GTM-MML4VXJ
Skip to main content
  1. ホーム >
  2. デジタルトレンド >
  3. サイバーセキュリティ >
  4. 狙われていない企業など存在しない。セキュリティ対策の抜本的な見直しは待ったなし

狙われていない企業など存在しない。セキュリティ対策の抜本的な見直しは待ったなし

-

市場トレンド

1日当たり40万種類――日々発見される新種のマルウェアの数だ。1年間で1億4000万種類を超えるマルウェアが様々な企業・組織を狙っていることになる。このようにあらゆる企業・組織がサイバー攻撃の脅威にさらされる時代を迎え、企業・組織にはセキュリティ対策の考え方を抜本的に変えることが求められている。サイバー攻撃の最新動向と企業・組織が今後取るべき対策をコンサルティング会社アイ・ティ・アール(ITR)でセキュリティを専門とする大杉豊アナリストに聞いた。

最近のサイバー攻撃にはどのような傾向が見られますか。

大杉攻撃手法がますます巧妙になっている。攻撃者たちは一般の手法ではアクセスできない特別なサイトである“セキュリティの闇市場”で、様々な攻撃用ツールをやりとりしています。攻撃者たちは、これらのツールを入手した上で、目標に合わせて改造を施し、しかも複数の攻撃手法を組み合わせて攻撃してくる。例えば、最近、2種類のマルウエアを旅行業向けに改造した添付ファイルを仕込んだ標的型メールに感染して793万人分の顧客情報が流出した旅行業大手などは、まさしくそうしたケースです。こうなると、企業は単なる標的型メール対策だけでなく、包括的なセキュリティ対策に取り組まなければなりません。

どういった企業・組織が狙われるのでしょうか。

大杉あらゆる業種、業態、規模の企業・組織が狙われています。「狙われていない企業・組織はない」と思ってください。「当社では何も起こっていない」と判断しているとしたら、それはインシデントが起こっていることに気づいていないだけです。自社に被害はなくても、気づかないうちに踏み台にされて、攻撃に荷担していることもあります。

IoT時代を迎え、多種多様な機器がインターネットにつながるようになりました。監視カメラやIP電話、ビル制御システム、太陽光発電システム、指紋スキャナなどです。これらの機器はIPアドレスを持っていますから、いつハッキングされて踏み台になってもおかしくありません。完璧に防ぐのは難しいと考えた方がよいでしょう。

増大するリスクにどう立ち向かえばよいのでしょうか。

大杉脆弱性ツールなどで包括的なチェックを実施し、自社のセキュリティレベルの現状を早急に確認することはもちろんですが、それ以上に大事になるのは攻撃されるポイント、すなわち「アタックサーフェス」を減らすことです。

アタックサーフェスは元々は軍事用語で、「攻撃される可能性のある場所」を意味します。セキュリティに関して言えば、ICT機器はもちろんのこと、前述のIoT機器やアプリケーション、ミドルウェア、API、メモリ上のアドレス空間など多岐にわたります。さらに組織のポリシーや人間の振る舞いなども含まれます。サイバー攻撃の対象や手法は常に変化します。これからのセキュリティ対策では、これらのアタックサーフェスのどこにどのようなリスクがあるかを認識し、攻撃される可能性のあるポイントをできるだけ少なくして攻撃をかわすことに力点を置くべきだと考えます。

AIを活用し更に巧妙化、情報流出に気づかない恐怖

最近増えているサイバー攻撃の手法にはどのようなものがありますか。

大杉代表的なものは、データを人質に取るランサムウェアです。特に海外で活発になっています。組織の脆弱性を突いて、経営データを暗号化して使用不能にし、元に戻すことと引き換えに高額の“身代金”を要求してきます。この種のランサムウェアを防ぐためにも、アタックサーフェスを減らすことが重要なのです。

技術的にも進化しています。これまでのマルウェアは、単独のファイルとして侵入を試みるものがほとんどでした。しかし最近は、正規のアプリケーションの一部を書き換えて、その中に潜むタイプのマルウェアが増えてきました。ファイル自体は正規のアプリケーションとして扱われるので、発見が非常に難しくなっています。

このほかAI(人工知能)を利用した攻撃も増えています。JPCERTコーディネーションセンター(JPCERT/CC)の報告によると、サイバー攻撃の4割は、対象のコンピュータのポートに接続を試みる「スキャン」ですが、最近はAIを使って自動的に脆弱性をスキャンする攻撃が徐々に多くなってきました。「この脆弱性がだめなら、次はここ」といった具合に、アタックができるポイントを探すのです。

この報告では、標的型攻撃はおおむね1%以下です。「意外と少ない」と思われるかもしれませんが、それは表面的な見方です。標的型攻撃を受けていることに対象者が気づいていないケースは統計値に表れないからです。実際のところ、標的型攻撃がどのぐらい起こっているかは判然としません。自分の個人情報がインターネットに漏れていれば気づくことも多いでしょう。しかし企業の機密情報が競合相手に漏えいしたとしても、それは表に出てきません。明らかに自らの企業の製品と同様な模倣品が市場に出てくる、あるいは競合にビジネス機会を奪われると気づくかもしれませんが、それはレアケースでしょう。

人材不足が悩みの種

企業がセキュリティ対策を運用する上での課題は何でしょうか。

大杉最も深刻な課題は、人材の確保と育成です。ITRが2016年8月に実施した調査でセキュリティ対策を運用するうえでの現在の課題を尋ねたところ、「セキュリティ人材の確保が難しい」「専任のセキュリティ要員を確保するのが難しい」「セキュリティ人材の教育が難しい」が回答の上位を占めました。

最近は社内に、24時間365日ネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織「SOC(セキュリティオペレーションセンター)」や、セキュリティ上の問題が発生したときに原因解析や影響範囲の調査を行う組織「CSIRT(Computer Security Incident Response Team、シーサート)を設ける気運が高まっていますが、多くの企業では人材不足で手が回らないというのが実態ではないでしょうか。

ITRの調査では、昨年から今年にかけて大企業の約30%が既にCSIRTを設けていることが判明しました。今後設立したいという企業も20%ほどありました。しかし、どの企業もCSIRTを作るための人材確保や教育に悩んでいます。CSIRTのメンバーには技術力はもちろん、社内の各部署とのコミュニケーション能力や対外的な説明力なども求められます。事務局の中心はセキュリティの専門家以外の人間が務めた方がよいと言われることもあるくらいです。

一般の企業がCSIRTに求められる機能をすべて自前で用意することは簡単ではありません。そこで外部リソースの活用を検討する企業・組織が増えています。システムインテグレーターやセキュリティコンサルティング会社のアウトソーシングサービスを利用して、機器を監視してもらったり、異常があったときにアラートを上げてもらったりする企業・組織は今後、ますます増えるでしょう。

セキュリティ関連の投資対象はいかがでしょうか。

大杉調査では、今後積極的な「攻めの投資」を検討しているセキュリティ対策も尋ねています。それによると「情報セキュリティ教育」や「情報セキュリティ監査」を挙げる回答が上位に来ました。それぞれ回答企業の44.8%、32.9%が選択しました。

シャドーITに効果、増加するクラウドセキュリティサービス

セキュリティ関連で最近注目している動きはありますか。

大杉海外では「CASB(クラウド・アクセス・セキュリティー・ブローカ(読み:キャスビー)」と呼ぶ分野のサービスが注目を集めています。これは一言で言うと、クラウドを使ったセキュリティサービスで、クラウドサービスに対する認証/シングルサインオンやアクセス制御、データ暗号化、ログ取得、マルウェア対策などのサービスを提供します。

CASBを使うとクラウドと社内にあるサーバをシームレスにつないで、ユーザーに意識させることなくデータの機密性を保てます。クラウドにあるデータのアクセス権を制御して、外部から見ようとしても暗号化されていて見られないといった状況を作ってくれます。さらに万が一データが漏えいした場合にも、データの流出先を追跡したり、削除したりする機能も提供します。

企業内でシステム管理者の許可なく使われる「シャドーIT」に対してもセキュリティが担保できるのもCASBの大きなメリットです。これまではエンドユーザが外部のクラウドストレージサービスにデータを転送するとシステム管理者は追跡できませんでしたが、CASBを使えば追跡できるようになります。

 

もう一つ、認証に関しても興味深い動きがあります。FIDO(Fast IDentity Online:フィドー)と呼ぶ認証手法で、これまでのようにパスワードを使うのではなく、デバイス側で個人を認証して、そのデバイスが登録されているオンラインサーバ経由で決済する、という仕組みです。3年ほど前から規格化が進められており、次世代の認証技術としては事実上、業界標準になるだろうと見られています。

このほか運用の自動化にも注目しています。今後は、運用にAIや自動化技術を使うことで人手を介さず行うことが増えてくると思います。

繰り返しになりますが、運用に関しては、外部の力を使う動きが広がるでしょう。雇用の流動化があまり進んでいない日本では、ユーザー企業が十分な数のセキュリティ専門家を社内にそろえるというのは現実的ではありません。セキュリティを取り巻く状況は日々刻々と変わっていきますが、これをキャッチアップするだけでも一苦労です。そうした意味でもアウトソースやマネージドサービスプロバイダー(MSP)を利用して、外部の専門家の力を借りる傾向は強くなってくると思います。

Top of Page
138-BFF-042
GTM-54WZS5