「攻撃者の背景」が変わった今、重きを置くべきCSIRTの本質とは（前編）

株式会社富士通マーケティング 商品戦略推進本部 藤田 和重

日々、進化するサイバー攻撃に、企業はどう対処していけば良いのだろうか。有効なセキュリティ対策を打ち出すには、「攻撃者の背景が変わった」ことを理解することが必須という。

今、最も注意すべきことは、「攻撃者の背景」が劇的に変化したこと

―― サイバー攻撃は日々、進化し、被害も甚大になっています。対策を考える上で、今、最も注意すべきことは、どのようなことでしょうか。

藤田： サイバー攻撃への対策を考えるとき、多くの企業では新たな攻撃手法やマルウェアにどう対処すべきかを考えるでしょう。サイバー攻撃の最新トレンドを理解し、個別に防御策を講じることが最も重要かつ効果的であると信じているからです。

ところが、そうではありません。今、理解すべきことは、最新の攻撃手法でもマルウェアの特徴でもないのです。最も注意すべきことは、「攻撃者の背景が変わった」という事実を理解することです。

これまでは、悪意のあるハッカー（以下、ハッカー）が企業から重要情報を盗み出す、あるいは、システムをダウンさせることなどを目的にサイバー攻撃を仕掛けてくるケースがほとんどでした。それが、今では攻撃者はハッカーばかりではなくなったのです。まったく攻撃手法を知らない一般のインターネット利用者、大学生や高校生、中学生などが「お小遣い稼ぎ」や「ゲーム」の感覚で企業に攻撃を仕掛けてきています。

なぜ、そんな状況になっているのか？インターネット上には「ダークウェブ」と呼ばれる、いわゆる「闇サイト」があります。じつはインターネット上では、通常、私たちが目にしている「クリアウェブ」は全体の10～20％程度と言われており、それ以外の領域は通常のネット検索では表示されないディープウェブやダークウェブと呼ばれる闇サイトです。そこでは、企業に攻撃を仕掛けるためのマルウェアなどの「攻撃ツール」が売られ、さらにはその攻撃セットを使って企業から盗み出したメールアドレスが高値で取引される闇マーケットがあります。

つまり、スパイウェアやマルウェアの知識がなくても、自動販売機でジュースを買うような感覚で攻撃ツールを購入して攻撃を仕掛け、企業からメールアドレスを盗みだすことが可能で、それを売ればお金が手に入ってしまうのです。

こうした状況から、攻撃者は世界中に拡大し、今や「誰もが攻撃者」になれる時代なのです。しかも、新たな世代の攻撃者のほとんどは日本人ではありません。日本語が母国語ではないので、日本の企業の特許や秘密情報などは読めないし、興味もない。攻撃して盗みたいのは、手っ取り早くダークウェブで換金できるメールアドレスです。

だからこそ、やっかいなのです。よく「当社には特許など狙われるような情報はないから」とサイバー攻撃への対策を重視しない企業もあります。でも、新たな世代の攻撃者が狙っているのは重要情報ではなく、メールアドレスです。電子メールを使っている企業、メールアドレスがある企業は全てが攻撃対象となる時代なのです。

「すべてを防ぎようがない」攻撃にCSIRTの設置は必然

―― 「誰もが攻撃者」になり、同時に電子メールを使っている企業は「全てが攻撃対象になる」時代なのですね。確かに大きな変化だと感じます。とはいえ、ファイアウォールやウイルス対策ソフトでセキュリティ対策を実施しているという企業が多いのではないですか。

藤田： 「誰もが攻撃者」になれる今、攻撃者が使うマルウェアは最新のものとは限りません。むしろ過去のマルウェアのほうが闇サイトでは高値で売られているケースもあります。それはなぜか？ 通常のウイルス対策ソフトは、「パターンファイル配信型」と呼ばれ、新種のマルウェアに対処するプログラムを次々と実装する必要があるため、データ領域の問題から過去のマルウェア対策パターンファイルを順次、削除していきます。つまり、古いマルウェアを使うと、ファイアウォールやウイルス対策ソフトを「くぐり抜ける」ことができる可能性があるのです。

さらに、マルウェアは日々、約48万個も発生し、そのうち約70％が新種です。パターンファイル配信型のウイルス対策ソフトとファイアウォールでは約56％を「検出できない」という調査結果もあります。また、従来はメールの添付ファイルをクリックしなければウイルスに感染しないとされていましたが、今では添付ファイルのない「ファイルレスアタック」が攻撃手法の61％と主流です。残念ながらこのような新しい攻撃手法はウイルス対策ソフトでは防ぐことができません。

つまり、「誰もが攻撃者」になりえ、誰もが過去に登場した膨大な種類のマルウェア、日々約48万個も発生する新種のマルウェアを次々に使い、さらにはファイルレスアタックなど新たな手法で「総当たり攻撃」を仕掛けてきている。今はそういう時代。「すべてを防ぎようがない」というのが実情です。「攻撃される」こと、自社のシステムやパソコンに「侵入される」こと、「被害にあう」ことを前提に対策を実施しなければならなくなったのです。

―― そこで必要になるのが、「CSIRT」ということですね。

藤田： 「攻撃される」こと「被害にあう」ことを前提に考え、やられてもすぐ復旧できることに力を注いでおくことこそ、事業存続の基盤となります。やられないようにと最新のマルウェアばかり追いかけて個別の防御対策を講じていると、やられたときに復旧ができないことが多く、取返しがつかないダメージを負ってしまいかねません。攻撃されても企業をどう持続させるかの方が重要です。

CSIRT（注：用語解説1）は、「攻撃される」こと、いわば「被弾前提」の対策組織です。日本のナショナルCSIRTとして、内閣サイバーセキュリティセンター（NISC）が組織され、日本がサイバー攻撃を受けることを前提とした対策を講じています。そのNISCが、国内の企業に対し、「自社にCSIRTを作ってください」と要請、支援活動を展開しています。

ところが、実際に自社内にCSIRTを設置し、きちんと運営できている企業は少ないです。富士通マーケティングが実施した調査（注1）では、「組織内CSIRTを発足し、インシデントの疑似訓練をやっている」という回答は28.9％、その他の70％以上は「CSIRTを発足しただけ」かまだ発足もしていないかといった状態です。つまり、「自社にCSIRTという名前の組織を作っただけ」というのが大半なのです。実態が伴っていないのです。

• セキュリティ調査レポートに関する
  『ホワイトペーパー』ダウンロード

セキュリティ投資をしないことは経営者として「ありえない」

―― 多くの企業はCSIRTを作ろうとしても、「人がいない」、「予算がない」、どうやって作ればいいのか「ノウハウがない」ではないでしょうか。どうすれば、名前だけではなく実態を伴った組織にできるのでしょうか。

藤田： CSIRTを成功させるポイントは2つあります。まずは、経営者の意識を変えること。経営者の意識改革です。経済産業省では、「サイバーセキュリティ経営ガイドライン」（注2）を示し、「サイバーセキュリティは経営課題」であり、セキュリティ対策はコストではなく、将来の事業活動・成長に必須な「投資」 と捉えることの重要性を強調しています。

さらに、投資の優先順位として、「自社ではサイバー攻撃を受けていない」からといってセキュリティ投資を実施しないことは「ありえない」と強く言い切っています。また、自社でセキュリティ人材の育成が困難な場合は、外部の組織が提供するセキュリティ研修などの活用を検討することを推奨しています。

経済産業省が、これだけ厳しく経営者に向けて「サイバーセキュリティは経営課題」と訴えている通り、経営者が主導しないとCSIRTは成り立たないのです。APAC地域ではサイバー攻撃は受けても気づかないケースが約60％、しかも、気がつくまでにかかる日数が平均262日もかかっています。気づかず、発見もされないので、「当社はサイバー攻撃を受けていない」と思い込んでしまう経営者が非常に多いのですね。

ただし、事実はそうではないので、きちんと経営者主導でCSIRTを発足するなど、セキュリティ対策を実施することを求めているのです。経営者に理解がないと、「本来の業務を放っておいて、なんで過度なセキュリティ対策をやっているのか」となってしまい、CSIRTの発足が全く先に進まないことになりがちです。

CSIRTを成功させる2つめのポイントは、「CSIRTは技術者（システム・エンジニア：SE）の集合体を目指すものではない」と理解すること。サイバーセキュリティに対する知識が豊富なSEを集めてCSIRTを構成しても失敗するケースは少なくありません。極端な話、社内に情報セキュリティ部門がなく、SEが居なくてもCSIRT構築と運営は可能です。というのも、CSIRTに必要なのは、セキュリティに対する知識や技術的スキルではなく、「判断力」だからです。

―― 技術者を集結させ「技術力」を高めることよりも、「判断力」が大切になる。どういった判断力がCSIRTには求められるのですか。

藤田： 先にお話ししましたが、例えばパターンファイル配信型のウイルス対策ソフトでは、新種のウイルスの約56％を検知できません。ところが、「ふるまい検知型」や「AI検知型」と呼ばれる未知のウイルス対策ソフトであれば97％ほど検知できます。そうなると、自社でセキュリティ投資を実施する際にパターンファイル配信型のウイルス対策ソフトはやめて、「AI検知型に投資すべき」という判断ができることが重要になります。

つまり、セキュリティ対策として「本当に効果のある対策」を見極めて、既設のセキュリティ対策をシフトしていくという判断力が重要になるのです。その際、最新のマルウェアや新たな攻撃手法など、目に見えている事象だけを追いかけて対策を考えてしまうと、本当に必要な判断ができません。大切なことは冒頭に説明したように、「攻撃者の背景が変わった」といったサイバーセキュリティ全体の大きな動向を俯瞰し、理解することです。他国や他社の状況も見ながら、目の前の事象ではなく全体動向を見極め、どういう対策が本当に有効なのかをウォッチして、限られた予算や人材を有効な対策に割り当てていく、この判断力こそがCSIRTに求められるものであり、CSIRTを成功させるポイントなのです。

もし、CSIRTを技術者の集合体として組織してしまうと、例えばSOC（注：用語解説2）（セキュリティオペレーションセンター）なども自分達で組織して運営しようとしてしまいます。SOCは、サイバーリスクに対して24時間365日ネットワークの監視をする部隊ですが、自前でやることはほぼ不可能です。単純にいうと「サイバーセキュリティに精通しているSEを少なくとも6人以上確保して、24時間365日の交代勤務につかせる」必要があります。通常の企業では人材リソース確保の点から無理があるでしょう。SOCはサイバー対策に大きな効果を発揮しますが、自社組織内で構築する必要性は全くなく、外部組織が提供する安価で定額のSOCアウトソーシングサービスを利用する判断力の方が重要なのです。

後編に続きます。ご期待ください。

（注1）富士通マーケティングが独自に実施した民間企業1,000社への聞き取り調査 / 2020年3月実施
（注2）経済産業省・IPAにより平成27年12月策定、平成29年11月に改訂

1. CSIRT（Computer Security Incident Response Team）/ シーサート
   コンピュータやネットワーク上で何らかの問題（主にセキュリティ上の問題）が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査などを実施する組織の総称。
2. SOC（Security Operation Center）/ ソック
   24時間365日休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織の総称。

• 「攻撃者の背景」が変わった今、重きを置くべきCSIRTの本質とは（後編）