ランサムウェア「WannaCry」による混乱に、脆弱性を突いた攻撃による情報漏えいといった事件がたびたび発生し、セキュリティの必要性が認識されるようになった。だが、セキュリティに取り組むなら、今度は「何を、どこまでやれば十分なのか…」と思い悩む企業が少なくない。
しかし、その問いの立て方を考え直すことで、この難問に答えを出すことができるのではないだろうか。長年にわたってセキュリティ分野に携わり、多くの企業の実態と最新の知見を持つアスタリスク・リサーチの岡田良太郎氏、ゲヒルンの石森大貴氏、「世界で最も多くのサイバー攻撃を受けてきた企業の一つ」であるマイクロソフトでEnterprise Security Executiveを務める花村実氏とZDNet Japanが実施した対談から、これから企業がセキュリティへの取り組みで進むべき道を探ってみよう。
WannaCryであぶり出された日本企業の「遅れ」
ZDNet Japan 國谷2017年に印象的だったセキュリティインシデントは何でしょうか?
アスタリスク・リサーチ
岡田良太郎氏
岡田あえて挙げるとすれば、WannaCryですかね。ただ、印象に残ったのは被害の大きさではありません。「欧州では大変なことになっている」と騒がれた割に、日本では案外、実質的な被害がそれほど大きくなかったことが印象的でした。古いOSを後生大事に使い続けている上に、パッチ適用も甘い運用が重なり、広域に壊滅的な打撃を受けるのではないかと思っていたら、案外そうでもなかったなと感じました。
花村好ましいことではないのですが、セキュリティの啓発になった側面もあったと思います。WannaCryの攻撃の裏側には別の意図があった可能性も考えられます。
石森WannaCryに攻撃者自身が取得しているドメインではなく、空いているドメインを「キルスイッチ」として設定していた時点で、この攻撃は「誰かに見つけてもらいたい」という狙いのデモンストレーションだった可能性がうかがえますね。
岡田WannaCry自体にも、いろんな意味で作りに“脇の甘い”部分があったようです。しかし、もし、逆に本当にしっかりしたものが作られたらどうなっていたのだろうと想像すれば、マルウェアによるリスクにはまだまだ“伸び代”があることに注意しなければいけないと感じます。
花村WannaCryの攻撃はランサムウェアという切り口でしたが、企業にとってもっと怖いのは、長期間潜伏して情報を抜き取るタイプの攻撃でしょう。さまざまな調査で、マルウェアが侵入してから検出されるまでに数カ月を要することが知られます。漬け物だったら、熟成されていいのですが(笑)。これだけ長い期間、マルウェアが漬け物のように潜伏してシステムやネットワークの中を監視していると、情報を抜き取られるリスクは非常に高いと思います。
石森WannaCryの件から、日本のシステム環境はグローバルとは少し違うと感じました。例えば、海外のようにグローバルIPアドレスでファイアウォール無しに外部へ直に接続している状態で脆弱性を突かれ、拡散したというケースは、日本では少ないようです。
岡田少しシニカルな見方をすると、日本の企業はやはりビジネスの規模が小さい、いや狭いですね。自社内だけでなく取引先やパートナーとのネットワーク接続も展開しないし、また他のモノやサービスと連携する”コネクテッドなにがし”といった価値提供もいまひとつ本腰が入っていない。それで逆に、特に社内システムへの侵入経路を限定しやすい面があるのではないかと思います。欧州であれほど被害が広がった背景の1つには、そのような企業間の広域接続が盛んであることがあり、そのため、ワーム型マルウェアの影響が多面的に生じたという側面があるのではないでしょうか。
企業の“動体視力”が投資やセキュリティに影響?
國谷ということは、日本企業のIT環境は海外に比べてあまり先進的ではないのでしょうか?
岡田ええ、そう思います。 サイバー攻撃者が想定するような、あか抜けたIT環境ではないから、その分今回は影響が少なかった、という言い方もできます。
マイクロソフト
花村実氏
花村マイクロソフトとしては、非常に問題だと考えています。クラウドを使わず、PCの持ち出しも禁止となれば、生産性は下がる一方です。セキュリティ上の問題がないからといって、それでは日本企業のビジネスが縮んでしまうばかりでしょう。むしろ、Internet of Things(IoT)や先端的な生産工程を考えることにより競争力の向上を図ることが得策です。また、現状分析についても課題があると思います。「うちは被害に遭っていませんから安全です」と話す企業もありますがよくよく聞いてみると実はログを取っていないのです。被害に遭っていないのではなく、気付いていないところはまだ多いでしょうね。
石森ゲヒルンでは脆弱性診断検査サービスを展開していますが、お客様には2つのタイプがあると感じています。1つは自社で脆弱性を見つけてコントロールし、製品をより安全にしていきたいという考えから依頼されるケースです。他方で、「とりあえずチェックシートに印をつけてくれればいい」というように、手段と目的が逆になっているケースもあります。
岡田確かにITシステムへの“動体視力”のある会社とない会社に二分されるように感じます。ビジネスも、それを支えるシステムも、動的なものとして捉えるか、あるいはそうではないか。また、リスクコントロールを動的にしているか、そうではないか。これらの視点の違いによって、マインドセットも投資の雰囲気もリスクの受容も全く異なってきますね。
花村新しいテクノロジを駆使するベンチャー企業が次々に生まれ、市場ごと塗り替えようとしている領域では、「自分たちも動的に決めていかないといけない」という危機意識が高まっているように思います。殻に閉じこもっていて日本のマーケットでは通用するかもしれませんが、その市場自体が縮小しています。
岡田システムインテグレータにおいて特に言えることですが、サプライチェーンの中で歯車となって他社の仕事を請け負う会社にとっては、そもそも動的にリスクを捉え、どうにかするという発想がない。決まった契約をもとに、決まった事柄を決まったスケジュールとして進めることを最重要事項にしていて、そもそも何が動的なのかということには関心すら持っていないわけです。そこでは、システムの脆弱性に対するサービス停止に至りかねない攻撃やシステムに影響のあるOSS脆弱性のリスクなど、リリースされてからの問題への動的な対応は度外視されがちです。
一方、自らサービスを展開している企業は思考が異なります。例えば、分散型サービス妨害(DDoS)攻撃によってサービスが3日間止まれば、直接、大きなインパクトがあり、その被害想定から被害金額を割り出せます。そうした企業のマネジメント層には、「開発や運用のこのプロセスを見直せば、問題が起きる確率をこのように減らせる」といったシフトレフトを導入する話は、すんなりと受け入れられます。重要インフラの産業でも住民向けにサービスを展開する流れから、“動体視力”を高めて行く必要性を認識し始めているように思います。
例えば、これまでは構築も運用も外部の業者に委託し、「何か問題が起こったら詰め腹を切らせる」というスタイルを根本的に見直して自社のリスクコントロールとして取り組むといった感じですね。形式的なセキュリティ検査ではなく、「何かあったらすぐに改善する」というようにして継続的に改善していくイメージです。ビジネスの規模に関係なく、自らビジネスを動かしている企業でそのようなマインドが生まれてきているのは素晴らしいことだと思いますね。
花村これは、今話題の「働き方改革」にも通じるかもしれませんね。「他社がしているから」と言われたことだけを実践するのではなく、変化のない会社のままでは生き残れないから、多様な働き方を選択し、その手段が「働き方改革」だという具合です。