DXや業務効率化を進めていき、企業成長を促す上でも、もはやセキュリティ対策は欠かせない。そしてセキュリティ対策の本質は、推進力だけではなく推進し続けることのできる環境をつくることでもある。企業のセキュリティ対策について、有識者とともに紐解くイベント「DX推進!セキュリティ対策、疎かになっていませんか?注意すべきポイントから具体的なソリューションまで学ぶ」が、2024年2月7日にマイナビPLACE(歌舞伎座タワー23F)で開催された。本稿では、このイベントより3つのセッションの模様をレポートする。

2つの事例から見るセキュリティ対策の問題点

イベントの基調講演には、SBテクノロジー プリンシパルセキュリティリサーチャーの辻 伸弘 氏が登壇した。「セキュリティの或る起点 侵入前提の前提の話」と題する同氏のセッションでは、昨今見落とされがちなセキュリティ対策の起点に改めてスポットライトを当て、どのように備えるべきかを具体的な2つの事例を交えて解説した。

(写真)辻伸弘氏

SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
辻 伸弘 氏

まず辻氏は、2022年10月に発覚した約40,000件の個人情報が漏えいした可能性のある国立大学機構で起きた不正アクセス事件について言及した。

「原因は、パスワードの総当り攻撃であることがわかっており、ここまではよくあることだ。しかし問題は、なぜそれが行われる余地があったのかという点だ。そこでは、ファイアウォールの設定変更のミスによるネットワークアクセス制御の不備があった」と辻氏は強調した。

この事件には大きく2つの問題点があった。まず1つは、ランサムウェアによるシステムの改ざんに気付けなかったことである。攻撃を受けたシステムは普段ほとんど触れられることがなかったため、長い間ランサムウェア感染に気付くことができなかった。もう1つの問題は、ネットワークアクセス制御の不備に気付く術がなかったことである。このため本来であればインターネットからはアクセスできないはずのシステムにアクセスできるようになってしまっていた事実に、今回の攻撃で初めて気付いたのだ。

「何らかの理由でネットワークの設定変更をしたのならば、その後にきちんと元通りになっていることが確認できるスキームさえあれば、そもそも今回のような攻撃など受けなかったということだ」(辻氏)

2つ目の事例は、昨年10月に公開された、あるネットワーク機器の管理インターフェイスの脆弱性だ。これは、外部にその管理インターフェイスのWebUIを公開しているだけで影響を受けてしまう脆弱性であり、気付かず放置していれば攻撃者が自由に組織ネットワークの“正面玄関”の入口を開けることができてしまうというものだ。辻氏自身が調べたところ11万件ほどの管理画面が外部に公開されていたという。

辻氏は、「例えば、管理を外部委託しているのならば、委託先業者のみがアクセスできるようにするべきなのに、インターネット全体に開放されていたら脆弱性を突いて攻撃されてしまう」と注意を促すと、こうした状況を防ぐためのAttack Surface Manegement(ASM)について解説した。

経済産業省のASM導入ガイダンスをはじめ、政府機関 (米国立標準技術研究所)によるASMの定義や、「外部」「内部」「閉域網」それぞれにおけるASMのパターンなどを紹介した辻氏は、「どこから攻撃を受けたとしても、自分たちのIT資産をしっかりと把握して管理しようというのがASMの趣旨だ。まずは、自社のネットワークにどれぐらいIPアドレスが存在するのか、そしてそれらのIPアドレスではどんな通信口──つまりポートが開いているのか、基本的な状況を把握するためにポートスキャンから初めてみてはいかがだろうか」とメッセージを送った。

  • (写真)辻伸弘氏

脆弱性といかに向き合うべきか──現実解の選択が大事

このセッション後半では“脆弱性との向き合い方”について言及された。
まずは、脆弱性に関する現実と、その対応の現実解が示された。

「脆弱性対応というとほとんどの人はパッチ適用──いわゆるアップデートという認識だろう。確かに8割ぐらいはそうであるが、脆弱性対応はパッチ適用のみではない。パッチリリースからパッチ適用の間は攻撃可能なため、この期間に攻撃者から何をされていたのかが問題となるからだ」と釘を刺した辻氏は、脆弱性が悪用されるまでの期間について、いわゆるゼロデイの場合も踏まえて解説した。

では、すべての脆弱性に即時対処しなければいけないのだろうか。ここで辻氏は、「単なる危険度に疲弊していませんか?」と問いかけると、脆弱性対応の優先順位について持論を展開した。

「いま、多くの企業では、ソフトウェアやシステム上の脆弱性の深刻度を評価する国際的な指標であるCVSS(Common Vulnerability Scoring System)のスコアが高い脆弱性から対処すべきと考えていることだろう。しかし、そこにもう1つ『実際の悪用の手順やツールが公開されているか否か』という観点も加えたらどうだろうか」と辻氏は提案した。

この観点を考慮すれば、CVSSスコアでは危険度の高い脆弱性であっても優先度はそれほど高くないケースも多々あるはずだからだ。現実問題として悪用が可能なものから対処するならば、即時対処すべき数もかなり減ってくるはずである。

「悪用可能かどうかを第一の判断基準にするべきではないか」と主張した辻氏は、最後に次のようなメッセージを会場に向けて送った。
「セキュリティに100点などないため“べき論”で考えてはキリがないだろう。皆さんもまずは自社の現状を知り、そこから有るべき姿ではなく、自分たちならばどこからスタートできるのか、そしてどの範囲ならセキュリティ対策ができるのか、そうした現実解をぜひ選択していただきたい」(辻氏)

専門サービス活用により、無理のないコストで確実なインシデント対応を

続いて登壇したのは、扶桑電通 ビジネス推進統括部 企画部 推進課のチーフ、渡邊 友紀 氏だ。「保守以上SOC未満 月額2万円ではじめられる インシデント対応の最適解」と題する同氏のセッションでは、限られた予算の中で「万が一の時の安心」と「日頃の不安の解消」を実現する会員制インシデント対応サービスにより、セキュリティレベルの底上げを実現する方法が紹介された。

(写真)渡邊友紀氏

扶桑電通株式会社 ビジネス推進統括部
企画部 推進課 チーフ 渡邊 友紀 氏

セキュリティインシデントが急増するなか、インシデント発生によりシステム担当者の負担も増加している。合わせてインシデントの発生要因も多岐にわたっているため、全方位での対策が求められているのだ。こうしたなか、国からのセキュリティに関わる要請としては、個人情報保護法が2022年4月に改正された。改正前は努力義務だった個人情報保護委員会への報告が、改正後は義務化されるようになった。

「サイバー攻撃による被害も報告が義務化されており、これもセキュリティ担当者の悩みの種になっている。さらに、取引先からの要請に関しても、システム担当者は応えていかなければならない状況にある。セキュリティ対策の実施が取引の前提になるという流れが、様々な業界に広がっているからだ」と渡邊氏はコメントした。

このようにセキュリティ担当者の悩みは尽きないが、なかでも最も対応に困っているのが、「セキュリティ人材の育成」「サイバー攻撃の高度化への対応」「セキュリティインシデント発生時の緊急対応」の3つの事項である。

  • 図版

このうちセキュリティ人材の育成については、「不足している」とする割合が日本は89.8%と突出しており、10%程度の欧米とは逆の傾向にある。その理由としては、日本ならではのキャリア育成志向の強さがあり、長年の課題になっている。

続くサイバー攻撃の高度化への対応に関しては、サイバーセキュリティ対策の方もまた進化しており、新しいサービス/ソリューションが続々と登場している。一方で、導入後の運用コストが課題となっている。

そしてインシデント発生時の緊急対応について渡邊氏は、2021年10月に発覚した病院で起きたランサムウェア被害を取り上げると、「有識者会議資料ではこの時の反省点として、病院、インフラベンダー、電子カルテシステムベンダー、データ復旧会社のいずれもインシデント対応の知識や経験が浅く、終始苦労したことを指摘している。ここからも、保守レベルではインシデント対応は困難であり、専門人材が求められることが伺えるだろう」と語った。

こうした背景から「専門家に任せる」という選択肢として、SOC(Security Operation Center)による緊急対応への注目度が高まっているものの、そのコストの高さからなかなか手を出せる企業が少ないのが現実だ。

「そこで“保守以上SOC未満”のちょうどいいサービスのニーズが高まっている」と渡邊氏は強調すると、提供している会員制インシデント対応支援サービス「CYBERGYM Express」について紹介した。

  • 図版

このサービスでは、「初動対応支援」「セキュリティ相談」「脅威度調査」「対策評価」「クローズド勉強会」の5つのサービスを月額2万円で提供しているのである。

まず1つ目の「初動対応支援」では、サイバー攻撃による被害の可能性を感じた際に電話連絡をすれば、適切な初動対応がとれるようセキュリティエンジニアがアドバイスをくれる。
「この、正しい初動対応がとれるか否かが、その後の原因調査などにも大きく影響してきます」(渡邊氏)

2つ目の「セキュリティ相談」は、自社のセキュリティ対策についてセキュリティエンジニアが第三者の立場から助言するサービスである。日頃から客観的な立場からアドバイスが受けられることで、セキュリティレベルの向上はもちろんのこと、セキュリティ担当者の安心にもつながると言えるだろう。

3つ目の「脅威度調査」は、誰もが入手可能な一般公開情報を組み合わせて分析し活用可能な状態にする手法であるOSINT(Open-Source Intelligence)を用いた外部脅威リスクの把握であり、年に1回利用することができる。

4つ目の「対策評価」では、アンケートに基づき、情報漏えいの発生確率という観点からセキュリティレベルを評価する。外部脅威だけではなく、ルール上の不備をはじめとした内部脅威についても把握できる。脅威度調査と同様に年に1回提供されるので、自社のセキュリティ体制に関する“定期健康診断”のように活用することが可能だ。

そして5つ目の「クローズド勉強会」は、会員向けに年に4回開催され、最新のセキュリティ動向についてしっかりと把握できる内容となっている。

こうして5つのサービスの概要と特徴について解説した渡邊氏は、「先の『人材育成』『攻撃の高度化への対応』『緊急対応』という3つの課題も解決できるサービスとなっているので、自信をもってお勧めしたい」と会場に向かって呼びかけた。

ニューノーマル社会の働き方に求められるエンドポイントセキュリティとは

最後に登壇した富士通 CCD事業統括部 プロモーション推進部の部長、丸子 正道 氏は、「安心と利便性の両立がエンドポイントセキュリティの鍵に」というテーマのもと、多様化するPC利用シーンにおいて、安心かつ従業員の利便性向上にもつながるような、一歩進んだセキュリティ対策について語った。

(写真)丸子正道氏

富士通株式会社 CCD事業統括部
プロモーション推進部 部長 丸子 正道 氏

働き方の多様化に伴い、これまで以上に周囲にいる第三者やウイルスからの攻撃に備えるPCセキュリティが重要となっている。

「従来は、企業内の閉域ネットワークで保たれていたセキュリティだが、現在はニューノーマル社会の働き方を実現するゼロトラストネットワークが求められている」と、丸子氏は強調した。

ゼロトラストネットワークに必要となるのは、従業員のインターフェイスとなる端末のエンドポイント、社内アクセスやクラウドアクセスのためのネットワーク、クラウド上のアプリ/ワークロード、運用管理のオペレーションの4つの領域の最適な環境構築であり、個々の企業のネットワーク環境や利用シーンに応じたリスク対応が必要だ。このうち端末(エンドポイント)利用シーンにおいてはシェアドオフィスや自宅など、オープンなインターネット環境に利用シーンが広がることで、想定されるリスクも従来から変化そして増大しており、ウイルス攻撃だけでなく人に起因するリスクへの対応も必要となる。そこでポイントとなるのが、「ウイルス・マルウェア対策の強化」「本人認証の強化」「データ保護の強化」という3本の軸だ。

  • 図版

このセッション後半では、この3本の軸を実現する富士通PC本体で実施すべきエンドポイントセキュリティ対策について、それぞれの“軸”ごとに具体的な技術や機能、ソリューションなどを示しながら紹介された。

まず、「ウイルス・マルウェア対策の強化」としては、富士通PCには、OS上のBIOSへの攻撃や異常を検知し自動的に修復するEMC(Endpoint Management Chip)機能が搭載されているので、従来の情シスや従業員自身の余計な手を煩わせることがなく使い続けることができる。

次に、「本人認証の強化」においては、富士通PCでは、指紋や顔認証に加え、認証精度が高い手のひら静脈認証が搭載可能であり、業務システムへのサインインも可能なためセキュアかつ利便性にも優れていることを紹介した。

さらに、「データ保護の強化」では、リモートデータ削除ツールだけでなく、安全にデータを持ち出すことができ、かつオフライン環境でもデータ利用・編集を可能にする秘密分散ソリューションについて紹介するなど、PC利用者の利便性も考慮したエンドポイントセキュリティ対策の具体例を示した。

  • (写真)丸子正道氏

    「Fujitsu LIFEBOOK U9シリーズ」を手に持った丸子氏

そして丸子氏は、これまで説明した様々なセキュリティ対策を網羅しつつ、さらに軽く薄型コンパクトな最新のPC「Fujitsu LIFEBOOK U9シリーズ」を、「ハイブリッドワークに最適なPCとして最も強くお勧めしたい」と力説してセッションの幕を閉じた。

  • 図版

関連リンク

[PR]提供:富士通