企画広告 提供:イーセットジャパン株式会社
株式会社アスタリスク・リサーチ代表
岡田 良太郎氏(写真左)
×
イーセットジャパン株式会社
セキュリティモニタリングスペシャリスト
佐島 隆博氏

すぐにできる!プロアクティブなサイバー攻撃対策の「事前準備」

サイバー攻撃の多様化・高度化が進み、防御の難度はますます高まっている。その一方で、企業規模を問わずリモートワークが一般化し、エンドポイントが境界防御の外側で使われるケースが増え、サイバー攻撃の脅威に直接さらされるようになった。そんな状況下で、どうすればサイバー攻撃から事業を守れるのか。サイバーセキュリティのエキスパートとして多方面で活躍しているアスタリスク・リサーチ代表の岡田 良太郎氏と、イーセットジャパン セキュリティモニタリングスペシャリストの佐島 隆博氏が意見を交わす。

岡田 良太郎氏 アスタリスク・リサーチ代表
岡田 良太郎氏
アスタリスク・リサーチ代表
【プロフィール】
アスタリスク・リサーチ代表取締役であり、またインダストリアル・リサーチャとして活動する。同社では、企業のセキュリティ実践支援やCISOアドバイザ、PSIRT構築、先進技術活用支援を手掛ける。公共的な活動としては、OWASP Japanチャプターリーダー、Hardening Projectオーガナイザ、総務省CYDER推進委員としても活動。BBT大学で「教養としてのサイバーセキュリティ」の教鞭をとる。「CISOハンドブック」執筆チームメンバー。MBA、CISA、CSM保有。
佐島 隆博氏 イーセットジャパン セキュリティモニタリングスペシャリスト
佐島 隆博氏
イーセットジャパン
セキュリティモニタリングスペシャリスト
【プロフィール】
コンピューターメーカーと通信系研究所でデバイスドライバー開発に携わる。エンタープライズテクニカルサポート業務に長年従事したのち、セキュリティベンダーでマルウェア解析を行い、現在はイーセットジャパンで脅威監視を担う。

セキュリティ上の「危うさ」が増している理由

岡田氏(以下、敬称略)まずはサイバーリスクを巡る状況について確認させてください。

佐島氏(以下、敬称略)今日におけるセキュリティ上の最大の脅威はランサムウェアです。企業システムは、このマルウェアを使ったサイバー攻撃(以下、ランサムウェア攻撃)の脅威に常にさらされ、対策の強化が求められています。

岡田ランサムウェア自体はかなり以前から存在した脅威です。それが深刻化した要因についてはどう考えておられますか。

佐島大きな要因は、暗号通貨によってランサムウェア攻撃の“マネタイズ”がしやすくなったことです。ご存じのとおりランサムウェアは、データを“人質”に金銭を要求するタイプのサイバー犯罪で、金銭の支払いに暗号通貨が初めて使われたのは2016年です。以降、暗号通貨は「足がつきにくい」といった理由から、ランサムウェア攻撃での悪用が定着し、広がりました。

岡田暗号通貨によってランサムウェア攻撃が簡単で、足がつきにくく、かつコスト効率の良い犯罪となり、横行するようになったわけですね。

佐島はい。結果としてランサムウェア攻撃は、規模の大小にかかわらず、あらゆる企業が逃れられない脅威になりました。

岡田そんな中でリモートワークが一般化し、企業のエンドポイントが、ファイアウォールなどで保護された社内ネットワークの外側で使われるケースが増えました。これにより、サイバー攻撃の主たるアタックポイントが、ネットワークの境界線から、社内のデータやアプリケーションへのアクセス権限を持つ人(エンドユーザー)へと変化しています。セキュリティ上の境界線は、いまや社内ネットワークの防御壁などではなく、会社で働く人やその人が持つアクセス権限となり、サイバー犯罪者はそこを狙っているというわけです。

佐島おっしゃるとおりで、そのために従来よりもセキュリティ上の「危うさ」が増していると思います。セキュリティ対策上、最も脆弱なポイントは「人」ですから。

攻撃への備えをどう整えるか

岡田 良太郎氏 アスタリスク・リサーチ代表
佐島 隆博氏 イーセットジャパン セキュリティモニタリングスペシャリスト

岡田サイバー攻撃のアタックポイントが変化する中で、企業は防御の施策をどのように考えるべきなのでしょうか。サイバー攻撃の多様化・高度化が続く今日では、企業のエンドポイントを攻撃から完璧に防御することが難しくなっていますよね。

佐島それでも防御のテクノロジーをエンドポイントに適用することは、サイバーリスクを引き下げるうえで大切です。その理由はシンプルで、今日における脅威は90%以上が「既知」のもので、そのすべてを「パターンマッチング」や「振る舞い検知」といった防御のテクノロジーでブロックできるからです。これらは古いテクノロジーとみなされがちで、比較的軽視されることが多いかもしれません。しかし既知の脅威を確実に排除することは、対応の効率化において重要な役割を果たします。

 もちろん、防御だけではセキュリティ対策としては不十分です。万が一の脅威の侵入に備えて潜在脅威を早期に検知し、他への広がりをブロックできるテクノロジーと体制を整えることも必要です。ただし、テクノロジーを導入しさえすれば、対策が万全になるわけではありません。テクノロジーへの過度の依存は避けるべきだと考えます。

岡田では、セキュリティ対策の強化に向けて、どこから始めると良いでしょうか。

佐島まず行うべきは、自社の事業の安全性や継続性を担保するために、何を優先的に守るかを明確にすることです。そのうえで、自社内の誰が、どんなデータをどのように扱っているかを調べ上げ、それに基づいて適切なセキュリティポリシーを定めることです。これは、エンドポイントへの脅威や侵入に備えた「事前準備」の作業です。そして、テクノロジーは、この準備作業で明確にしたセキュリティの方針や戦略を実現するための手段、ツールに過ぎないと捉えるべきでしょう。

岡田セキュリティポリシーを定めるうえで留意すべき点は何かありますか。例えば、ランサムウェア攻撃に備えるという観点から、どのようなポリシーを設定するのが望ましいのでしょうか。

佐島ランサムウェア攻撃の典型的なパターンは、攻撃用メールなどを足掛かりに、組織内の誰かのエンドポイントをマルウェアに感染させてID/パスワード(認証情報)を盗み出し、他のエンドポイントへの移動手段を探り当てながら内部に入っていき、最終的に価値の高いデータにたどり着くというものです。

 そうした脅威に対する耐性を強化するには、組織内の誰もがエンドポイントを通じて社内のネットワークを縦横に行き来できたり、すべてのアプリケーションにアクセスできるような権限の設定を避けることです。つまり、従業員各人の業務内容に応じて、エンドポイントから利用できるデータやアプリケーションを制限し、アクセス制御をしっかり行うことが大切です。

岡田従業員各人が自分の使いたいアプリケーションを、インターネットから自由にダウンロードしてエンドポイントにインストールしてしまうような状況である場合、これも見直したほうが良さそうですね。

佐島はい。インターネット上には、セキュリティリスクの高いアプリケーションが多くありますし、信頼できるとされるパッケージマネージャーがあっても、パッケージリポジトリが汚染されるケースもあります。ですので「一般の従業員にはアプリケーションのインストールを一切させない」といったポリシー設定は必要でしょう。

岡田近年では、大手企業にサイバー攻撃を仕掛けるために、その企業と取引する中小企業を踏み台として狙うサプライチェーン攻撃も活発化しています。ランサムウェア攻撃と同様に、この攻撃も中小企業にとって非常に深刻な脅威です。それに対抗する上でも、先ほど話された事前準備が大切ですね。

佐島そう考えます。特に中小企業の場合、セキュリティ対策に投じられる資金に限りがありますので、特別な投資をせずとも行える事前準備には多くの労力をかけるべきです。

サイバー攻撃に打ち勝つために必要なこと

佐島 隆博氏 イーセットジャパン セキュリティモニタリングスペシャリスト
岡田 良太郎氏 アスタリスク・リサーチ代表

岡田先ほど、テクノロジーへの過度の依存は避けるべきと話されましたが、イーセットはセキュリティテクノロジーのプロバイダーですよね。その観点から、今日のテクノロジーでどんなことが可能になるのか教えてください。

佐島イーセットは現在、法人向けにクラウド型の包括的セキュリティプラットフォームソリューション「ESET PROTECT」でXDRコンポーネントの「ESET Inspect」を提供していて、その中で「予防ファースト」というコンセプトを打ち出しています。

 サイバー攻撃者が目的を達成したら被害と対応コストは最大となり、逆に攻撃を最初期段階で防ぐことができれば被害も対応コストもゼロになります。EDRが登場する以前、境界防御が主流だったころは組織内に侵入されたらほぼ「負け」が確定していました。

 現在では侵入された後でも勝機があり、より早い段階で攻撃を察知、阻止するほど被害と対応コストを抑えることができます。エンドポイントへの侵入を可能な限り防ぎ、突破されても継続的な監視によって早期発見と対応を可能とするものです。

岡田関連してお聞きしたいのですが、先に言及された振る舞い検知は、どのようにしてユーザーを守るのですか。

佐島振る舞い検知は、膨大な数のセンシングデータに基づいた「脅威インテリジェンス」を通じて、エンドポイントの挙動から脅威である可能性の高いものを洗い出し、早期のブロックに役立てる仕組みです。

もっとも、振る舞い検知が常に完璧に機能するわけではありません。というのも、特定の振る舞いが「異常」か「正常」かは、組織の業務形態によって異なるからです。そこを理解しないまま、振る舞い検知のソリューションを導入しても、エンドポイントにおける特定の挙動が異常か正常かの正しい判断が行えずに困ることが起こりえます。

岡田なるほど、振る舞い検知のソリューションは、デフォルト設定のままでは組織のコンテキストを無視したかたちでアラートを上げてしまうわけですね。

佐島そうです。この問題は、「MDR(Managed Detection and Response)」と呼ばれるセキュリティ監視と脅威の検知を行う運用サービスでも同様に起きていることです。MDRサービスのプロバイダーは通常、インテリジェンスや汎用的なルールに基づいて脅威を検知しアラートを上げますが、そのアラートは個々のユーザー・組織にとって意味のないものであることが多くあります。そうしたMDRによるアラートを個々のユーザー組織にとって意味あるものへと変えるには、ユーザー・組織側が自分たちの組織内でどのような業務が行われ、どこに何があり、何を守るべきかの情報を集めてMDRサービスプロバイダーに提供する必要があります。また、そのうえで脅威検知のルールをカスタマイズしてもらう必要があり、それは決して楽な作業ではありません。そのため、MDRベンダーとの協力関係を築き、一緒にチームとして各組織にとって最適な環境を創り上げていくことが大切です。

企業を真に守るソリューションとは

岡田企業が何らかのセキュリティインシデントを引き起こした場合、その責任はすべて当該の企業が負うことになります。そのためセキュリティソリューションのプロバイダーには、「この製品・サービスを導入しておけば絶対に安心です」という根拠のないことを言って欲しくないですし、佐島さんが指摘するように、ユーザー側もすべてをテクノロジー任せにせず、責任をもって対策の強化に取り組むべきだと考えます。

 とはいえ、仮に企業がサイバー攻撃の脅威から自分たちを守りたいと懇願してきたときに、その願望を叶えるプロセスを取り扱い可能なレベルにするのは、ベンダーの責任ではないかと考えますが、いかがでしょうか。

佐島セキュリティ対策を楽にするという意味では、他社と比べて当社の製品のユーザーインタフェースは使いやすいという評価をお客様から受けています。加えて今日では、エンドポイントのモニタリング結果に対して、セキュリティ管理者が詳しい解説を問い合わせたり、とるべき行動をアドバイスするサイバーセキュリティアシスタント「ESET AI Advisor」も提供しています。これは、自然言語を通じてエンドポイントで起きているインシデントの解説や推奨対応をリアルタイムに提供する仕組みです。

岡田そのAI機能はとても興味深いですね。

佐島加えて当社のソリューションでは、ダッシュボードに表示される「インシデント」を通じて、エンドポイントで何が起きたかを文章でセキュリティ管理者に伝える機能も提供しています。これによりセキュリティ管理者は、個別の検知内容をいちいち見にいかずともインシデント全体が把握でき、ダッシュボードのグラフを通じてインシデントの相関関係を把握するのも簡単です。さらに、AIによって個別の検知結果を相関分析して1つにまとめ、その危険度を予測する機能も提供しています。

ダッシュボード画面イメージ
ダッシュボード画面イメージ
相関分析イメージ
相関分析イメージ
※1相関分析イメージ(拡大)
※1相関分析イメージ(拡大)
※2相関分析イメージ(拡大)
※2相関分析イメージ(拡大)

岡田すばらしい機能ですね。イーセットがこれまで蓄積してきた知見、ノウハウ、インテリジェンスに基づいた情報の提供や可視化は、ユーザー企業にとって分かりやすく、インシデントの把握や対応のスピードアップにつながりそうです。

 そもそも、セキュリティ対策を巡る最大の問題点は、その分かりにくさにあります。対策のユーザビリティやユーザーエクスペリエンス(UX)もすこぶる悪く、それが対策強化の足かせになってきたと感じます。その点でイーセットのソリューションには、セキュリティ対策の分かりにくさを解消し、ユーザー企業による対策の強化につなげようとする意志が感じられますね。

佐島イーセットがユーザビリティの向上にこだわりをもって取り組んでいるのは間違いありません。

岡田企業のセキュリティを巡っては、万が一、防御が破られたときに、どの段階で何が起こるかがぜんぜん見えなくなることがペインです。ですので、自社のシステムで平常時でも、異常事態でも、何が起きているかを把握できる能力や仕組みを整備し、保持しておくことが大きな鍵になります。その意味で、エンドポイントで起きている事象を把握し、有事でも分かりやすく可視化できるイーセットのソリューションは、企業が主体的にセキュリティ対策を進める大きな力になりそうですね。

 本日は、対談にお付き合いいただき、ありがとうございました。

関連リンク 【プロアクティブなセキュリティ対策】簡単、直感的に使えるインターフェイスの統合プラットフォームが提供するESET法人向けソリューション一覧
カスタマイズ性が高く、お客様のセキュリティ運用に合わせてサービスを提供するのESETのMDRESET MDR(マネージドサービス付きXDR) 世界トップクラスの専門家の知識とAIを組み合わせたESET 脅威インテリジェンス
提供      :イーセットジャパン株式会社 企画/制作   :朝日インタラクティブ株式会社 営業部 掲載内容有効期限:2025年3月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]