サイバー攻撃からの「迅速復旧」へ欠かせない視点 「攻撃者視点」に立ち、脅威に対する備えを強化
企業の中核を担うデータが狙われている
企業に対するサイバー攻撃は年々高度化している。とくに2020年以降、企業や団体に対するランサムウェア攻撃が拡大。当初は海外子会社の被害が目立ったが、最近では本社や国内の子会社、関連会社が狙われるケースが後を絶たない。
また、攻撃の被害も深刻化している。以前はPCなどのエンドポイントがランサムウェア被害に遭うことが多かったのに対し、現在は企業経営の中核を担うサーバーが狙われるようになってきている。
「実際に、重要なサーバーのデータを暗号化されてシステム障害が発生し、決算発表を延期したという衝撃的な事例も起きています。事業停止に陥る企業もあり、サイバー攻撃被害はもはや、決して過小評価できないものになっています」
そう話すのは、日立ソリューションズでセキュリティのエバンジェリストを務める扇 健一氏。ランサムウェア攻撃は企業に多額の身代金を要求するだけではない。攻撃者は盗んだ機密データを公開すると脅すなど、二重の脅迫を仕掛けてくる。その結果、企業は事業停止に追い込まれ、大きな損失を被るだけでなく、情報漏洩によって社会的信用も低下するリスクがあるのだ。
幸いにして、まだサイバー攻撃を受けていないとしても、しっかりした備えをしていない企業は、セキュリティ対策を重視する取引先から問題視される可能性も否定できない。
こうした状況下で、企業の危機感は高まっている。ネットワークセキュリティサービス部のグループマネージャを務める小林 淳氏は、「同業他社が攻撃を受け、脅威が間近に迫っているとの感覚を持つ企業が増えており、急いで対策に乗り出す動きが見られます」と説明する。
サイバーレジリエンス強化へ重要な「予測力」
今、企業のセキュリティ対策はどういう方向性で強化すべきか。重要なのは、サイバー攻撃を受けるのは避けられないことと捉え、攻撃を受けても速やかに対処して回復し、事業を止めないための取り組み、「サイバーレジリエンス」だ。
このサイバーレジリエンスを、日立ソリューションズは企業が今後セキュリティを強化していく際に欠かせない視点として提示する。
サイバーレジリエンスについては、NIST(米国立標準技術研究所)が必要な4つの力を定義している。自社の現状を把握したうえで攻撃に備えた態勢を整える「予測力」。万一侵入を許しても、その箇所を切り離して被害の拡大を防ぎ、事業を継続させる「抵抗力」。攻撃による被害から素早く立ち直る「回復力」。そして、受けた影響を踏まえ、再発防止や改善に取り組む「適応力」だ。
「4つの力のうち、予測力を高めることが非常に重要と考えています。大前提として自社のIT資産を把握し管理しておかなければ、適切なセキュリティ対策を取ることができないからです。
多くの企業で今、保有するIT資産が増える中で、システムの脆弱性をきちんと管理できていない、各事業部門がクラウドサービスを導入するなどして情報システム部門がIT資産を把握しきれていない、といった課題があると見ています。サイバーレジリエンスを高めるには、まずは現状を把握すること。そのうえで、基本的な脆弱性対策を行っていれば、大半の攻撃は受けずに済むと考えています」(扇氏)
とりわけWebサーバーやVPN機器など、インターネットに露出しているIT資産が安全かどうかを知り、脆弱性があれば対策しておくと、攻撃に遭うリスクを低減できる。攻撃する側からすれば、くまなく警備されている企業にわざわざ侵入を試みるより、手薄な企業を探すほうが合理的だ。
こうした、企業の外部から攻撃対象となりうるIT資産を把握し、その脆弱性を管理する手法は「ASM/EASM(External Attack Surface Management)」と呼ばれる。今年5月には経済産業省がASM導入に関するガイダンスを公表するなど、新しいセキュリティ対策として近年注目されている技術である。
特長は、「攻撃者の視点」に立って、自社で未把握のものを含む外部からアクセス可能なIT資産を洗い出し、攻撃されるリスクのある脆弱性の有無を継続的に調査できることにある。日立ソリューションズはこのASMを、予測力を高める手段として提案している。その具体的な製品が「CyCognito(サイコグニト)」だ。
攻撃者よりも「先回り」して、脆弱性に対策を打つ
CyCognitoとはどのような製品なのか。小林氏は次のように説明する。
「CyCognitoは、対象となる企業のドメインやグローバルIPアドレスなどの情報から、インターネット上にある企業のIT資産を検査し、セキュリティリスクを自動的に診断します。攻撃者よりも先回りして、弱点を見つけて塞いでいこうというのがコンセプトです。クラウドサービス上にあるIT資産なども含め、弱点となる脆弱性を洗い出してくれるので、効率よく対策を進めることができます」
脆弱性の診断は、製品開発元のCyCognito社が自社のクラウドに蓄積する最新の脆弱性情報に基づき、外部から実際に通信する形で行う。スキャンは基本的に月に1回行われるため、新たな脅威が出てきても対応可能だ。緊急度が高い脆弱性が発見された場合は、その脅威に対して該当するシステムがあるかどうかを企業に知らせる。
日立ソリューションズ自身も、自社システムの脆弱性検知にCyCognitoを活用している。「当社のシステムをスキャンしたところ、情報システム部門が把握していない脆弱性がいくつか明らかになり、すぐに対策しました。脆弱性を発見してから対策するまでの管理機能も優れており、スムーズに使っていただけると思います」と小林氏は語る。
サイバー攻撃からの迅速な復旧には、「予測力」が重要となる。攻撃されるおそれがある「穴」を事前に見つけ、対策することで攻撃の影響範囲を狭めることができるのだ。効率的なチェックによって情報システム部門の負荷を抑えながら「予測力」を向上できるCyCognitoはその点で、有用なツールといえるだろう。
扇氏は、「サイバーレジリエンスの強化には、ツールの導入だけでなく、人や組織、運用プロセスなども見直しながら取り組むことが重要」と語る。日立ソリューションズはCyCognitoをはじめとするさまざまなセキュリティソリューションの提供のほか、企業のサイバーレジリエンスの強化を包括的に支援している。セキュリティ対策に関して悩み事があれば、同社に相談してみるのはいかがだろうか。