実はこの16年間、攻撃手法は進化していなかった!?

昨今のサイバーセキュリティの世界では「脅威インテリジェンス」「EDR」「MSS(マネージドセキュリティサービス)」といった言葉が叫ばれているが、その真の背景はどこにあるのだろうか。また、従来ながらのアンチウイルスによる境界防御だけではなぜ最新の攻撃手法には通用しないのだろうか。

こうした疑問について、攻撃者側の事情もふまえた見解を、エシカルハッカーとしても知られるTIS サービス事業統括本部 プラットフォームサービス事業部 エンタープライズセキュリティサービス部 エキスパートの横森 隆氏に話を聞くとともに、同社 サービス事業統括本部 プラットフォームビジネスユニット クラウド&セキュリティテクノロジー部 主査の山本 謙氏に、TISが提供するMSSの概要について解説してもらった。

  • TIS株式会社 サービス事業統括本部 プラットフォームサービス事業部 エンタープライズセキュリティサービス部 エキスパート 横森 隆氏

    TIS株式会社 サービス事業統括本部 プラットフォームサービス事業部 エンタープライズセキュリティサービス部 エキスパート 横森 隆氏

  • TIS株式会社 サービス事業統括本部 プラットフォームビジネスユニット クラウド&セキュリティテクノロジー部 主査の山本 謙氏

    TIS株式会社 サービス事業統括本部 プラットフォームビジネスユニット クラウド&セキュリティテクノロジー部 主査 山本 謙氏

──サイバーセキュリティに関する最近の脅威動向について、特に気になる点などお聞かせください。

横森:まず強調したいのが、基本的にここ16年間、脅威の手法に大きな変化・技術的な革新は認められないという点です。単にシステムの拡張性の高まりに伴うリスクの増大を「新たな脅威の出現」と混同されているに過ぎないのです。

その拡張性をもたらした最大の要因がメガクラウドの普及です。これにより、攻撃者にとってみれば、攻撃対象が圧倒的に増えることとなったわけです。残念ながらこの点について「新たな脅威」と言ってしまっているセキュリティ専門家が多いという印象を抱いています。それともうひとつの要因としてIoTが挙げられます。従来、IoTのような組み込みコンピューティングの世界は、サイバーセキュリティについて考慮する必要のなかった日常インフラでした。それがネットワーク化されたことで、たとえば攻撃の対象として自動車の部品の工場などが狙われるようになってきたのです。

ただし繰り返しになりますが、この16年の間にシステムは大幅に拡張してはいても、攻撃手法に関しては根本的には新しい手口というものは現れていません。IoTというと最新のテクノロジーのように感じますが、実際はそこで使われるソフトウェアのほとんどがJavaプログラムで書かれており、ネットワーク通信におけるチャレンジ&レスポンスなどを理解していれば誰でも攻撃できてしまうのが現実です。そこに攻撃者が目をつけたことから、攻撃対象が拡大したのです。

現在、脅威と叫ばれている標的型攻撃にしても、その手法のほとんどは旧態依然とした添付ファイル等に依存したものになります。そのため攻撃の成功率も20%程度にとどまっているのが現実です。ごく一部の高度なスキルを有するハッカーが、本当の意味での革新的な攻撃手法を使っているのですが、そうした事実や具体的な手法はほとんど知られていません。

境界型防御の「限界」が訪れているわけではない?

──昨今、従来ながらの境界防御の限界が叫ばれていますが、その要因はどこにあるのでしょうか。

横森:Web会議をはじめとする通信のアクセサビリティが大幅に向上したことにほぼ比例して、アタックポイント、攻撃ベクトルが増加しました。人の移動が増えればコロナリスクが高まるのと同じですが、これを境界で封じ込めようとすれば事業を維持するための最低限のアクセサビリティを損なうことになるでしょう。

システムの拡張に伴って、今まさにシステム間の横の通信が複雑になっているわけですが、その通信をいちいちこれは善だこれは悪だと境界で振り分けていたのではスループットが足りなくなってしまいます。そもそも境界型防御で防げる攻撃というのは60%ぐらいなのです。つまり60%というのは「限界」ではなく「上限」なのですね。以前は100%防げていたのに、攻撃手法が進化した結果、境界型防御が陳腐化したわけではありません。

他方で防御側の問題だと感じているのが「境界型防御が限界だから『多層防御』を謳いながら無駄に同じ手法を重ねる単なる“重複防御”を多層防御と誤認していることが多いのです。本来、多層防御というのはお互いの欠点を補うようになっていないと意味がなく、重複防御ではただスループットを悪化させるだけでセキュリティはまったく向上しない点です。

EPPの防御効果は80%──これをどう見るべきか?

──境界型防御の限界”受けて、エンドポイントセキュリティの重要性が高まるなか、従来ながらのEPP(Endpoint Protection Platform)のみによる防御では十分ではない理由をお聞かせください。

横森:そもそもセキュリティに「完全」はありえない、ということを受け入れられない「経営層」が多かったことが、過去のEPPの需要をもたらしたといえるでしょう。その効果を「実感できない」ことを“EPPの限界である”と曲解しているに過ぎません。EPPの次の受け皿としてEDR(Endpoint Detection and Response)が登場してきましたが、これもまた同じ理由によりいずれ「限界」が叫ばれるでしょう。しかし本当の限界はプロダクトやソリューションではなく、それらへの「経営層」の依存体質(意識)ではないでしょうか。

そしてこのことは、セキュリティ情報を提供しているベンダーなどの専門家側にも責任があると思います。彼らは自分たちの付加価値を高めたいがために煽る側面があり、その言葉をそのまま受け止めて企業側が製品を購入してしまう──この第一弾がEPPだったわけです。

私の認識では、EPPの防御効果は80%ほどにもなります。つまり守る側のほうが有利なのですね。そしてエンドポイントで防ぎきれなかった20%は、第2、第3の防御法で守るという本当の意味での多層防御を施せばいいわけです。しかしながら、専門家はこの20%の部分を“新たな脅威”だと煽っている感が否めません。

ここで強調したいのは、本格的なハッカーに狙われたとしたら、どのような対策を施していようと必ずやられてしまうという点です。

セキュリティ運用がしっかりとできている組織の共通点とは?

──EPPの限界を埋めるものとして昨今注目を集めているEDRですが、運用側にもそれなりのセキュリティ上の知見が求められると聞きます。ではEDRの効果を得るためには具体的にどの程度の知識やスキルが求められると考えますか。

横森:運用現場の視点からこの問題をとらえた場合、EDRで「できること」と「できないこと」をまず理解しなければ無駄な投資を生むだけです。EDRを使いこなしてセキュリティ運用を効果的に行うための専門知識やスキルを定義しようとするとおそらく際限がなくなるでしょう。それなのに、EPPで防御できるのは80%なので、残り20%はEDRで守る……という単純な構図で語られることが多いのが問題です。本来、EPPをEDRが補うためには、本当にEPPと統合的に機能しているのか? 十分に結合しているのか? といった視点での徹底的な検証が欠かせません。しかしながら多くのベンダーはおそらく「この製品は○○でも使われているものなので」といった売り文句を使い、検証の必要ナシで進めてしまっているのではないでしょうか。

私が過去にケアしてきたお客様で、十分にセキュリティが機能している運用現場のご担当者様には「ひとつの共通点」があります。それはみなさん「ヘルプコマンド」を非常に巧みに使いこなしているという点です。DOS窓のヘルプコマンドを効果的に活用することで、何かトラブルが生じても、安易にベンダーに頼らずに、自身で問題点を洗い出すことのできる力が彼らにはあります。つまり、問題を自己解決するトラブルシューティングから逃げないこと──これはセキュリティに限らずあらゆる技術職に求められる素養ではないでしょうか。

「2025年の崖」はセキュリティにどのような影響を与えるのか?

──「2025年の崖」に象徴されるように、そうしたサイバーセキュリティに知見のあるIT人材は多くの企業にとって貴重もしくは存在しない状況にあります。そこで今後のITさらにはセキュリティ人材育成のあり方などについて持論をお聞かせください。

横森:私自身、人材育成に取り組む当事者のひとりなのですが、この問題が解決できない最大の要因は「マニュアル(ドキュメント)至上主義」ではないかと認識しています。野球にたとえるなら打撃に関する教科書はあっても「イチローになるための教科書」などありませんし、そのようなマニュアル依存体質から抜け出す一歩を踏み出してくれる人がなかなか現れないのです。

そして2025年の崖につながる具体的な問題として、COBOLで書かれているようなレガシーシステムを扱えるような人材がこれから退職していくなかで、そうしたシステムにいまだ依存しなければいけない企業が多い事実が挙げられます。現在でもIT人材が逼迫しているのに、このままではセキュリティ人材が不足するのも無理ありません。

このように守る側には“崖”が存在するにも関わらず、攻める側のハッカーには人材育成など問題にはなりません。なぜならばハッカーは教育やマニュアルやOJTなどに依存せずに自身の力のみで技術を身に着けた者だけがなれるからで、技術の継承問題などあるわけがないのです。

ここで私にセキュリティを学ぶきっかけを与えてくれた、あるエシカルハッカーの言葉を伝えたいと思います。

“The only way to get smarter is searching a textbook that suites current of yourself!”

MSSに任せる前に……まずは当事者意識の醸成を!

──内部で十分な人材を確保する余裕のない企業を中心にMSSのニーズが高まっています。そのメリットと注意点についてお聞かせください。

横森:守るべき資産の種別によって、発生する問題が異なる点に注意が必要です。たとえば、社内で保存している情報を守ることに最大限のリソースを費やすのが金融機関であり、対してSNSサービス事業者などは、社外のサービス利用者の側を守ることが最優先になるはずです。このように守るべき資産が異なるのに、同じ製品で効果が得られるわけがありません。MSSに関しても、守るべき情報資産と問題点の分析を行ったうえでなければ選択はできないはずです。

今何が自分たちの問題なのか? それを十分に認識していれば、どのMSSが身の丈に合っており、それを効果的に運用するために何を学べばいいのかが、誰に教わらなくてもわかることでしょう。逆にこの点をベンダーやコンサルタントに依存してしまった場合、際限のない“MSS導入禍”に陥る恐れがあるかと思います。

多くの企業では「他社がこうしているから」「セキュリティは利益を生まないので、外部に任せてしまいたい」など、セキュリティ対策について当事者意識が乏しいように見受けられます。少なくとも玄関くらいは自分自身で施錠しなければ、警備会社に任せても意味がありません。MSSにしてみても同じです。まずは、このあたりの意識を変えていくことから始めなければ、どのように優れたソリューションやコンサルタントがいても元の木阿弥になってしまうことでしょう。

セキュリティの本質を理解していないのに、理解したつもりになっているエグゼクティブが多いことが本当の問題であり、多くのIT担当者にしても、そうしたエグゼクティブへの説明能力が欠如しているのではないかと見ています。その顕著な要因が「視える化」というキーワードの基、さまざまなグラフを用いたビジュアライゼーションによって行われるプレゼンテーションが象徴的であると考えています。「視える化」は業務上の問題点を洗い出すには効果的ですが、セキュリティリスク、また導入ソリューションの費用対効果を伝達するうえでは、極めて不適切であると言わざるを得ません。

なぜかというと、セキュリティリスクの増加、低減は「定量化」という物差しでは測れないからです。「定量化」という視点からセキュリティリスクを評価した場合、DOS攻撃以外の手法による脅威は定量が減少傾向に転じたときこそ、危機としてのピークが訪れる場合が多いと考えられるからです。もしこの事実をビジュアライゼーションによりデフォルメして伝達しようとすれば、非常に複雑なグラフが形成されることになり、かえって混乱をもたらすだけでしょう。

山本:セキュリティ製品の導入は目的ではなく、自社の情報資産を守ることこそが目的だと考えています。そのためにはセキュリティ製品の設定を環境に合わせて定期的にチューニングする必要がありますし、新たに導入したシステムでインシデント調査に必要なログが出力されているかどうかをチェックすることも必要です。これらの運用と合わせてはじめて目的が達成されるのではないでしょうか。また、MSSを契約していても期待とサービス内容が合致していないというケースもあると思います。利用に際しては、サービスに期待する内容を想定して積極的に活用するという考え方が必要かもしれません。具体的には、自社で守るべき資産がどこにあり、インシデントが発生した際に誰が何を調査するのか、その中で外部サービスに何を期待するのかを検討することが重要でしょう。我々TISであればそれらをふまえ、バランスをとったお手伝いができると自負しています。

キーワードは「Non-zero sum」

──冒頭で“高度なハッカーのみ使える革新的な攻撃手法がある”とのことでしたが、そうした手法が存在しながらほとんど使われていない理由はなんでしょうか。

横森:答えは簡単です。既に標準化されている“80%の防御”が崩壊してしまったら、ハッカー自身も生き残ることができないからです。もしも2025年の崖等により企業のセキュリティが崩壊したとしても、ハッカーたちがやりたい放題するような状態にはならないと断言できます。あらゆる企業の資産を貪り尽くしてしまったら、経済は破綻してしまい、そこに寄生しているハッカーもまた死に絶えてしまうからです。本来ハッカーというのは、攻撃を受けても生き残ることができる十分な体力を持った20%の企業だけを標的にしたいものなのです。それがたいした技術を持たない“にわかハッカー”であっても簡単に暴れまわれる状況となったら、間違いなく本物のハッカーたちが制裁するはずです。つまり“ハッカーによるハッカー狩り”が始まるわけです。

──最後に、全国の企業のIT担当者、特にセキュリティ担当に向けたメッセージをお願いします。

横森:とにかくまずは、以下の言葉を贈りたいですね。

Non-zero sum cyber security and cyber threat!

巷の脆弱性情報や脅威情報等にあまり振り回されないように、まずは自分たちの情報資産を理解するところから始めてはいかがでしょうか。そこができていれば、日々目にするであろう脅威情報に踊らされずに済むはずです。つまり脅威情報はあるけど、それが自分達にとって本当に脅威なのか……? それが専門家に聞かなくても自分たちで判断できるようになるのです。

[PR]提供:TIS