セキュリティ関連の業務を行う人間で、「マネージドセキュリティサービス(MSS)」を知らない人はいないだろう。いわゆる「システムのセキュリティ監視」をアウトソースできるサービスで、運用負荷が高い業務をセキュリティ会社に代行してもらえるとあって関心を寄せる企業も増えている。

セキュリティベンダーの代表格であるシマンテックで、マネージドセキュリティサービスの日本統括を行っている滝口 博昭氏に、監視代行を行う中で見えている直近の日本のセキュリティ事情について話を伺った。

シマンテック マネージドセキュリティサービス 日本統括 滝口 博昭氏

アメリカ大統領選挙が攻撃のフックに?

今年はランサムウェアが流行しており、その配布経路の代表である迷惑メールの急増と、ランサムウェア自体の改良も続いている。ほかに、JTBの情報漏えいといった大きなトピックスもあった。

こうした現況について滝口氏も、「フォレンジックのチームメンバーから『対策がある程度講じられていたとしてもやられているところはやられています』という声がある」と、安心できる状況ではないと説明する。さらに11月に行われるアメリカ大統領選挙にも触れ、「イベントに便乗する愉快犯、犯罪者集団は絶対にあるはず」だと警鐘を鳴らす。

ここのところ、ランサムウェアに関する報道はあまりないが「継続的に来ている」と滝口氏。「9月以降に日本にターゲットを絞ったランサムウェアが急増している」という実態を明かす。

ファイルサーバーに感染するタイプが”当たり前”になっているそうで、感染経路はほとんどがメール添付のファイル開封によるもの。特に警鐘を鳴らしていたのは「exeファイルやJavaScriptファイルのファイルフィルタリングを、意外にもできていない」(滝口氏)ことだ。

exeファイルなどをメールでやり取りするケースはほとんどなく、業務上でこれらのファイルを必要とする人は、メール以外の経路でやり取りする術を理解している。これらをフィルタリングで徹底的に弾くことで「十分な予防策となるはずだ」(滝口氏)。

企業を狙った攻撃の傾向としては、よく「狙われている」とされる製造業に限らず、幅広い業界が対象となっており、意外なところでは「流通」に関わる業界にインシデントが発生しがちだそうだ。滝口氏の推測では、流通系は広範な顧客リストや取引リストを持ち合わせているため、それを狙っているのではないかとのこと。

日本を狙った特有の事象としては「ADアカウントの認証情報を取得してデータ収集を行う」ことだという。滝口氏がシマンテックMSSの他国チームと対話する中でADアカウントを悪用した攻撃について語っても、そこまで大きく取り上げていないそうだ。

「日本企業だけがADを使っているというわけではないはずなのに、かなり不思議。ここの対策としては、ADからどう予兆を見つけ出すかがキーポイントになるはずだ。今後各種MSSベンダーはAD監視や社内のサーバー監視をどのように行うかで、この先の脅威に立ち向かえるかが決まるのではないか」(滝口氏)

クラウドの”安心感”が仇に?

近年のIT業界における流行でセキュリティ的に「不安」と滝口氏が語るのは「クラウド」だ。

「クラウドを監視してくれとよく言われるが、クラウド上を監視するソリューションがまだまだ少ない。ホスト型IDSによる監視とかもいくつかあるが、オンプレミスほど完璧な形になっていない。それこそ次世代型ファイアウォールも、大手ベンダーでクラウド環境に対応していないところもあるほどなので」(滝口氏)

AzureやAWSは、そのクラウド環境自体がクラックされる心配がないと謳われており、実際にさまざまな最高クラスのセキュリティ認証を取得している。しかし、その”安心感”に頼り切って、必要な対応が行えていない現状があると滝口氏は話す。

「Webサーバーのクラウド化が問題で、これを監視しようとすると色々制限が出てくる。その中でどのようにしてサーバーを監視し、不正な通信を見出すか考えなくてはならないところを『オンプレ環境からの移動でコスト削減できた』で喜んで、十分に検討しないケースがある。

現場の人たちは『パブリッククラウドの機能だけでは危ない』と危機感を持っているが、上の人たちにまでその意識が伝わらない。移行スピードだけでなく、セキュリティ機能の導入も、しっかり検討してもらいたい」(滝口氏)