初日のSESSION4では、国立情報学研究所の高倉弘喜教授、ラックの西部修明氏、ヴイエムウェアの橋本賢一郎氏を招き、データセンターにおけるゼロトラストセキュリティ対策を議論した。モデレーターは、ZDNet Japan 編集長の國谷武史が務めた。
サイバー攻撃やマルウェアなどの脅威におけるセキュリティ対策は、脅威を未然に防ぐことができれば望ましい。攻撃を受けたとしても、最終的には情報資産やIT資産そのものを守り抜くことで、被害を最小化することが重要だ。エンドポイントはもちろん、それら資産が集約するデータセンターがセキュリティ対策の要となる。さまざまな論点を交えてパネルディスカッションの様子をレポートする。
冒頭、国立情報学研究所 高倉氏が「サイバー攻撃のトレンドin2022冬」をテーマに、サイバー攻撃の手口の変化を解説する。

それによると、External Remote Servicesへの攻撃が急増している。例えば、自宅や滞在先で攻撃・被弾しているケースが増えてきた。VPNを介して仮想の基地が構築され、そこから横展開することで組織内に広まっていく。「特に内側で被害が広まっていくことを防ぐのが難しいのが現状」だとしている。さらに、情報持ち出し技術も巧妙化しているので、脅威を見つけるのも難しい状況だ。
複数の実行手法を利用しているのが要因の1つで、今増えている攻撃手法というのが、攻撃を受けたWebサーバーで何か目に見える被害が現れるのではなく、Webサーバーからログサーバーにログが送られ、ログサーバーでログ分析している最中に、セキュリティホールを踏んでしまう、というケースである。昨年大きな話題になったLog4jの攻撃例にも触れた。
スケジュール処理でセキュリティホールを踏んでしまい、被害を受けるケースや、ファイアウォール(FW)内側のパッチ適用問題もあるとしている。
閉鎖・隔離ネットワークでの被災
「“インターネットとつながっていないから安全”という人は多いが、それは幻想だと捉えましょう」と高倉氏。「つながっていないはず」という場合でも、どこかにある勝手口(関係者以外立ち入り禁止)から攻撃を受けてしまうからである。
攻撃ツールの持ち込みのパターンとして、可搬記憶媒体やログ転送でマルウェアが侵入することもある。遅延起爆型攻撃もあり、C2サーバーは後日稼働するため3日~2週間ほどの潜伏期間があるという。
これはサンドボックスへの対策であり、遅延することで防御されるのを避けることが目的だ。また、スケジュール処理で起爆することもある。このように遅延で爆撃するマルウェアが増えている。
攻撃検知の重要性
攻撃検知の重要性が高まる一方で、90%以上が暗号通信の時代であり、トラフィックを監視していても分からない(見えない)ことが多いため、攻撃の着弾検知は困難だとする。
エンドホストでの被弾を検知するために、在宅環境などを含めた全てのマシンにEDRを入れてログを解析するのも難しい。被弾後の証拠保全手段をどうするかも悩ましい問題である。また、正体不明(識別不能な)通信が増加しており、多くはVPNなどである。
攻撃通信のステルス化
さらに防御が難しくなっている要因に「攻撃のステルス化」がある。主な攻撃の流れは次の通り。
- VPNを介した基地構築
- 横展開(マルウェア制御)
- ファイル暗号化・情報持ち出し
- 情報収集サーバーから応答送信
このとき、攻撃者は正しいTCP通信のフリをしているため、見た目上は正しい通信に見える。あるいは、意図して規格外の通信を行い、各種センサーが「正しく通信できないはず」と判断し検査しないように仕向けることで、ステルス通信を実現している。
未知の脅威の早期把握が必要
対策するためには不審な通信を発見・抽出する必要がある。そのためには、警報発報前に状況を把握する必要があり、機械学習技術の活用・脅威インテリジェンスと照合といった方法を採る。
また、被害を極小化する対策も重要という。実際に、サイバー攻撃被害で全業務停止ができない時代であり、何か影響があっても業務を続けながら安全を担保する体制が求められている。
緊急時の冷静な判断は困難であるため、被害を想定した暫定措置のシナリオを立案する必要がある。また、「被害を受けたところは業務を止めて、それ以外は稼働する」という縮退運用による業務継続が求められる。
ダメージコントロールの必要性
攻撃を受けた場合、代替手段を確保する必要がある。ミッションクリティカルな用途では常識になりつつあり、その際のポイントは次の通りだ。
- バックアップデータの管理
- オフラインバックアップは必須
- 遠隔バックアップの必要性を検討
- 火災・自然災害までを想定
- 被害発生前後の状態変化記録
- 定期的なスナップショット(バックアップ)
インシデントが発生した際は、証拠を残す必要があるため、証拠を残しながら業務を続けられる体制の構築が大切だとしている。
「サイバー攻撃手法は日々変化しており、閉鎖・隔離ネットワークでも被弾する可能性がある」と高倉氏。攻撃を検知するのが困難な時代になっており、暗号通信・煙幕通信・ステルス通信に対する対策が求められていることが分かる。
未知の脅威を把握するためにも、情報収集から統合分析を行い、人が見るべき情報の抽出をすべきだとする。また、事業を続けるためにもBCPも考慮したサイバー攻撃対策が求められ、ダメージコントロールを適切に行う必要がある。
ラック・西部氏の見解
ラックの西部氏は、同社がマルウェア感染やサーバー侵害などを監視している中でのエピソードを紹介する。例えばテレワーク以後において、VPNなどの機能に関するインシデントが目立つようになってきているとしている。
西部氏は、2021年12月のインシデントとして大きな話題となったLog4jの脆弱性について解説した。
「Log4jの攻撃はかなり大きな事案であり、OpenSSLやHEARTBLEEDなど過去の大きなセキュリティインシデントに匹敵するもので、世界中にインパクトを与えた。1つ共通点があるとすると、他のソフトウエアから呼ばれるソフトウエアが攻撃される傾向があります」(西部氏)
ヴイエムウェア 橋本氏
ここで、ヴイエムウェアの橋本氏は「トラディショナルな実装では、ゼロトラストへの道は険しい」と指摘する。
これまでのセキュリティ対策は、アプライアンス・バーチャルアプライアンスベースになるため、そこにトラフィックを通さないと防げなかった。この場合、スケールアウトが難しいなどの課題があるため、ワークロードを動かした時に、人の手で対処する必要があるといったデメリットがあるとする。
ネットワーク上で全ての通信を検証するのは複雑で非現実的であり、需要に応じたスケールアウトを実施するのも困難である。結果として、セキュリティ的なブランドスポットが発生し、そこからセキュリティインシデントが発生してしまう。セキュリティポリシーを統一できず管理が難しい課題といえる。機器のメンテナンスなどにコストが発生するのも大きな問題だとしている。
必要なセキュリティ対策を全てのワークロードに
ヴイエムウェアではアプライアンスをやめて、ハイパーバイザー上に必要な機能を埋め込み、分散して配置する方法を採用している。そうすることで、各ワークロードを全て常に検証できるようになる。「ヴイエムウェアだからこそできる実装方法でもある」と強調した。
AIを活用した悪性ネットワークトラフィックの検出技術

ヴイエムウェアでは、複数の技術を使いNDR (Network Detection and Response)を実現している。その中でも機械学習を使い、誤検知を減らし、脅威を正確に検出することに注力している。
また、機械学習に使用する学習データとしては、保有しているスレッドインテリジェンス、マルウェアの振る舞いが分かるサンドボックスから得られた結果などがある。重要なのは、解析のためのクラス分けと正しい学習データセットの充実であり、機械学習の技術が発展したことにより、新しいNDRを有効に使えると高倉氏は指摘している。