ゼロトラストアーキテクチャを目指す次世代セキュリティオペレーション（NTTコミュニケーションズ）

「インシデント増加＝セキュリティ投資増額」のイタチごっこ

辻：
最初に、PwCが2021年に実施した「第25回 世界CEO意識調査」（※1）の結果から、日本企業におけるサイバーセキュリティの概況を説明させてください。日本のCEOに「自社の成長見通しに対する脅威」を訊いたところ、トップは「健康リスク（60％）」で、2位は「サイバーリスク（45％）」でした。一方、世界全体のCEOに目を向けると、「サイバーリスク（49％）」がトップになっています。

次に、日本におけるセキュリティインシデントの発生状況を見ると、2019年から2022年にかけて右肩上がりになっています。特に最近ではランサムウェア攻撃による被害が顕著です。一方、日本企業のセキュリティ予算は、増額傾向が続いています。

これらのデータから読み取れるのは、「日本企業はサイバーセキュリティを主なリスクとして認識し、多くの予算が投じられているものの、インシデントは年々増加している」という実態です。つまり防御対策よりも攻撃者のテクニックのほうが上回っているのですね。

ただし、このような日本企業の状況にもかかわらず、日本で開催された国際イベントでは、重大インシデントがゼロであったと報じられました。居林さんはこのイベントのサイバーセキュリティ対策を担当されていたと伺っています。実際の攻撃状況はいかがだったのでしょうか。

※1：PwCが2021年10月から11月にかけて、世界89カ国・地域の4,446名のCEOを対象に実施した調査。

居林：
同イベントの期間中、通信を遮断したセキュリティイベントは4.5億回を観測しました。過去に開催された同規模のイベントでは、特権アカウントが窃取されてシステムが破壊されたこともありました。しかし、今回は運営に直接影響を与えるインシデントは発生しませんでした。

特に記憶に残っているのは、開会式前に起きたAzureADへのパスワードスプレー攻撃とウェブに対する攻撃です。攻撃者はもっともインパクトが大きいタイミングで攻撃を仕掛けてきます。その事前準備としてクレデンシャル情報などを収集し、侵害行為を行います。さまざまな脅威は想定していましたが、想定された攻撃が目の前で起きたこともあり、鮮明な記憶として残っています。

攻撃者は常にスキャンや偵察をしていました。実際、侵入ポイント構築の機会をうかがう行為も多数確認できました。被害を最小限に抑えられたのは、サイバー攻撃を受けることを前提にセキュリティ対策を推進し、自身の環境を可視化したことが大きいと考えています。

セキュリティ部門の“関与度”を高めてリスクを低減させる

辻：
ご紹介いただいた対策は、時間をかけて入念に対応する必要がありますね。では、今まさに攻撃者から攻撃予告を受けた場合、どのような対策を講じればよいのでしょうか。都合のよい話ですが「即効性のある対策」はあるのでしょうか。

居林：
まずは「アタックサーフェス・マネジメント」の徹底です。サイバー攻撃の対象となり得るIT資産や攻撃の起点、攻撃経路を適切に管理する対策です。攻撃され得る情報資産の状態を把握し、各種設定の不備や抜け漏れ、脆弱性の有無をすぐにチェックします。もちろん脆弱性があれば対策を講じますが、全ての情報資産に対策を講じるのは難しいでしょう。したがって「攻撃の起点となり得る情報資産」を特定し、速やかに対策することが重要です。

次に実施すべきは「侵入経路の最小化」です。不要なサービスを無効化し、メンテナンス時のみに利用するような通信は一時的にオフにします。また、攻撃のターゲットになりやすい情報資産にリアルタイムでのモニタリングやタイムリーなトラッキングができる状態にしておくことが理想ですが、すぐに運用基盤の構築や成熟度を上げることは難しいので、セキュリティデバイスに最新のインディケータ情報を配布しておきます。

最後は「サイバー攻撃の予兆を捉えるインテリジェンス活動」です。守るべきものと、想定する攻撃が可視化できていれば、攻撃予告に対してもむやみに恐れる必要はありません。

辻：
先に紹介した「世界CEO意識調査」でも、日本ではインテリジェンス情報を収集している企業が多く見られる一方で、まだ収集していない企業も存在するという二極化された状況が浮き彫りになっています。

また、インテリジェンスを収集し、かつ戦略やインシデント対応に活用しているものの、人材や組織構造に課題があり、その活用が進んでいない実態も明らかになっています。こうした課題を克服し、企業がインテリジェンス情報を有効活用するにはどのようなアプローチが必要でしょうか。

居林：
最初にインテリジェンス情報の活用目的を整理する必要があります。インテリジェンス情報は手当たり次第に収集しても混乱するだけです。ですから、例えば「脆弱性管理」「攻撃予兆含め脅威となる情報の監視」「偽サイトの監視」といった目的を決めたうえで、各分野の対応を得意とするベンダーと協力し、情報収集することが効果的だと考えます。

国際イベントではインディケータ情報をまとめる機能や、自動配信機能を備えた「インテリジェンス共有プラットフォーム」を構築しました。保有したインディケータ情報は、約1億件に上りました。ただし、1億件をそのまま使うことはできないので、重要度や鮮度でふるいにかけました。“フレッシュ”で“アクティブ”なインディケータ情報を使用し、攻撃者のスピードに負けないように対策を講じることが重要です。さらには、最近のサイバー攻撃でも多く使われるサプライチェーンのリスクを意識した活動も重要となります。

また、地道ではありますが、攻撃アクターの攻撃傾向や攻撃経路・手法を把握し、自社のセキュリティ対策でそれを防げるかどうかを確認していく作業も必要です。

辻：
最後に日本企業のセキュリティ担当者に対し、アドバイスをお願いします。

居林：
“IT設備”に対し、セキュリティ担当者が逃げずに対策を決定していくことです。

辻：
どういうことでしょうか。

居林：
日本企業では、ネットワーク、サーバ、IT、クラウドなどシステムごとにオーナーが乱立しており、そのオーナーそれぞれにセキュリティ対策の責任が課せられています。しかし企業内のネットワークでつながる全てのノードは、個別ではなく全体で守るべきだと考えています。したがって、セキュリティ部門は企業全体のセキュリティアーキテクチャを包括的に把握し、個々のシステム開発や実装にも積極的に関与していく姿勢が大切だと考えています。

セキュリティ部門の関与度が高まれば、リスクは確実に減少します。「このシステムはセキュリティ部門の管轄外です」と線を引くことは簡単です。しかし、攻撃者にとって「誰の責任範囲なのか」は関係ありません。全ての資産を俯瞰的に捉え、セキュリティ対策を管理していくことが重要だと考えています。

辻：
まさに、強いリーダーシップを発揮された居林さんならではのご見解ですね。本日は、貴重なお話をありがとうございました。