サイバー攻撃を受け｢大打撃の企業と軽傷で済む企業｣の違いとは？ 攻撃の｢100%防御｣が不可能な今､被害を最小限に抑えるための"鉄則"

守る側の体制がこの高速化に対応できておらず、企業はスピード勝負に負けているのです。

攻撃されて被害が拡大する組織とそうでない組織の違い

――侵入を前提としたうえで、被害を最小化するために取り組むべき基本的な対策は。

侵入経路を完全にふさぐのは難しいため、「入られた後の被害を最小化すること」が重要です。

根岸征史（ねぎし・まさふみ）インターネットイニシアティブ ネットワークサービス事業本部 セキュリティ本部 セキュリティ情報統括室長／国内大手電気メーカーのSEを経て、外資系ベンダ等でネットワーク構築、セキュリティ監査、セキュリティコンサルティングなどに従事。IIJ Technologyに入社後は、セキュリティサービスの責任者として、セキュリティ診断など数多くの案件を担当。現在はIIJのセキュリティインシデント対応チームで主にセキュリティ情報の収集、分析、対応にあたる（写真は本人提供）

これは昔からある基本的な対策の徹底に他なりません。有効な対策として、アクセス制御を厳格に行い、ネットワークのセグメンテーション（分離）を徹底することが挙げられます。

ある総合医療センターのランサムウェア被害の事例を見ると、外部の給食事業者のサーバーと電子カルテのサーバーが同じセグメントにあり、しかもパスワードが共通だったため被害が拡大しました。

一方、パスワードが異なり、電子カルテシステムが別セグメントにあった病院は被害を免れています。ネットワークの分かれ目やアクセス権のコントロールが、被害の大きさを分けたのです。

また、被害が拡大する背景には、特権的な管理者権限が奪われ、配下の大量のマシンに攻撃が横展開される典型的な経路があります。

管理者権限がなぜ簡単に奪われたのかという根本的な原因に目を向け、権限分離や最小権限の原則などが徹底できているかの再確認が必要です。これらも何十年も前から言われている対策ですが、徹底が難しいのです。

――被害を最小化するために、ASMやゼロトラストのような最新技術を導入する際の留意点は。

ASM（Attack Surface Management）は、外部に露出している攻撃経路を管理する上で有効です。しかし、外部ばかりに目が向くと、海外子会社や業務委託先など、内部や連携先からの侵入経路を見落としがちです。ASMの活用では、内部経路や連携先まで含め網羅できているかを意識すべきです。

ゼロトラストは、外部・内部の区別なく、すべてを信用せず認証・認可、アクセスコントロールを行う考え方で、侵入後の被害最小化には有効です。ゼロトラストを徹底できれば大きな効果が見込めますが、多くの組織は従来の境界防御とゼロトラストを併用する「過渡期」にあり、ゼロトラストを導入したからといって「これですべて安心」とはなりません。