日本「だけ」を狙うサイバー攻撃に挑む和魂洋才 (SecureWorks Japan) [ Security Days 2017 インタビュー]

9月26日に大阪、27日から29日まで東京で開催される「Security Days 2017」は、脅威とその対策の知見が世界から集まる情報セキュリティカンファレンスである。

9月27日(水)午前9時35分からのセッション「リスク軽減には最優先で「検知」と「対応」を強化すべき－事故前提のサイバー環境におけるセキュリティ運用の現実解」に登壇する、SecureWorks Japan株式会社ジェネラルマネージャーグローバル・セキュリティ・エバンジェリストであるジェフ・モルツ氏に講演の見どころと、日本企業が特に遅れているとモルツ氏が考える脅威検知と対応について話を聞いた。

●海外との接点の拡大

──日本企業のセキュリティ対策の課題はなんだと思いますか？

モルツ氏：3つの課題があると思っています。ひとつは人材の問題です。2020年には19万人ものセキュリティ人材が不足するといわれています。

２つめが日本特有のインフラや文化の問題です。セキュリティの目的は事故をなくすことではありません。被害ゼロは重要ですが、セキュリティ対策の目的はリスクを軽減することです。金銭的な損失、訴訟リスク、法令違反などコンプライアンスのリスク、そして市場の信頼など無形資産へのリスクです。

そして３つめは、ここ数年、増大している問題ですが、海外から日本を訪れる観光客の増加、オリンピックなど海外との接点の拡大です。

──海外との接点が広がることで、攻撃リスクが高まっていると？

そのとおりです。日本でも標的型攻撃が増えているのはご存じだと思います。世界中から人や企業が集まるオリンピックは、さまざまな属性の攻撃者の標的となりえます。狙われるのはオリンピックがあるからだけではありません。今年6月にSecureWorks Japanがホワイトペーパーを公開した「BRONZE BUTLER」というサイバー攻撃グループは、明らかに日本企業だけを狙った標的型攻撃を行っています。

中国グループの犯行と目されていますが、非常に洗練された日本語メール、HTTP通信を利用した通信偽装、日本製の特定資産管理ソフト（編集部註：SKYSEA Client View）の脆弱性（編集部註：対策済み）の利用などの特徴があります。そのほか、北朝鮮やロシアなども日本を攻撃対象としています。

●海外拠点から侵入されるWANからの攻撃に注意

―グローバルな攻撃トレンドを見て、近い将来日本で問題が広がりそうな新しい攻撃の動きはありますか。

WANからの攻撃に注意する必要があると思っています。海外からの攻撃と関連しますが、グローバル化が進むことによって、海外の取引先や拠点が狙われ、そこから本国、本社に侵入するという攻撃です。国によってセキュリティレベルが高くなかったり、法的な規制が異なったり、標的を直接狙うよりうまくいくことがあります。

また、クラウドサービスも、背後で別のクラウドサービスと連携していたり、さまざまなAPIサービスを利用して構築されたサービスが増えています。IoTでも同様な問題が起きていますが、このような攻撃は、ベクトルや経路を特定しにくいのでやっかいです。

──標的型攻撃については、さまざまな対策ソリューションがあると思います。SecureWorksではどのような対策が有効だと思っていますか。

「BRONZE BUTLER」のように、正規のアプリやシステムの脆弱性を利用した攻撃の場合、（マルウェアでないので）アンチウイルスでは検出できません。また、HTTPやシステムの正規の通信を利用する攻撃は、ファイアウォールや一般的なIPS/IDSもすり抜けてしまいます。さらに、高度な標的型攻撃では、実行ファイルを巧みに偽装したり痕跡を残さないようにしますので、ログやトラフィックだけでなく、メモリ、テンポラリファイル、システム情報（レジストリ）などを詳細に調べる必要があります。

詳しくは9月27日(水)午前9時35分からのセッション「リスク軽減には最優先で「検知」と「対応」を強化すべき－事故前提のサイバー環境におけるセキュリティ運用の現実解」でお話しますが、こうした標的型攻撃への対応としてまず、メールやWebアクセスなどの高度なチェック、今説明したようなシステムの「計測」（＝検知）を継続的に行い、イベントやファイルとの相関を分析して異常や攻撃を見抜きます。その上で、次にどのような対策を講じればいいのか、どこを修復（アプリのバージョンアップやファイルの復旧）すればいいのか、を考えます。この検知から対策までのプロセスは「標的型攻撃ハンティング」と呼んで、ソリューションとして提供しています。

●日本企業にアピールする「お客様視点」

──防御だけでは十分ではなく、侵入された後の検知と対策が重要ということですね。その意識を持つ日本企業はまだ少ないように思います。SecureWorksの日本市場向けの戦略はありますか。

日本語で言うなら「コツコツ」進めること（笑）。私は日本に来て2年半になりますが、まさにコツコツと時間をかけて強い信頼と理解を得られていると実感しています。日本法人は私以外ほとんどが日本人なので、USの先端技術とグローバルな方法論を日本に合うようにアレンジしています。日本語には「和魂洋才」という言葉があるそうですね。

──何か具体的な成功例はありますか？

たとえば、冒頭のリスクの話で、セキュリティインシデントは企業の信頼や評判を棄損すると述べましたが、日本企業は、自社の被害だけでなく、取引先や周辺への被害や評判も同様に重視する傾向があるため、そうしたお取引先視点での提案をするよう心がけています。欧米企業に刺さる説明が、日本企業に当てはまらない好例ですね。

モルツ氏講演登録URL