企業に求められる“一人で抱え込まない”セキュリティ対策
- 特集-1
経営者の意識改革とゼロトラストへの移行
社会でAI(人工知能)活用が進み、企業にDX(デジタルトランスフォーメーション)推進が求められる中、セキュアなサイバー空間の構築と情報セキュリティ対策の重要性はますます高まっています。セキュリティインシデントは後を絶たない状況にあり、今後は企業の経営・マネジメント層における意識改革や、企業の枠を越えた業界全体での取り組みが必須となります。こうした状況を捉えて本特集では、攻撃者視点でのセキュリティ対策の第一人者である株式会社トライコーダ 代表取締役の上野 宣氏に日本における情報セキュリティの現状と課題、解決策を伺うとともに、注視すべきサイバーセキュリティのトレンドを解説します。また、キヤノンITソリューションズが重点事業領域としているクラウドセキュリティの事業概要および事業戦略も紹介します。
注視すべき4つのトレンド
株式会社トライコーダ
代表取締役
上野 宣 氏
Sen Ueno
クラウドサービスやIoTの利用が拡大し、情報セキュリティへの脅威も増大しています。そうした中で注目すべきトレンドを教えてください。
上野宣氏(以下、上野氏)私はこれまで主にオフェンス(攻撃者)側の視点からサイバーセキュリティ対策に取り組んできました。その経験と知識から挙げておきたいトレンドは、「ASM(攻撃対象領域管理)」「ゼロトラスト」「サプライチェーン攻撃」「AIの活用」の4つです。
なぜこの4つが重要なのでしょうか。
上野氏攻撃者側視点に基づいたセキュリティ対策と申しましたが、その一環としてお客さまのシステムに対して「ペネトレーション」と呼ばれるテストを行うことがあります。実際に攻撃者が実行する手法に基づいてシステムへの侵入を仕掛け、昨今のサイバー攻撃に対してどれくらいの耐性があるのかを検証するものです。そこで重点的に評価するのが、この4つのトレンドなのです。
中でも基本となるのは1つ目に挙げたASMです。システムに侵入しようとする攻撃者は、どこが“入口”となるのか、ターゲットとする企業を徹底的に調査します。公開されているWebサイトを糸口にドメインやIPアドレス、従業員数、組織体制などの基本情報をつかみ、さらにネット上のさまざまな情報からも、重要システムを担当している責任者や関係者のメールアドレスなど、あらゆる情報を収集します。その上で、誰に扮して、どんな手段で、どのルートからアクセスすれば欺けるのかを考えながら侵入ルートを探るのです。
例えば、従業員数が数千人以上で、海外にも複数の拠点があるといった規模の大きな企業となると、利用しているエンドポイントやアプリケーションの数も膨大になり、そのすべてを把握してガバナンスを効かせるのは非常に困難です。裏を返せば攻撃者は、そういった監視の目から漏れた弱点をしっかり調べ尽くした上で、侵入してきます。
今後の基本戦略はゼロトラスト
そういった攻撃に対抗するため、企業にはどのようなセキュリティ戦略が求められますか。
上野氏戦略的な意味でのキーワードとなるのは、2つ目のトレンドに挙げたゼロトラストです。従来のセキュリティ対策は、いわゆる境界型防御の考え方に基づいて、社内ネットワークの内側の安全性を担保することである程度対応できました。
しかし、現在のようにモバイルデバイスやクラウドサービスの利用が拡大し、データが社外に分散して置かれるようになると“境界”は曖昧になり、すべてのアクセスに対して目を光らせる必要が出てきます。
エンドポイントに潜んでいる脆弱性も大きなリスクとなりますね。
上野氏そこで注視しなければならないのが、3つ目のトレンドとして挙げたサプライチェーン攻撃です。一般的にサプライチェーン攻撃というと、製造業に見られるような取引先との業務上のつながりを悪用し、連鎖的な攻撃の踏み台とする攻撃手法を指しますが、それだけではありません。近年ではソフトウエアに巧妙に仕組まれたバックドアを介した不正侵入などの、“ソフトウエアサプライチェーン”への攻撃も大きな問題となっています。
先般もLinux向け圧縮ユーティリティに、バックドアとして悪用される恐れがある深刻な脆弱性が発見されました。同様に半導体チップの製造工程においてファームウエアレベルで仕組まれるマルウエアやバックドアも危険視されています。
効果的な対策はあるのでしょうか。
上野氏データはアプリケーションを含め、エンドポイントには“何も置かない”ことが、ゼロトラストの1つのゴールになると考えています。Webブラウザのみしか利用できないシンクライアントに近いイメージです。
それでも侵入リスクを100%回避することはできません。攻撃者側の視点からいえば、最終のターゲットは人間であるからです。重要人物に成り代わることができれば、基本的にその人ができることは何でも可能であり、欲しい情報も意のままとなります。実際に人をだますテクニックもますます高度化しています。
生成AIが人をだます時代
具体的には、どんな新手のテクニックが使われはじめているのですか。
上野氏4つ目のトレンドとして挙げた「AIの活用」は、その代表的なものです。例えば高度なフィッシングのために生成AIを活用するケースも見られます。
これまでのフィッシングメールは文法が間違っていたり、日本では見かけない書体が使われていたりなど、見た目からして“怪しい”ものが多々ありました。ところが生成AIを使って作成された最近のフィッシングメールは日本語も流ちょうで違和感がなく、簡単には見破れない内容になっています。
高度化するサイバー攻撃から情報資産を守るため、企業は何から始めればよいのでしょうか。
上野氏セキュリティ対策のフェーズは企業ごとに異なりますが、まず必須となるのはリスク分析です。難しく聞こえるかもしれませんが、例えばIPA(独立行政法人情報処理推進機構)が公開している「サイバーセキュリティ経営可視化ツール」を利用するのも手です。
セキュリティ対策で特に重要な10項目の実施状況について、簡単な質問に答えていくと現時点の成熟度が5段階のレーダーチャートで表示されます。同業他社と比べて自分たちのセキュリティ対策はどれくらいのレベルにあるのかを客観的に把握することで、サイバーセキュリティに関する方針の策定や、適切なセキュリティ投資などが可能となります。
求められる経営層の危機感を持った関与
担当者レベルでの取り組みには限界があり、やはり経営・マネジメント層が危機感を持って積極的に関与することが欠かせないと思われます。
上野氏おっしゃるとおりです。経営層がセキュリティに理解があるのかどうかで、スタート地点から違ってきます。経営層の理解でセキュリティ対策は確実にゴールに近いところから始められますが、何らかのインシデントが起こってから、ようやく腰を上げるという経営層が多いのも現実です。
そんな孤立無援の状態にある担当者にぜひおすすめしたいのが、経済産業省が公開している「サイバーセキュリティ経営ガイドライン」の活用です。経営ガイドラインというタイトルですが、経営層が直接読む内容というよりも、経営層に対してサイバーセキュリティに関する考え方を理解してもらうために、どのように進言すれば効果的なのかというノウハウが豊富に書かれているので役立つはずです。
経営・マネジメント層の意識を変えるために、国も動き始めているのですね。
上野氏その意味では、先のIPAでは「サイバーセキュリティお助け隊サービス」という支援制度もスタートさせています。サイバーセキュリティ対策を支援するための相談窓口のほか、異常の監視、事案発生時の駆け付け支援を含む初動対応、簡易サイバー保険などのサービスを、主に中小企業の事業環境や実情に即した内容で、安価かつ効果的なワンパッケージにまとめて提供するものです。
さらに経済産業省では、中小企業・小規模事業者向けに同サービスの導入を「IT導入補助金」によって支援する制度も用意しており、セキュリティ対策への投資を後押ししています。セキュリティ対策の重要性は分かっても、その原資を確保できずに投資に至らない企業も少なくないだけに、これらの支援制度を積極的に利用してほしいものです。
コミュニティを通じて他社とも連携
孤軍奮闘しているセキュリティ担当者に向けても、アドバイスをいただけないでしょうか。
上野氏仮に一人であってもサイバーセキュリティに高い意識を持った人材がいることは、その企業にとっての重要な戦力となります。
そんなセキュリティ担当者に今後ぜひ取り組んでいただきたいのが、“一人で抱え込まない”セキュリティ対策です。業界団体に参加したり、作ったりといった大げさな話ではありません。例えば「情シスSlack」というコミュニティは現在4000人を超えるメンバーが参加しており、サイバーセキュリティに関する悩みの相談も気軽に投げかけられます。
私が代表を務めている「OWASP*1 Japan」にも奮ってご参加をいただけたらと思います。全世界で活動しているNPO団体「OWASP」の日本支部であり、セキュリティ啓発活動のほか、約3カ月に1回のペースで勉強会も実施し、さまざまな課題に取り組んでいます。
「Hardening Project*2」とのコラボイベントでは、実際のケースを設定した課題にチームを組んであたり、セキュリティインシデントを体験することが可能です。講師陣があの手この手で攻撃を仕掛けるので、最新のサイバー攻撃とはいかなるものなのか、対策を含めて身をもって学べます。もちろん参加費は無償です。
そして何よりも大きなメリットとして、共に学んだメンバーは今後のセキュリティ対策を進めていく上で、かけがえのない“仲間”となるはずです。“一人情シス”のセキュリティ担当者も孤立無援ではなくなります。
*1 Open Worldwide Application Security Project。Webをはじめとするソフトウエアのセキュリティ環境の現状、またセキュアなソフトウエア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的に活動する非営利団体。世界各地に支部があり日本でもOWASP Japanなどが活動している。
*2 サイバーセキュリティの実践力を強力に向上することを目的に開催されるセキュリティ堅牢化競技会「ハードニング競技会」を運営するボランティア・プロジェクト。2012年から毎年継続開催されている。
奈良先端科学技術大学院大学にて情報セキュリティを専攻、2006年にサイバーセキュリティを専門とする同社を設立。株式会社Flatt Security 社外取締役、一般社団法人 セキュリティ・キャンプ協議会 理事・顧問、OWASP Japan代表、国立研究開発法人情報通信研究機構(NICT)実戦的サイバー防御演習CYDER推進委員なども務める。
- 特集-2
- セキュリティトレンドキーワード
キヤノンITソリューションズのセキュリティエバンジェリストが解説
上野 宣氏が注目する最新セキュリティトレンド
Keyword 01:ASM/攻撃対象領域管理 [Attack Surface Management]
インターネット上に公開されているなど組織の外部からアクセス可能で、サイバー攻撃を受ける可能性があるIT資産をアタックサーフェスといいます。ASMとは、組織のアタックサーフェスを把握し、それらに存在する脆弱性などのリスクを継続的に検出・評価することで、リスクを管理することを指します。クラウドサービスの普及、コロナ禍によるテレワークの拡大等を通じたリモート化が進んだ結果、アタックサーフェスも増加しているため、ASMの必要性はますます高まっています。
Keyword 02:ゼロトラスト [Zero Trust]
ゼロトラストとは、その言葉のとおり“暗黙の信頼(Trust)はしない(Zero)”という前提に立ったセキュリティ対策の考え方です。従来のセキュリティ対策は、ネットワークを“安全な内部”と“危険な外部”に区別し、その境界で対策を行う境界型防御でした。それに対してゼロトラストでは、社内ネットワーク内のデバイスからのアクセスであっても暗黙に信頼せず、常にアクセスの信頼性を検証することで、組織の情報資産やIT資産を保護します。
キヤノンITソリューションズ株式会社
ITインフラ技術統括本部
サイバーセキュリティ技術開発本部
サイバーセキュリティラボ
セキュリティエバンジェリスト
西浦 真一,CISSP
Shinichi Nishiura
Keyword 03:サプライチェーン攻撃 [Supply Chain Attack]
サプライチェーン攻撃とは、組織間の業務上のつながりを悪用する攻撃手法です。標的組織の関連組織や子会社、取引先などを侵害し、それを踏み台として標的組織に侵入するケースのほか、標的組織が導入しているIT製品やサービスを踏み台として標的組織を侵害するケースなどが確認されています。外部に対して強固なセキュリティ対策を行っている組織であっても、サプライチェーンを足掛かりとされることで、攻撃者の侵入を許してしまう恐れがあるため、注意が必要です。
Keyword 04:AIの活用 [Attack using AI/Attack by AI]
AIの活用に期待が寄せられる一方、攻撃者による悪用も懸念されています。悪用例としては、フィッシングメールやマルウエアの作成、虚偽の動画や音声、画像を生成するディープフェイクの増加などがあります。米連邦捜査局(FBI)が就職のオンライン面接で別人になりすますといったディープフェイクの増加を発表しているほか、英国では、2019年に企業の最高経営責任者(CEO)を装った電話でディープフェイクの音声が使われ、22万ユーロ(約2600万円)を送金してしまう事件が報告されています。
※ 記事中のデータ、人物の所属・役職などは、記事掲載当時のものです。