株式会社日立ソリューションズ
セキュリティプロフェッショナルセンタ
青山桃子氏
2019年12月開設「日立サイバーセキュリティセンター」にて
―日立ソリューションズでは、セキュリティのプロフェッショナル集団としてホワイトハッカーチームを組織されていますが、具体的にはどんな活動をされているのでしょうか。
私が所属するホワイトハッカーチームは、セキュリティプロフェッショナルセンタというセキュリティ技術専門部隊で、主に社内でセキュリティのインシデントが起きたときの対応や技術支援を担当しています。例えば、当社が提供しているサービスに対してサイバー攻撃が発生した場合やそれらの痕跡があった場合に、技術的な相談を受けて回答をしたり、情報漏洩の有無や侵入経路などを詳しく調べなければならないときに調査を実施したりしています。
組織を立ち上げたのは4年前で、お客様向けのセキュリティ対応や保守などの業務に就いていた社員の中から素養がありそうなメンバーを集めて結成しました。ホワイトハッカーは現在10名ほどで、これから適性を見極めながら増員していく予定です。
人の心理に付け込んだ詐欺系の攻撃に十分な注意を
―自社サービスへの技術支援などを通じて企業を取り巻くサイバーセキュリティの現状を注視されている中で、セキュリティの脅威についてはコロナ前後でどのような変化が見られましたか。何か特徴的な脅威が出現しているのでしょうか。
コロナ前後でサイバー攻撃の量が変化したかというと、実はそうでもないです。我々はマルウェアの調査も実施していますが、コロナをきっかけに爆発的に増えたということはなく、技術的な観点からはさほど変化はありませんでした。
ただそれ以外の部分で、コロナ禍での不安を煽るような詐欺系のサイバー攻撃が増えました。フィッシング攻撃やビジネスeメール詐欺のような詐欺攻撃で、新型コロナウイルスが切り口として使われてきた印象です。例えばフィッシングメールの中にコロナに関係する要素が増えており、マスクの無償配布といった、不安になっている人の心理に付け込んだ攻撃があるので、常に注意が必要です。
―詐欺系のものでは、具体的にはどのような事例がありましたか。
ビジネスeメール詐欺では、コロナで不安になっている心理を利用する形のものがすでに出てきています。例えば情報処理推進機構(IPA)で海外の事例として紹介されているのですが、「コロナの影響で銀行の業務が停止しているから違う銀行に振り込んでほしい」という内容のメッセージで、支払先を自然な形で変更させるような詐欺がありました。その際、取引先のCEOや幹部など実際のアドレスや名前を騙って送られてくることが多く、ぱっと見では分からない巧妙なものもあるので、実際に支払いの責任者やメールを受け取るような立場の人がしっかりとセキュリティ意識を高めていくことが重要です。
―他にマルウェアやランサムウェアで目立っているものはありますか。
数年前からEmotetというマルウェアが登場し、特に去年広く拡散されていました。Emotetは自らが攻撃もしますが、他のマルウェアやランサムウェアを新しくダウンロードできるため、感染させた後に改めて狙いを定めて色んな攻撃を仕掛けることができます。コロナ前から形を変えながら新しい検体、亜種がどんどん出ており、それらがコロナ禍でも利用されている状況です。
―テレワーク環境を狙った攻撃も増加している様子ですが。
今年7月くらいに、VPN機器の脆弱性を狙った攻撃が行われ、海外企業で約900社、日本でも40社弱が被害に遭いました。年初あたりから立て続けに複数メーカーのVPN機器で脆弱性が公開されていて、テレワークの増加によってそこが狙われた形です。メーカーが対策パッチを発行していてそれを適用できれば問題ないような脆弱性だったので、それぞれで対応してもらえていれば大丈夫というレベルのものだったのですが、脆弱性が公開されていることに気付かないまま、テレワークのために急遽会社にあった古い機器を使っていたという企業も多かったと思われます。
完全さを求めるために対策が進まない日本企業
―テレワークのセキュリティ対策も含め、海外と比較して日本企業のセキュリティ意識の低さが指摘されがちです。
セキュリティを体系的にしっかりやろうとする意識では、日本は全く負けていないと思います。対策・検討という意味では、むしろ前向きです。ただ、慎重な日本的な考え方というのでしょうか、“完全に”やろうとしてしまうんですね。そのために一歩目の踏み出しや、対策自体がなかなか進まないという傾向はあると感じています。
これからを見据えて、企業はセキュリティ対策をどう進めていけば良いでしょうか。
テレワークもそうですが、コロナ禍での対策を機にデジタルトランスフォーメーション(DX)を進める企業は多いと思います。その際、セキュリティは機能ではなくてインフラである基礎・土台の部分が重要になってきます。新規にシステムを組み立てる段階であらかじめセキュリティを考えておけば、きちんとした体系的な対策がとれるようになり、後々のコストも安く抑えられます。
テレワーク対策という部分では、あらゆる場所から遠隔で接続し、その際に安全に利用できるようにするためのゼロトラストセキュリティの導入や、従業員のセキュリティ意識を体感レベルで高めるための標的型メール訓練サービスの活用などが有効です。
今までの取り組みを振り返れるこの時期に十分な検討を
―現状のテレワーク環境を強化するために即効性がある対策はありますか。
そもそもセキュリティ対策では、この機器やソリューションを入れれば大丈夫と一概にはいえなくて、基本的にはお客様の業務をきちんと整理して現状も把握し、仕事や業務を回すうえで必要となるソリューションを導入しないと、十分な効果は望めません。テレワークにおけるセキュリティ対策も、今までの取り組みを振り返る余裕のある時期にしっかり検討し直すべきです。そういうことを経営層や責任者に理解していただくと、スムーズに話が進むと思います。
テレワークにおけるセキュリティの整備については、総務省を始め多方面からガイドラインが出ているので、それを参考にすると良いでしょう。状況も変化し、新しいセキュリティ技術も次々と出てきますが、ベースとなる考え方は体系的にまとまっているので、それらを参考することができます。加えて、我々のようなソリューションベンダーを活用していただけば、最新の攻撃に対してもソリューションで補うなど、十分な対策をとることができます。
―最後に、テレワークを安心・安全に進めたい企業の経営層や担当者にメッセージをお願いします。
テレワークを継続して実施していただくために、基礎となるのはルールの整備です。そして整備されたルールに従って、人の整備が必要になります。そのうえで、技術面のIT環境の整備が欠かせないものになってきます。専門家がいなくて具体的に何をすれば良いか分からず、対策ができていないお客様もいらっしゃると思いますが、ご相談いただければお力添えいたしますので、ぜひお声掛けください。
