2020年12月17日に開催されたマイナビニュース スペシャルセミナー「2020年のインシデントを振り返る」において、「今すぐ見直せる! 最新版インシデント対応を改善する10の方法」と題するセッションに登壇したのが、セキュアワークス株式会社 マーケティング事業本部 主席上級セキュリティアドバイザー 古川勝也氏だ。

セッションでは、同社独自のセキュリティ調査レポートを基に、現状の傾向と今後の対策について解説が行われた。

脅威レベルはパンデミック発生前後で大きな変化なし

1999年に米国アトランタで創業したセキュアワークスでは、数千億件/日という膨大な数のセキュリティイベントを監視し、そこから得られたインテリジェンスや情報を活かした各種サービスを提供している。現在、4100社以上で24時間常時セキュリティ監視を行っており、年間で対応するセキュリティインシデントは1300以上に上るという。

同社ではこれらの活動の中で得られた情報を各種レポートとして公開しており、セッションでは、このレポートに基づいてさまざまな解説が行われた。

セキュアワークスの調査によると、パンデミック発生前後でインシデントの脅威度は大差ない。ただし、件数については増加しているという。インシデント件数が増加している理由として、古川氏は「パンデミックへの対応を目的とした組織やITインフラの変化が、新たな脆弱性を生み出したため」と分析する。

  • セキュアワークス株式会社 マーケティング事業本部
    主席上級セキュリティアドバイザー 古川勝也氏


「COVID-19によって、企業はあまりにも急激な変化を余儀なくされました。残念ながらほとんどの企業が新しいワークスタイルに対応するITの準備も、それを安全に運用するためのルールや心構えなどの準備も不十分なままです。これらが新たな脆弱性を生み出し、攻撃者にとって格好の標的となっているのです」

パンデミックの中でビジネスを迅速に実行するために、本来であれば必須であるはずの対処やセキュリティレビューを簡素化、もしくは省略してしまう。テレワークを実施するために、本来信用できる社内ネットワーク内でのみ運用が可能だったシステムで、外部ネットワークや端末からのアクセスを受け入れる。その結果、全体像を把握できなくなり、インシデント対応が困難となる。――これが今、多くの企業におけるセキュリティ現場の実態というわけだ。

非常時におけるインシデント対応を改善する方法

こうした状況を改善するために、古川氏は「人物(従業員)」「プロセス」「検知と対応」の3点を強化すべきだとし、それぞれについて次のように説明した。

  • 人物(従業員):従業員をあらゆるレベルで教育。フィッシングの可能性を特定する方法を示し、懸念があった場合の連絡先と対処方法を伝える。
  • プロセス:現在、多くの企業において、計画と現実の間に大きなギャップが存在してしまっている。まずはインシデント対応計画、セキュリティプレイブック、関連ポリシーなどを実態に即した内容に調整する。また、テレワークが常態化しつつある状況を鑑みて、インシデント時の指揮もリモートで実行できるプロセスを定義しておくべきである。
  • 検知と対応:急遽のテレワーク対応などによってバラバラになってしまったネットワークや、インフラ全体にわたる幅広い可視化が必要となる。加えて、エンドポイント、ネットワーク、クラウドをカバーする検知/対応テクノロジーについても検討しなければならない。変化してしまった環境に合わせてログ収集戦略も変更する。

これら3つのポイントを踏まえて、古川氏が挙げた「インシデント対応を改善するための10の方法(最新版)」が以下となる。

  1. 可能な全てのアクセス、特にリモートアクセスにMFA(多要素認証)を使用
  2. EDRツールによる可視性の確保
  3. リモートでのインシデント対応を計画
  4. ベースライン構成の開発
  5. 安全なリモートアクセス
  6. BYODポリシーの更新
  7. リモートでの退職プロセスの強化
  8. ヘルプデスクに対するソーシャルエンジニアリング攻撃のリモートヘルプデスクプロセスの改訂
  9. クラウドサービスへの安全な移行の計画
  10. リモート接続用の容量の拡張

同氏曰く、「リモートアクセス時にMFAがあれば防げた事例がいくつかあった」という。

「個人的に、そろそろ多要素認証が当たり前という風土が根付かないと危険だと思っています。ちなみに、今回挙げた10の方法のうち、6番目以降がパンデミック時における新しい要素です。ポリシーは走りながら決めていった企業も多いようなので、一度きちんとした検証が必要でしょう。また、7番目については、日本では少ないケースかもしれません。ただ、退職や異動に伴う手続きのタイムラグを狙って攻撃を仕掛けてくるケースがあるので、その点については注意をしておくべきです」

今、取り組むべきセキュリティ対策のポイント

前述したように、突然発生したパンデミックに大急ぎで対処した結果、プロセスは急ごしらえになり、それに人がついて行けない状況が続いている。まずは何より、この状況を解消することが先決だ。それを実行するためのポイントとして古川氏は以下の3点を挙げた。

  • 適切なフレームワークを適用し、急ごしらえのものを見直す
  • プロセスとITインフラの定期的な点検と見直しをプロアクティブに実施する
  • 全体を漏れなく可視化して検知と対応を強化する

従来、インシデントが発生した場合の対応は、影響を最小化することを目的とした「インシデント対応管理」が主流だった。しかし、リモートワークへの急激な対応などによって脆弱な箇所が急増している現状では、インシデントを発生させないことを目的とした「インシデント問題管理」もプロアクティブな施策として取り入れ、インシデントが発生する前に“穴”を塞いでいく必要がある。

古川氏は、「当社はインシデント対応管理サービスの提供範囲を大幅に拡大し、よりプロアクティブなセキュリティ対策を支援する」として、同社が提供するインシデント管理リテーナーを紹介した。

  • alt

また、セキュリティの脅威を可視化できていない原因として、古川氏は以下の3つを挙げる。

1. 見ていない脅威:見えるところしか見ていない
2. 見えない脅威:テクノロジーで検知できない
3. 見られない、見られていない脅威:アラート過多や誤検知

「見ていない脅威」とは、もともと脅威の可視性が高く「攻撃されるのではないか」と危惧しているところのみをチェックしていることを指す。だが、「攻撃者は想定外のところから攻めてくる」と古川氏は説く。これは、攻撃者の視点に立ったさまざまな診断や仮想テストを実施することで対応可能だ。

また、「見えない脅威」は、インシデント対応の中にEDRを駆使したハンティングプロセスを入れることで、可視性の高いエリアで封じ込めることができる。

「見られない、見られていない脅威」に関しては、判定すべきことが多すぎて管理の手が回っていなかったり、判定基準がバラバラだったりするために発生する。

「EDRを入れたはいいけれど、結局アラートしか見ていないといったことも多いと聞いています。実際、それが原因で大きな事故が起きたケースもありました。この辺りは、我々のように24時間365日監視しているプロに依頼するのもありではないかと思っています」(古川氏)

増加する攻撃 - すぐにテクノロジーを導入できない場合でもできるコト

セッションの後半は、「情報セキュリティ事故対応アワード」審査員のSBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻伸弘氏と株式会社インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏が参加し、古川氏とのディスカッションが実施された。

  • SBテクノロジー株式会社
    プリンシパルセキュリティリサーチャー 辻伸弘氏

  • 株式会社インターネットイニシアティブ
    セキュリティ情報統括室長 根岸征史氏

まずは、辻氏が「パンデミック前後の変化の中で(インシデント件数は増えたが)、逆に減ったものはあるか」と投げかけた。

これに古川氏は、「新しいシステムの構築は減ったので、そこを狙った攻撃は減ったかもしれない」とした上で、「ただ正直なところ、何が減ったかを振り返る余裕がないくらい、攻撃の数が増えているというのが実感」だと回答。続けて辻氏が「特にここが狙われるから気をつけてほしいとか、注意喚起したいことはあるか?」と尋ねると、「改善が進むことを期待しているのだが、残念ながら相変わらず多くのVPNは脆弱性のバッチがあたっていないし、ポートも閉じられていない」と危機感を伝えた。

そこで根岸氏が「改善が進んでいない要因に思い当たることは?」と質問すると、古川氏は次のように答えた。

「IT部門が外注しているベンダーをコントロールし切れていないからではないかと考えています。ネットワークをベンダーに丸投げしてしまって管理をしていない。そして、蓋を開けてみたら何も対処できていない。そんなケースがあるような話を聞いています」

これを受け、根岸氏は「原因究明にはEDRが必要であるように、対策には何らかのテクノロジーが必要になるが、現実問題としてすぐには導入できないケースもあると思う。そうした場合でも、取れる手段はあるか?」と質問。

古川氏は、攻撃を受けた際の影響を最小限にする「インシデント対応管理」と、攻撃を受けないようにする「インシデント問題管理」では、前者のほうが比較的簡単に実施できることを挙げ、「攻撃を受けてから正しい対応を取るまでの時間が短ければ短いほど、被害は抑えられる」と説明する。

その上で「何かが起きた場合は隠さずに報告するという文化を社内に浸透させることが極めて重要」だと強調し、セッションを締めくくった。

[PR]提供:セキュアワークス