サイバーセキュリティ対策や事後対応には「セキュリティの基礎体力」見直しが重要 「バックアップ」「クラウド」「脆弱性管理」をテーマに専門家3名がディスカッション

特定の企業や組織を狙った「標的型攻撃」や身代金を要求する不正プログラム「ランサムウェア」など、さまざまなサイバーセキュリティの脅威が企業を脅かすなか、企業には平時からの対策による「セキュリティの基礎体力」が求められるようになってきています。

本稿では、6月26日に東京コンファレンスセンター品川にて開催された@IT セキュリティセミナーロードショーの講演から、株式会社インターネットイニシアティブ 根岸 征史氏、ソフトバンク・テクノロジー株式会社 辻 伸弘氏、piyokango氏によるパネルディスカッション「セキュリティリサーチャーズナイト ～脅威と歩く基礎体力～」の様子を紹介します。

講演では、バックアップについて復旧の実効性まで確かめておくことの必要性や、自社でリスクレベルの判断ができることの重要性をはじめ、基本的だが企業ができていない対策について語られました。

「バックアップ」の重要性を改めて見直すタイミングが来ている

セキュリティというと最新の動向や脅威などに注目が集まりがちですが、辻氏は冒頭で「インシデントが報じられた際にどうすればより良い対処ができたのかを考えると、基本に立ち返ることが多い。最新の話題は一旦置いておいて、実際にどういったポイントを抑えておくべきかという話をしていきたい」と、パネルディスカッションの趣旨について説明しました。

まずはじめのテーマは、辻氏が「古くて新しいテーマ」と表現する「バックアップ」。ランサムウェアの流行をきっかけに、数年前から改めてバックアップについて考え直すべきだと思うようになったといいます。

ランサムウェアとは、PC画面のロックやファイルの暗号化によりコンピュータを使用不能にし、身代金を要求するタイプのウイルスです。ランサムウェアに感染してしまっても、バックアップがあれば感染前の状態に復元できるため、その徹底が改めて重要になっています。

ランサムウェアの感染経路には、メールや改ざんされたWebサイトなどさまざまありますが、辻氏が一番注意すべきとするのは、特定の組織や企業を狙った標的型ランサムウェアです。標的型ランサムウェアは、組織内のできるだけ多くのコンピュータを感染させたうえで組織に対して身代金を要求するタイプの攻撃方法で、数年前から流行しています。

辻氏は、標的型ランサムウェアのすべてがそうとは言い切れないと断りながらも、攻撃者が組織のネットワークに侵入した後に、まずバックアップを探すケースがあると指摘。これはバックアップデータを先に破壊もしくは暗号化することで、身代金をより回収しやすくなる場合があるためです。

「攻撃者はバックアップからデータを復元されてしまったら身代金の要求に応じてもらえません。そのため組織内のネットワークからバックアップを探して破壊や暗号化をすることで退路を断ち、そのうえで身代金を要求するパターンがあります」（辻氏）

また根岸氏は、攻撃者はできるだけ多くのシステムに感染させて被害を拡大し、システムを復旧しにくくする目的もあることを説明。バックアップを潰すことで、復旧に時間とコストを掛けさせ、身代金を払ったほうが安く済むと思わせる戦略を取るケースもあると付け加えました。

そもそも、バックアップを取っていても、実際に攻撃者に侵入された際の対応にまで考えが及んでいない方も多いのではないでしょうか。辻氏は、講演などで「バックアップをしていますか」と聞くとほとんどの人が手を挙げるが、バックアップから復元しなければならない事態が発生した際にシステムをもとに戻せる自信があるかと聞くと、半分の人は手を下げてしまうと説明。さらに、バックアップからの復元に関するマニュアルが最新になっているかと質問すると、残るのは1割程度だと、バックアップの実情について語りました。

「ランサムウェアの流行はバックアップについて見直すいい機会です。バックアップから復元できるかどうか、ぜひ訓練をしてみてください。どれくらいの時間とコストが掛かるかを把握できるだけでも対策が前進します」（辻氏）

オンプレミスでできたフォレンジック調査がクラウドでもできるかの確認を

続いての講演テーマは「クラウド」。クラウドの利用に対し、漠然と危険なイメージがもたれたのも今は昔。現在はほとんどの組織において、その活用を前提として、いかに効率的かつ安全にクラウドを用いるか考えるようになってきています。しかし根岸氏は、オンプレミスのシステムをクラウドに移行し、使い勝手が良くなるぶん、増えたリスクがあることを指摘。辻氏も、「便利になるということは攻撃者たちにとっても平等に便利になるということ」と続けます。

piyokango氏は「クラウド上のメールシステムが不正アクセスを受け、踏み台にされてスパムメッセージをばら撒いてしまう事例を目にする機会が増えてきている」と解説。メールシステムをはじめ、ユーザーは使用するシステムがオンプレミスかクラウドかはあまり意識しないでしょう。パスワードを設定する際も、オンプレミスのサーバーを利用しているような感覚で簡単なものとしてしまったり、他のシステムで用いているものを使いまわしてしまったりするケースも多いようです。

パスワード以外の認証方法として、証明書や二段階認証を使って認証強度を高めるものもありますが、piyokango氏は、コストが掛かることもあり活用しているところは意外と少ないと語ります。そうした現状に対し、根岸氏とpiyokango氏は、ユーザー側にパスワードの強度を高めるよう呼びかけるよりも、情報システム部門や決裁権限を持っている担当者が二段階認証や証明書などでセキュリティを強化する意識を持たなければならないと主張しました。

「セキュリティ機能の導入により使い勝手が悪くなると、ユーザーが抜け道を探し、予想外の穴ができてしまうことがあります。そうならないようユーザーが使いやすい仕組みにすることは重要です」（根岸氏）

また、オンプレミスからクラウドに移行して不正アクセスを受けた場合の状況調査や対応方法をあらかじめ確認しておくこともポイントになります。オンプレミスでは自由に調べられた情報が、クラウドではライセンスの形態上確認できないケースも考えられます。辻氏は「被害が生じた際にオンプレミスで行っていたようなフォレンジック調査をクラウドでも同様にできるかどうかは確認しておくべき」と提言しました。

ベンダーによる脆弱性の評価をもとに、自社で判断し対処することが大切

最後の講演テーマは「脆弱性管理」。脆弱性管理といいながら、『緊急』『重要』といったベンダーによる重み付けを鵜呑みにして対処しているだけの企業も多いのではないか、という課題が提示されました。

piyokango氏は、脆弱性発見の情報はベンダーから発表されるが、その脆弱性が実際に悪用されているのか、また悪用する方法があるのかにまで踏み込んで評価しているケースはあまり見られないと指摘。辻氏は、自社でも脆弱性そのものの評価ができなければ正しい対処はできないとして、「脆弱性情報を見る側も知識をつけておいてほしい。それが本当の意味での脆弱性の管理」と語りました。

また講演は、ソフトウェアの脆弱性に加え、人的な脆弱性や仕組みの脆弱性にも気をつけるべき、と続けられました。piyokango氏は、最近では多くの企業で主要なソフトウェアに対する問題が生じた際は迅速に対応できる仕組みや体制が整いはじめているとしながらも、「拡張機能であるアドオンやプラグインなどの脆弱性についてまでは管理されていないケースが多い」と指摘。攻撃対象はそうした把握しにくいソフトウェアにも波及しており、守る側も同様に意識をシフトしないとやられてしまうと危機感を煽りました。

「追加したアドオンやプラグインは管理されているものか、脆弱性が見つかった際にそれを知ることができるものかなど、自分たちが使っているものについてきちんと理解しておくという、基本的な点を抑えておく必要があります」（piyokango氏）

講演ではどのテーマにおいても、基礎的なセキュリティ対策を徹底することの重要性が語られました。最後に辻氏が「情報管理の土台を見直す機会にしていただければ」と会場にメッセージを送ったとおり、まずは基本に立ち返ることで自社の対策状況を見直してみてはいかがでしょうか。

（文：周藤 瞳美、取材・構成・編集：BUSINESS LAWYERS編集部）