セキュリティ担当者にとっては、もうそろそろ次年度のセキュリティ戦略の策定に取りかかる時期かもしれない。
リスク環境が大きく変わりゆく中、限られた予算・人員の中で最大限リスクから保護するには、どのように対策の優先順位をつけるべきかと、頭を抱えている方も多いのではないだろうか。
「侵入型ランサムウェアやクラウドシフトによって、リスク対策の優先順位が変わり、情報セキュリティ戦略も見直しが急務になっています」と語るのは、株式会社ソリトンシステムズ ITセキュリティ事業部 エバンジェリストの荒木 粧子 氏だ。
荒木氏は 10 月に東京と大阪で開催される Security Days Fall 2022 で「情報セキュリティ戦略の見直しと対策の実装」と題した講演を 10 月 4 日(火)に行う。
荒木氏に、なぜいま戦略の見直しが必要なのか、リスク環境の変化をどのように捉え、具体的にどんな提案を行うのか話を聞いた。
──企業の IT環境も、それに対する攻撃も双方日々変化を続けています。変化の本質は何だとお考えですか?
もう IT の力を使わないとビジネスをやっていけない時代だと多くの組織は気づいていると思います。そのときに一緒にセキュリティも実装していく、そのお手伝いを我々はしないといけないと感じています。
変化のひとつは、現在被害が拡大している「侵入型ランサムウェア」で、これは無視できないリスクになりました。DX でこれまで紙だった重要資産がデータになったことで、攻撃者が恐喝に利用できるようになった、つまり、侵入型ランサムウェア攻撃のビジネスモデルがフィットするようになってしまったことも被害増加の原因のひとつであると思います。侵入型ランサムウェア以前、企業によっては「うちは盗まれるものは何もない」って仰っていて、その通り重要資産がデータ化されておらず、ITシステムが利用できなくても業務が回るというケースもありましたが、いまはそうではなくなっています。
これまでほとんどの企業にとって情報漏えいとは、内部不正によるものでした。情報窃取を目的とするような外部脅威としては、標的型攻撃がありますが、これはごく一部の企業や政府機関以外、日本ではあまり身近なものではなく、「うちは関係ない」と、多くの企業は考えていたと思います。
──外部から SQLインジェクションで攻撃されるような例もありますが、それはあくまで ECサイトや会員制サイトを運営している、日本の企業全体から見ればごく一部の「インターネットを活用して事業を行う企業」に限られていましたからね。
それが侵入型ランサムウェア攻撃の増加により、どの企業であってもターゲットになって、組織の大小も業種も関係なく攻撃される事態になりました。個人情報保護法や不正競争防止法の観点で、内部不正による情報漏えいだけを何とかしていればよかった時代が終わって、外部脅威による情報漏えい・侵害リスクへの対策をすべての企業がひとしく考える必要がいよいよ出てきました。
もうひとつの大きな変化は「内部脅威」のリスク環境です。Web会議、ビジネスチャット、クラウドストレージなどでのコミュニケーションが増え、情報の流出経路が増えています。テレワークも一般化して働き方が大きく変わってしまい、これまでの DLP では情報漏えい対策が不十分なことは明白です。
しかし、自由度が高くなって業務効率も上がっていますから、それをストップさせるようなことはしたくない。「内部脅威」におけるリスク環境の変化に対応する必要が出てきており、実はこちらのほうが状況は深刻かもしれません。
---
侵入型ランサムウェアによって外部脅威による情報漏えい・侵害がすべての企業にとってより身近なリスクとなり、クラウドシフト等で情報流出経路が増えたという荒木氏の見立てはそのまま、「情報セキュリティ戦略」の見直しにおける対策の優先順位付けの参考になるだけではなく、言及されているリスク環境の変化については戦略立案の根拠情報としても用いることができるだろう。
最後に荒木氏の講演の概略を述べておくと、セッションの後半では「侵入型ランサムウェアの侵入経路」「情報流出経路の増加」といった視点で、ソリトンシステムズに問い合わせが増えているふたつの製品について解説を行うという。
ふたつの製品の名を取材で教えてもらったのだが、両方とも特段、ランサムウェア対策やクラウドシフトにおけるセキュリティ対策を表看板としては掲げて「いない」製品であるところが実にソリトンシステムズらしいと感じた。
一つだけ事前にリークすると、ランサムウェア対策は「Soliton OneGate」という認証強化製品による対策方法を紹介するという。
「ランサムと認証に何の関係があるんだ」などと思う人は、本誌読者には多くないだろう。9 月に発表された警察庁の統計(編集部註)によれば、ランサムウェア攻撃の 68 %が、VPN機器が攻撃の起点となっている。機器の脆弱性や弱いパスワード、あるいは正規クレデンシャルを初期アクセスブローカー等から入手して攻撃が行われていることが推定される。
(註)2022 年 9 月 15 日 警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」5 ページ
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf
Soliton OneGate は、ただの認証強化製品に見えてその実、近年の「人の手によるランサムウェア(Human-operated Ransomware)」とも呼ばれる侵入型ランサムウェア攻撃に対しても非常に強力で手堅い対策になる。なぜなら、攻撃者がそもそもログイン画面にすらたどり着けなくなるという通信段階での認証強化が実現できるのは、数ある多要素認証の中でも証明書認証だけだからだ。
認証のような基礎の基礎の対策を強化することは、最先端の脅威に有効な防御となりうる。本来セキュリティとはこのような「モグラたたきの対策ではなく、そもそもモグラが顔を出さないようにする」ようなクレバーなものであるべきだ。
情報セキュリティ戦略の見直しを迫られ、対策の優先順位付けに悩む方にとっては、本講演は得るものが多いものとなることだろう。
10.4(火) 14:45-15:25 | RoomA
情報セキュリティ戦略の見直しと対策の実装
株式会社ソリトンシステムズ
ITセキュリティ事業部 エバンジェリスト 荒木 粧子 氏
講師である荒木氏については、2020 年に本誌に寄稿された記事も参考にされたい:
きみに読んでほしい3冊:セキュリティブックガイド 第3回 ソリトンシステムズ 荒木 粧子 「セキュリティ業界に飛び込んだきみへ」
