファイアウォール、統合脅威管理（UTM）、URLフィルタリング、メールセキュリティといったセキュリティ製品をそろえている。さらにクラウドベースでゼロトラストセキュリティを実現するSASE（Secure Access Service Edge）や認証機能など、幅広いソリューションを網羅している。

　同社は「マルチベンダー」を掲げており、顧客が守りたい部分をしっかり評価して、自社の強みを生かしながらさまざまなセキュリティ製品から適切なものを選ぶ体制を整えている。幅広い製品があるため「顧客がサービスに合わせる」のではなく「顧客に合ったサービス」を提供できるのもメリットだ。

MSSで迅速な判断と対応を支援　Emotetを例に説明

　澤入氏は、MSSの効果を説明する例としてEmotetを取り上げた。Emotetの場合はメールのセキュリティ製品の監視と、エンドポイント側での検知を組み合わせることで対応できる。仮にメールの段階でセキュリティ製品をすり抜け、ユーザーがEmotetに感染してしまっても、エンドポイントで検知して被害の拡大を防げる。さらに、感染経路や原因を追跡することも可能だ。このように迅速な判断と対応を支援するのがMSSだ。

MSSはランサムウェア対策にも有効　複数製品の組み合わせで防御

　ランサムウェア対策でもMSSは有効だ。ソフトバンクのMSSでは複数のアプローチを用意している。まずネットワークセキュリティとEDRで、端末上での不審な動きやC2サーバ（指令サーバ）との通信をブロックしたり、社内ネットワーク内での拡散を食い止めたりする。これにより侵入を早期に検知し、封じ込める。

　EDRの性能は製品によって異なるが、ソフトバンクが提供している米Cybereason社はランサムウェアをブロックする独自機能を備えており、ランサムウェアが実行されても被害を防ぐ最後の砦になる。

　またソフトバンクでは、セキュリティ機器のアラートを監視するという従来のMSSの枠組みを広げ、脆弱性管理を支援するサービスも提供している。同社が取り扱っている米Rapid7社の製品に備わる脆弱性管理機能を組み合わせれば、侵入の入り口になるVPN機器や外部に公開しているサーバの脆弱性を早期に発見できる。パッチ適用などのマネジメントを進めていくことで、根本的な対策が可能だ。

　また、通信事業者ならではの選択肢として、VPNのマネージドサービスも提供している。「機器自体のマネージド提供と、脆弱性管理ツールの活用支援の両軸で脆弱性対策を支援します」（澤入氏）

　「まずは攻撃を受けても被害を生まないような環境を整え、仮に侵入されても早期に封じ込めて、万が一ランサムウェアが実行された場合でも検知して対応をするといった具合に、多段的にアプローチすることがMSSの有効性です」（澤入氏）

MSSは”大企業だけのもの”ではない　中小企業向けサービスの展開も

　MSSの有用性を伝えてきたが、「MSSは情報セキュリティに投資できる大手企業向け」というイメージがあるかもしれない。しかしソフトバンクはそれを打破してより多くの企業の安全を守るために、中小企業向けのサービス「MSS Basic」を提供している。

　MSS Basicは、あらゆるIT機器のログを一元的に監視するSIEM（Security Information and Event Management）とSOAR（Security Orchestration, Automation and Response）を基盤に、初期対応を自動化することで提供コストを抑えた。「自動化の対応内容は、ソフトバンクの専門部隊のノウハウを注いでチューニングしています。そのため、誤検知を減らしつつ、異変を検知できるバランスを備えています。中小企業でもしっかりしたセキュリティ対策が可能になります」（澤入氏）

　もちろん大手企業でも、MSS Basicを使えばコスト面で効率よく情報セキュリティ対策できる。情報セキュリティ対策は多岐にわたるため、自社で済まそうとせずにベンダーの力も頼ってほしいと澤入氏は話す。そして、つぎはぎになりがちなセキュリティ対策の全体像をまとめ、効果のある仕組みを作る上でもMSSは役に立つと結んだ。

　さまざまなセキュリティ対策製品を導入しても運用しきれない、アラートに対処できていない、専門の担当者を用意できないといった課題を抱える企業にとって、MSSは自社を守る現実的な選択肢だ。そうした課題を持つ人は、ソフトバンクに相談してはいかがだろうか。専門知識と幅広い製品ラインアップを活用して、課題や要望に適した提案をしてくれるはずだ。