SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2018 イベントレポート(AD)

防御型対策から侵入を前提とした対策へシフトせよ――高度化するサイバー攻撃への備え

 企業活動において必須事項となりつつある「サイバーセキュリティ」。標的型攻撃はもちろん、ランサムウェアや破壊型攻撃など新たな脅威にも備える必要があり、公的なガイドラインや法規制にも対応することが求められる。そこで重視されるのが、侵入後の被害を最小に抑えるための検知・対応・復旧といったトータルな取り組みだ。その具体的な課題と対策について、サイバーリーズン・ジャパン株式会社エバンジェリストの増田幸美氏が解説し、デモンストレーションを行なった。また導入事例としてSCSK株式会社の有田 昇氏がその目的やメリットなどについて語った。

すべての組織が狙われ、必ず攻撃・侵入は成功する

 冒頭で増田氏は2017年日本における主な情報漏洩について紹介し、それが氷山の一角であることを強調する。発表されたものは何らかの情報漏えいが判明したもののみであり、不正アクセスされたことは気づけても何が盗られたか分からない侵害や、個人情報以外の情報窃取などは発表されない。

 さらにランサムウェアや破壊型攻撃による被害だとわかっているもの、それにすら気づけていない侵害もあり、常に見えない脅威にさらされているということだ。実際サイバーリーズンで、ある企業を対象に調査を行なったところ、遠隔操作ウイルスRATが入れられていたり、バックドアが作られていたり、次の被害にあうように仕掛けられていることが多いという。

サイバーリーズン・ジャパン株式会社 エバンジェリスト 増田 幸美氏

 昨年1年間の傾向としては、まず破壊型のものから始まっているのが特徴だ。2017年年初には「Shamoon」と名付けられたサウジアラビアの重要インフラの破壊型攻撃で1週間工場が動かなかったということに始まり、ブラックアウトを狙った送電企業への攻撃やNotpetyaによる破壊型攻撃なども見受けられた。四半期のみで300億円の売上損失を計上したケースもあり、被害は甚大だ。

 増田氏は「こうした事態は2つの事件に起因する」と語り、2つの事件を紹介した。まず1つ目は米国の国益を守るために動いていたNSA(アメリカ国家安全保障局)のハッキング部門がハッキングされ、ゼロデイも含まれる攻撃用ツールが盗まれたこと。そして2つめは、CIA(米国中央情報局)のサイバー・インテリジェンス・センターからも同様にハッキングツールが盗まれたことだ。盗み出されたソースコードは、誰でもに見に行けるGitHubなどで公開されており、組織犯罪やテロリストはもちろんいたずら目的の子どもまでコピー&ペーストでサイバー攻撃を仕掛けることができるようになった。さらに厄介なのは、GitHubでこのツールを呼び出して、メモリ上だけで動かそうとすると、ファイルとしてハードディスクに残らないため、PCをシャットダウンすれば証拠を残さないまま攻撃を進めることができる。 

出所:「Security Online Day 2018」サイバーリーズン・ジャパン株式会社講演資料より[画像クリックで拡大表示]

 実際に増田氏が関わった顧客の事案を見ても、NSAとCIAから流出したものが使われている事が多いという。「狙われる資産があって、攻撃者がいて、そこに脆弱性さえあれば、必ず攻撃・侵入は行われる」と言い切る。実際、世界最高レベルのセキュリティで守られていたNSAからもデータが盗み出されているのだ。

侵入されることを前提にエンドポイントで被害拡大を食い止める

 現在、企業では様々なセキュリティツールがあり、対策が取られている。しかし、国家レベルでのハッキングツールが流通する中で、鉄板だったセキュリティ対策にも変化が現れているという。

 たとえばSSL通信httpsはもともとセキュリティレベルを上げるものだったが、標的型攻撃で狙われるセキュリティホールとなっている。さらに、メールに文書を添付する際に、圧縮してzipファイルで送ることが多いが、検査するためにzipの暗号化パスワードを解除できないとメールの遅延が起こるため、そのままノーチェックで受信されてしまう。そこもまた抜け穴といえるだろう。また働き方改革で外に出て働く端末などはVPNから離脱することもあり、エンドポイント自体をしっかり守るEDR(Endpoint Detection and Response)が注目されている。

 「なぜ100%防げないのか」その問いに対し、増田氏は3つ理由があると解説する。まず1つ目は、標的を研究し尽くしたテイラーメードの攻撃手法であること。いつもメールのやり取りをしている人から、いつもと同じ表題でメールが届けば、開いてチェックするのは当然だろう。また2017年11月に日本であった攻撃として、特定のドメインの人が訪れた時だけ、悪いコードを落とすという仕組みになっているサイトまである。

 またWindows 10では利便性を高めるためにPowerShellなどスクリプトが入っているが、ここに攻撃の命令を投げ込みさえすれば、コードが動いて悪さをするという流れになっている。いわゆる「ファイルレスの攻撃」は従来のセキュリティシステムでは検知が難しい。

 増田氏は「侵入を防ぐ対策としては大変難しいところに来ている。そこで、攻撃を100%防げないことを前提に、侵入後の侵害の拡大防止と監視強化を目的とした対策を考える必要がある」と語る。そしてさらに「投資対効果はあるのか、本当に使えるソリューションなのかが重要」と語り、Cybereasonのソリューションを提案した。

出所:「Security Online Day 2018」、サイバーリーズン・ジャパン株式会社講演資料より[画像クリックで拡大表示]

 Cybereasonを使うユーザー企業が行うことは主に2つ。まず1つ目はセンサーを各端末にインストール/アップグレードすることだ。インストールしたセンサーからエンドポイントの振る舞いのメタデータが収集され、お客様専用に構築するCybereasonの解析サーバーに送信されるという仕組みだ。解析サーバーは、既知の攻撃については、脅威インテリジェンスに突き合わせ、合致すれば即座にアラートを発する。そうでない未知の攻撃については、収集したビッグデータを機械学習と行動分析アルゴリズムを用いて相関分析を行ない、未知の脅威を特定・検知する。

 すると、マネージドセキュリティサービスの担当者が遠隔から監視しており、解析・リスク判断まで行ない、緊急の場合には電話で即座に知らせるという流れだ。

 そして、ユーザー企業が行う作業の2つ目が「資産の判断」である。セキュリティを優先できる場合は、端末隔離を行いしっかり根絶から始める。業務を優先しなければならない場合は、端末隔離は行わず悪いプロセスだけをピンポイントで潰す。サイバーリーズンのアナリストが脅威を解析し、資産の判断と実際の対応をユーザー企業に行うという連携によって、時間・品質・コストにおいて投資対効果の高いソリューションになるというわけだ。

攻撃の進行状況を可視化し、遠隔から端末隔離も可能

 ここで増田氏はCybereasonのデモンストレーションを実施。攻撃の進行状況が直感的に可視化できるようになっており、攻撃フェーズごとの感染状況や感染規模がひと目でわかる。たとえば、右に行けば行くほど攻撃フェーズが進んでいることになり、感染規模は円の大きさ、感染時間は色で識別できるようになっている。

 「これまでは防御までがメインで、侵入したあとは状況がつかめなかった。しかし、Cybereasonであれば侵入後の様子もトレースできる。なるべく右の方にある明るく大きい丸から対応することが望ましいなど、対処の優先順位が明らかに示される」と増田氏は説明する。またプロセスや端末などをクリックするとドリルダウンして詳細を調べていくことも可能だ。

 対応が必要という端末がわかれば、つないだままプロセスを潰すか、端末を 隔離するかを判断し、遠隔から操作が可能だ。一度隔離してしまえば、あとはゆっくりと原因特定やその後の対応に当たればいい。そして、ファイルを削除するなど対応すれば、再び遠隔操作で端末をネットワークに復帰させていけばよい。もし検体を分析し、リバースエンジニアリングして攻撃者の意図を探ろうということであれば、管理コンソール上から安全な形で検体を取り出すことも可能だ。また一連の対応についてはレポートとして取り出すことができ、インシデントレスポンスの報告義務についても効率化されている。その後、増田氏は攻撃が進行する状況を想定し、段階ごとの対応をデモンストレーションしてみせた。

攻撃の進行状況を可視化し、遠隔から端末隔離も可能

 増田氏に続いて登壇したのは、Cybereasonを実際に導入し、活用しているSCSK株式会社の有田 昇氏。Cybereasonの導入プロジェクトでアドバイザとして参画した。

SCSK株式会社 プラットフォームソリューション事業部門 事業推進グループ 有田 昇氏

 まずCybereasonをなぜ導入したのか。SCSKはシステム開発や運用など、ITサービスを提供しており、顧客のシステムを預かるIT企業として、多層防御やSOCチームによる監視運用等を実施してきた。

 しかし、セキュリティ対策に関する課題認識が高まってきたという。まず、「侵入・感染の完全な防御は困難」であること。働き方改革などによって社外でのパソコン利用が進み、そこに対するセキュリティが手薄であることに不安を感じていた上に、そもそも多層防御で固めているものの、すり抜け利用者へ攻撃が届く可能性があった。また「脅威検知後の対応に多大な労力と時間を要し、PC/サーバの状態や影響範囲の把握、原因の調査に時間がかかり、作業負荷も重いことが問題視された。

 そこで、『脅威の侵入・感染は、完全には避けられない』 という前提に立ち、攻撃を成立させない、または被害を最小化することを目的として、課題を解決するためのソリューション選びを開始した。SCSKが重視したのは、「未知の脅威を検知する能力向上」「スムーズな初動対応とフォレンジック能力向上」「IT環境への負荷は極小、既存環境への干渉なし」「容易な導入展開、負担感のない運用」の4点。情報システム部署のPC・サーバ130台へ導入し、1ケ月間業務利用して評価・検証を行なったという。いずれも要件に達し、導入を決めることとなる。

出所:「Security Online Day 2018」、SCSK株式会社講演資料より[画像クリックで拡大表示]

 導入においてはPCから自動・手動導入を開始し、次にサーバに対して順次手動導入を実施していった。第一週目で1万台を完了させ、1ヶ月間でほぼ全てに導入が完了する。「きれいに立ち上げられた」と有田氏は評価する。                            

 最後にCybereasonを導入したことについて、有田氏は「脅威侵入を検知する能力と、攻撃を成立させないための対応能力が向上したこと」「脅威検知後の初期対応の迅速性向上と、解決までの労力および時間の大幅削減」を挙げる。特に「Cybereason社のMSSからリスク内容や対策についてかなり具体的な連絡があり、迅速に対処を実施できた」と高く評価した。

 有田氏が実際に検知した例をいろいろと紹介し、幸い全ての攻撃を成立させずに済んだという。有田氏は最後にネットワークセキュリティの選定について「検討する上で機能はさることながら、使いこなせるかどうかは重要。Cybereasonは大変使いやすく、良い投資をしたように思う」と語り、講演を終えた。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11226 2018/10/16 06:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング