現在、さまざまなセキュリティ事故が発生し、攻撃手法も変化しているが、セキュリティベンダーのセキュアワークス(川崎市幸区)が一番重要だと考えているのは、企業が脅威を「見られない」「見えない」「見ていない」ことだという。7月28日、日本のセキュリティ市場動向と同社の重点ソリューションに関する説明会で述べた。
同社でマーケティング事業本部事業本部長を務める古川勝也氏は、「攻撃者の視点からすると、顧客が見られてない、見えてないといったところから侵入をして、最終的なゴールを達成するという動きになる。そのため、この部分を重点的に解消していくことが我々の役目」と語る。
そのため、同社の注力ポイントとしては、「見える化」の強化があるという。つまり、脅威を「可視化して、隅々まで何が起きているかを見えるようにして、それを収集し、適切に対応する」ことになるが、「可視化をするというところがなかなか上手できていない」と古川氏は述べる。
同社では過去のインシデント対応をもとに分析し、可視化できない原因としては3つあると考えている。
最初の原因は「見られない、見られてない脅威」だという。監視や管理をしているつもりでも、「アラートが多すぎたり、誤検知が多かったりで、いちいちチェックしてもどんどん漏れていく。また、本当に危ないかという判定がまちまちで、正しくない場合があり、結局、それが深刻な影響を及ぼす。見ているつもりだが、上手く見ていない」(古川氏)
2つ目は「見えない脅威」。日本の製造業などから情報を奪ったりするような国家ぐるみのサイバー攻撃では、「セキュリティコントロールを目的に導入したEDR(Endpoint Detection and Response)やUTM(統合脅威管理)などをすり抜けるようなテクノロジーを活用したり、正常なシステムを悪用したりすることで、テクノロジーを回避するというのがある」(古川氏)。このように、テクノロジーで検知できないのが見えない脅威だという。
3つ目は「見ていない脅威」。日本国内の組織は守られているが、海外の子会社やサプライチェーンの弱いところから侵入され、本社や工場が影響を受けるというケースが多くなっていると古川氏は述べる。弱い部分がある理由としては、本社の管理が行き届いていない、見ていないというのがあるという。「“自分たちの守備範囲はここなので、ここは頑張っている”といった組織のサイロ化の隙間といった、見られていないところが脅威の入り口となっている」(古川氏)
この3つを可視性と対策度の2軸で区分けすると、次の図のようになる。組織にとって優先度が高いシステムやデータは、可視性が高くて適切な対策が取られている右上に位置する。攻撃者としては、この部分を攻撃してもすぐに検知されてしまうため、可視性が低くて適切な対策が不十分な左下に位置する、海外拠点などを入口として狙うことの優先度を高くする。
