サイバー攻撃から会社と組織を守るために何ができるのか ホワイトハッカー西尾素己氏と米HP副社長アレン氏が対談

[PR／ITmedia]

PR

　サイバー攻撃の被害が後を絶たない。直近の2022年9月には、日本の電子政府総合窓口「e-Gov」をはじめとする複数の政府系サイトが閲覧できなくなるという被害が発生したばかりだ。企業を狙って身代金を要求する「ランサムウェア」によるサイバー攻撃も続いており、同じく9月には米国カリフォルニア州で約60万人の生徒が学ぶ公立ロサンゼルス統一学区の教育システムが被害に遭っている。

　このようなサイバー攻撃の被害が連日報道を賑わせているが、ここで疑問に思うことがある。インターネット時代が到来して四半世紀が経過し、この間にセキュリティ対策の重要性が広く認知されてどの企業・組織もセキュリティ対策を講じているのにもかかわらず、なぜサイバー攻撃の被害が発生し続けるのか、ということだ。つまるところ、手口が日々巧妙化するサイバー攻撃を前に、いくらセキュリティ対策を強化してもすぐに陳腐化してしまうわけである。

　では、高度なサイバー攻撃に備えるために、どのようなセキュリティ対策が有効なのか。若くしてホワイトハットハッカーとして活躍し、現在は多摩大学大学院でルール形成戦略研究所の客員教授を務める西尾素己氏と、米HPでエンタープライズセキュリティソリューション事業を担当する副社長のダニー・アレン氏が意見を交わした。

米HPでエンタープライズセキュリティソリューション事業を担当する副社長のダニー・アレン氏（写真＝左）と、多摩大学大学院でルール形成戦略研究所の客員教授を務める西尾素己氏（写真＝右）

攻撃手法の基本は以前と比べて変わっていない

――近年のサイバー攻撃に関する動向をどのように捉えていますか。特に直近で目立つようになった攻撃手法、新たな脅威を教えてください。

アレン氏（以下、敬称略）　近年のサイバー攻撃そのものは、特に目新しいものがあるわけではありません。私たちは過去何十年にもわたって経験しているものです。もちろん時代が変われば狙われる脆弱性は変わりますが、攻撃者のテクニックや戦術の基本は変わっていません。

　今も昔もそうですが、多くのサイバー攻撃の被害は人の行動が引き金になって発生します。「メールに添付されたファイルを開く」「WebサイトのURLをクリックする」など、人のそうした行動をきっかけに攻撃が始まるわけです。

　20年以上前の初期にあたるサイバー攻撃も、その攻撃経路は電子メールの添付ファイルでした。最近、猛威を振るっている「Emotet」も同様です。

　このような手口が今でも使われるのは、人の行動に“パッチ”を当てることができないからです。例えば財務部門のスタッフにメールが届き、そこに財務関係のファイルが添付されていれば、そのスタッフは当然ファイルを開きます。その際にわざわざファイルに問題ないかどうかチェックすることはできません。このような人の行動の隙を突くような攻撃が今も続いています。

西尾氏（以下、敬称略）　最近の変化としては、ロシア・ウクライナ紛争を通じて「ハイブリッド戦争」を経験していることが挙げられますね。

　国と国との戦争においても、民間企業のインフラがサイバー攻撃に狙われるという状況になっています。攻撃の基礎自体はアレンさんがおっしゃるように大きな変化はありません。ただ最近は、ゼロデイを用いたエクスプロイト（セキュリティ脆弱性を攻撃するコードやプログラム）攻撃が増えているという特徴があります。

　また、侵入したネットワークにあるツールを悪用し、不正なプログラムではない方法で任意のコードを攻撃する「Living Off The Land」（LOTL）も増えています。

　実はメールにマクロマルウェアを仕込んだようなサイバー攻撃は徐々に減少傾向にあります。一方で増えているのが、圧縮技術でアーカイブしたコンテナファイルと呼ばれるものです。Microsoftが講じたマクロの標準無効化などによりマクロマルウェアは減少しましたが、それが逆にサイバー攻撃の高度化に拍車を掛けています。すでにアンチウイルスのような既存のセキュリティ対策では対処できなくなっている状況にあります。

有効な防御手法はあるのか

――新たなサイバー攻撃の脅威に対し、有効な防御方法はどのように変化していますか。また、最近は国内でも「ゼロトラスト」という考え方が注目されていますが、この動きをどう見ていますか。

アレン　リモートワークやクラウドサービスが普及するにつれ、ネットワークの境界をファイアウォールで固めている限り安全だというレガシーなセキュリティ対策は通用しなくなりました。この弱点を補うために、多くの企業や組織がクラウドベースのセキュリティ対策を導入し始めています。

西尾　海外ではクラウド文化が浸透し、ある程度はパッチマネジメントをクラウドベンダーに委ねられますが、日本ではレガシーなシステムに、いまだにレガシーなエクスプロイト攻撃が通ってしまいます。

　セキュリティパッチを適用するといった初歩的なセキュリティ対策も不十分であれば、高度化・巧妙化したサイバー攻撃の被害から逃れることは困難です。

　このようなサイバー攻撃に備えるために必要な技術の一つとして登場したのがゼロトラストです。ところが、このゼロトラストの定義は話者によってまちまちであり、特に多いのは認証システムによる検証回数を増やしてアクセスコントロールをしようという考え方です。

　こうした考え方はゼロトラストにはなっていません。必要なのは、しっかりとした仮想空間を用意し、全てのアクティビティーを疑ってかかり、何が起きるかをきちんと検証することです。しかし、日本国内では「ゼロトラストをうたう製品を導入さえすれば、ゼロトラストが実現できる」という間違った認識が横行しています。

アレン　ゼロトラストというのは、デジタルワークプレイスをセキュアにするための方法の一部でしかありません。ゼロトラストを適切に実行すれば、攻撃者が侵入しにくくなり、狙ったデータにたどり着くスピードを遅らせることが可能になります。

　そうしたゼロトラストによるセキュリティ戦略を講じるうえで重要なのは、最近EDR（Endpoint Detection & Response）やXDR（eXtended Detection & Response）といった言葉で説明されることが多い、システム全体で何が起きているのかをしっかり見えるようにする「可視化」です。

　企業内のシステム全体を可視化しておけば、侵入を許したマルウェアが外部サーバとの通信を始めたとしても、すぐに発見・検知してアラートを発出し、通信を遮断するといった対策が打てるようになります。

西尾　その通りですね。本来のゼロトラストは、どのように行動できるかアクセス権限を設定し、それをしっかりトレースできる仕組みを用意することです。つまり、エンドポイントにおけるアクティビティーをトラッキングし、それを可視化することが重要です。これならば、マルウェアではなくOSの標準プロセスを悪用した不正行為も検知することが可能になります。

企業や組織がサイバー攻撃に対抗するために

――企業・組織は高度化・巧妙化するサイバー攻撃に対し、具体的にどのような対策を行えばよいのでしょうか。

アレン　ゼロトラストについて、HPは「双方向の対策が必要だ」と考えています。今日のゼロトラストは、すでに侵害されたエンドポイントやユーザーを信頼せずに、サーバやデータを保護するという面にしか焦点を合わせていません。しかし、外部のサーバのコンテンツを信頼せずに、エンドポイントが侵害されることを防御することに焦点を当てることも必要です。ここにエンドポイントでの仮想化の役割があるわけです。

　保護するアンチウイルスのアプリケーションが非常に優秀であっても、エンドポイントに侵入してくる脅威を100％防止することはできません。双方向でゼロトラストの対策をしておけば、万一侵入を許しても何か悪さをする前に歯止めをかけられます。

　HPが提供するセキュリティソリューション「HP Sure Click Enterprise」が狙っているのは、エンドポイントを操作するユーザーのハイリスクな行動を制御することです。例えば、「メールに添付されたファイルを開く」「Webサイトからファイルをダウンロードする」「USBメモリを端末に差し込んでファイルを開く」といったリスクの高い行動を監視・検証し、発生が予測されるリスクを回避するというものです。

　もちろんユーザーが通常の業務を滞りなく遂行するためには、ファイルを開くことを禁止できません。そこでHP Sure Click Enterpriseでは、隔離技術と仮想化技術を活用し、仮想空間の安全な場所でファイルを開くようにして、何か危険があると分かったら仮想空間を隔離・遮断します。これによりサイバー攻撃の影響範囲を最小化して、本格的な悪意ある動作を防止できるというわけです。これが、私たちHPが考えるゼロトラストです。

西尾　近年の高度化するサイバー攻撃の手口を見ると、一般的なユーザーは何に気を付けたらよいのか分かりません。そこでネットワーク全体のアクティビティーをフルキャッチし、まとめて可視化・監視・検知できるようなソリューションが今後求められるのは確かです。

　隔離技術や仮想化技術を含め、さまざまな組み合わせのセキュリティ対策に対応したパッケージソリューションを活用していく必要があるでしょう。

　私は、セキュリティソリューションというのは手軽に使えることが最も重要であり、セキュリティを強化するためにビジネスのパフォーマンスを低下させたり、セキュリティ対策に課題があってデジタルトランスフォーメーション（DX）が進まなかったりするのは実に愚かな行為だと考えています。その点、手軽に利用できるようにパッケージ化されたゼロトラストソリューションを導入することは、非常に効果的だと思います。

IT部門がサイバーセキュリティ対策で考えるべきこと

――セキュリティ担当者は数年先を見据え、どういった心構えであるべきでしょうか。

西尾　サイバーセキュリティは、単なるテクノロジーの領域ではなくなっています。冒頭の“ハイブリッド戦争”も触れましたが、すでに安全保障で考えるべき事柄の一部になっています。つまり、ナショナルセキュリティ（国家安全保障）の一部として、サイバーセキュリティがあるわけです。従って有事の際には、自社のインフラにも攻撃が及び踏み台となって戦争に加担する危険性があることを意識し、戦略を立ててセキュリティ対策に臨む必要があります。

アレン　最近はクラウドネイティブなシステムを構築する企業や組織が増えています。クラウドサービスを利用すればシンプルな運用も可能になります。ただしクラウドへ移行したら、セキュリティの問題は全て解決されるという考え方は危険です。

　クラウドであってもサイバー攻撃の被害に遭う恐れがありますから、セキュリティ事故が発生したときにどのように対応し、どのようにリカバリーするのかという手順を事前に決めておき、迅速に動けるように常にモニタリングしておく必要があります。

　自社もサイバー攻撃者から狙われているという意識を持ち、常日頃から非常時に備えた訓練に取り組むこともお勧めしたいですね。

西尾　私の立場から言えば、セキュリティ対策は重要な経営戦略の一つです。常に当事者意識を持ち、技術の流れをしっかりと把握してセキュリティを戦略的に考える力、必要な技術を提供しているベンダーを選ぶ力を身に着けることが重要であり、セキュリティ担当者にはそうした心構えを持ってほしいと考えています。

対策の一歩は情報収集から

　コロナ禍や政情不安が続く中、サイバー攻撃によるセキュリティリスクが一段と高まっている。サービス停止や情報漏えいといった被害の報告も相次ぎ、さらなるセキュリティ強化は急務だ。

　日本HPでは、こうしたセキュリティリスクに対抗するためのアプローチや攻撃手法の最新動向などを伝えるオンラインセミナーを開催する。本記事で対談した西尾氏やアレン氏をはじめとするサイバーセキュリティの専門家が登壇する貴重な機会となっているので、参加してみてはいかがだろうか。

日本HP セキュリティオンラインセミナー

　アーカイブ視聴は上記バナーをクリック、またはこちらから