CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く

　CrowdStrikeでは、「グローバル脅威レポート」「Falcon 脅威ハンティングレポート」「サイバーセキュリティ最前線レポート」の3つのレポートを、年間を通して公開している。今回、新たな「サイバーセキュリティ最前線レポート」が公開された。これは、同社のServicesチームが顧客環境で発生した侵害調査やインシデントレスポンスにおいて得た知見をまとめたものである。このレポートについて、CrowdStrikeのアジア・パシフィック・ジャパンのサービス担当ディレクターであるマーク・ガウディ氏、プリンシパルコンサルタントである鵜沢裕一氏に、特に日本に関係の深い部分について話を聞くと、5つのポイントが浮かび上がった。

1.サードパーティへの攻撃

　ひとつは「サードパーティに対する攻撃」。サードパーティとは、企業の子会社や、そこにサービスを提供する協力会社、プロバイダ、サプライチェーン関連会社のことで、これらへの標的型攻撃が急増している。また、特定の業界を標的としていることが特徴的であるという。あなたの会社がメインの標的で、そこを目指すためにサードパーティを攻撃して、足がかりを作りあなたの会社に入り込む戦略だ。　一方で、日和見的な攻撃も増加しており、ランサムウェアが非常に多くばらまかれている。感染すると重要なファイルを暗号化され事業が停止してしまうとともに、極端な例では数億ドルの身代金を要求されるなど、被害を受けることになる。

　ただし、これらの攻撃は回避することが可能であるとマーク氏は言う。ひとつは、本社はもちろんのこと、子会社やサプライチェーンの関連会社、ベンダなどに対してのリスク管理プログラムを導入すること。もうひとつは、多要素認証を必須とすること。これは子会社とのやり取りでもしっかり適用することとした。そして、サードパーティを含めた侵害の可能性を評価することを挙げた。

2.クラウドインフラへの過信傾向

　2つ目の問題として、マーク氏は「クラウドインフラに対する攻撃」を挙げた。特に、固定された静的なAPIを危険視している。サイバー攻撃者はクラウドインフラへのアクセスを持つスクリプトを盗むことに注力している。このスクリプトには、クラウドインフラにアクセスするための静的なAPIが含まれていることがあり、クラウドインフラへ容易にアクセスされてしまう可能性がある。また、技術者であってもクラウドを過度に信頼してしまう傾向があると警鐘を鳴らした。

　マーク氏は、クラウドインフラに対する攻撃への対策として、4つのポイントを挙げた。ひとつは、静的なAPIを使わないこと。2つ目は、クラウドの利用申請を安易に許可せず、適切に管理すること。3つ目は、ログおよびアラートの記録をきちんと取ること。クラウドサービスではログの対象となるデータが少なかったり、ログの保存期間が短い場合がある。4つ目は、クラウド上のファイアウォールの設定、ルールを定期的にチェックすることを挙げた。デフォルトの設定ではルールが不十分であることが多いという。

3.Mac安全神話の崩壊

　3つ目の問題は、「Macに対する攻撃」である。Macはこれまで、マルウェアに感染しないから安全ということが神話のように語られてきているが、MacもWindowsと同じように脆弱性が存在するし、そこを突いてマルウェアに感染する。当然、きちんとしたセキュリティコントロールが必要になる。しかし、そうした神話があったことから、Macを管理するツールが少なく、同様にインシデント対応のためのツールも限られている。

　Macへの攻撃の対策には、まずWindowsと同等の厳しいセキュリティコントロールを行うこと。そしてリアルタイムのイベントを記録すること。これもツールが少なく難しいのだが、CrowdStrikeではEDRツールを提供しているという。そして、Macに対しても侵害があった時に迅速に調査を始められるようにトリアージのツールをきちんと持つことを挙げた。特に、Macの台数が多い環境では、調査の優先順位を決めるためにトリアージのツールが必要になるとした。なお、CrowdStrikeではオープンソースのトリアージコレクターユーティリティ「AutoMacTC」を提供している。

4.温故知新のパッチ管理

　4つ目の問題は「パッチ管理」。マーク氏は20年来ずっと「パッチをきちんと当てましょう」と言い続けているという。古い問題でありながら、リスクが大きい反面、対策も進みづらい状況にある。その原因は、IT部門の忙しさにあると指摘する。パッチ管理は、セキュリティチームがシステムをスキャンして、最新のパッチがあてられていないシステムを見つけると、IT部門にパッチの適用を依頼する。しかし、どうしても後回しになりがちになってしまう。パッチがあてられていないことへの責任の所在も明確ではない。

　一方、セキュリティチームとIT部門が一緒になって、すべてのパッチをあてようとする組織もあるが、パッチを当てることによる影響の検証に時間を割かれ、どこから手をつけていいか分からないという状態になってしまう。優先順位を決められないままパッチの適用を始めて、あまり重要ではないパッチの適用に時間を取られてしまうことも多い。この状況に対処するためには、パッチをあてないことによるビジネスへの影響を考える、ビジネスリスクベースのアプローチが重要。そのポリシーや手順を文書化する。また、事業を横断する脆弱性管理チームを結成することも有効であるとした。

5.コンプライアンス遵守目的のツール導入の落とし穴

　5つ目の問題は、「インシデントを未然に防ぐためのコントロールの強化」である。予防的なツールはいくつかあり、実際に導入している企業も多い。しかし、それらのツールが効果的にデプロイされておらず、防げるはずの攻撃を受けてしまうケースが増えている。たとえば、次世代ファイアウォールを導入し展開していても、実は次世代機能が有効化されていなかった。あるいは、多要素認証を導入していたのに、一部の従業員が勝手に容易なログイン方法を作ってしまい、それが大規模な情報漏えいにつながった例もある。

　この問題に対しては、まずコンプライアンス遵守の目的でセキュリティツールを導入しないことが重要とした。導入しただけで安心してしまい、肝心の機能が有効化されいなかったり、設定が十分になされていなかったりして、本来の効果を発揮できないケースが多い。実装のプランをきっちり立てる必要があるとした。また、検知と予防のフレームワークを作成すること。それをリスクベースで考えることで、ツールのすべての機能を有効化する必要もなくなる。さらに、設定ミスを防ぐために検証も重要であるとした。

●日本の中小企業の特徴と課題

　最後に、日本における特徴について聞いた。特に日本の中小企業はセキュリティへの意識が低く、サイバー攻撃を受けたときの被害をイメージできていなかったり、セキュリティ対策の優先度が低かったりする。しかし、サプライチェーンの一部を担うことから、高い水準のセキュリティ対策が求められている。中小企業のセキュリティに対する意識を向上するためにはどうすればいいか。マーク氏と鵜沢氏に聞いた。

　マーク氏は、日本の特徴的な点として、本社は高度なセキュリティ対策を実施しているが、子会社や関連会社は十分ではない。本社はそれをコントロールできておらず、しかも過信気味であると指摘した。中小企業側のセキュリティ意識の向上は難しいが、たとえば過去の被害実例が多くあるので、それを広く伝えることは大事だとした。ランサムウェアに感染して業務が停止し、倒産に追い込まれたケースなど、サイバー攻撃によって企業が倒産する実例を知って欲しい。

　また、今までITとは無縁だった業種でもIT化が進んでいるが、セキュリティの技術者がいない。サイバー攻撃とその被害、対策についてていねいに教えるべきとした。また、サイバー攻撃を受けてしまうと、修復や復旧のためにお金がかかるが、それよりも予防のためのコストの方がずっと低い。また、近年、国からの基金や補助金が出るケースが存在し、そうした制度を積極的に利用すべきとした。

　鵜沢氏は、中小企業の課題は、「お金がない」ことと「技術者がいない」ことであるとした。すべての企業がIT化していく中で、たとえばデータベースのデータを暗号化したり、バックアップを取るということも、被害をイメージできないから対策しようとしない。対策しようにも技術者がいないしお金がないというジレンマを抱えている。