インシデントレスポンス企業の現場には、ある種の無力感が広がっている。
「技術も人材もある。しかし、サイバー攻撃被害に遭った企業からのフォレンジック調査依頼のごく一部にしか対応ができない」
大手セキュリティ企業の実に多くが、フォレンジック調査の依頼に対して「今は手一杯です」「来月まで/半年お待ちください」と断らざるを得ない状況が常態化している。
原因は明確だ。フォレンジック調査は、1 台あたり約 1 週間を要する。どれだけ優秀な技術者を抱えていても、1 人が同時に対応できるプロジェクトには限界がある。結果として、インシデントレスポンス企業の対応可能件数は年 50 件程度に留まらざるを得ない。日本国内におけるサイバー攻撃被害が日常化し、需要が急増する中でも供給は増えない。増やすことができない。この構造的矛盾がランサムウェア攻撃などの被害を受けた企業の対応現場を圧迫している。
株式会社CyCraft Japan カントリーマネージャーの姜 尚郁(カン サンウク)氏はこの状況を根本から変えようとしている。「インシデントレスポンス対応を行う全ての事業者にデフォルトで CyCarrierを使っていただきたい」姜 氏は現在、AI 基盤のフォレンジックツール CyCarrier(サイキャリア)を武器に、日本のインシデントレスポンス市場にデファクト化を仕掛けようとしている。
● フォレンジックが抱える構造的限界
「デジタルフォレンジック」とはサイバー攻撃後の原因調査と影響範囲の特定を指す。侵入経路を明らかにし、被害の全容を把握することではじめて企業は、再発防止策を講じたり、取引先や監督官庁への説明責任を果たすことができる。
しかし、従来のフォレンジック手法には限界がある。被害端末からハードディスクを取り出し、専用機器で完全なコピーを作成(半日)。その後、EnCase や FTK といった専門ツールで解析し( 1 日以上)、得られた情報をもとに攻撃者がとった行動を再構成する。1 台あたり約 1 週間、大規模調査では数千万円から 1 億円以上のコストがかかるのも珍しくない。
もうひとつの本質的な問題は、攻撃を受けた組織の「全端末調査」が現実的に不可能な点だ。1,000 台の端末を 1 台あたり約 1 週間かけて調査すれば単純計算で約 19 年かかる。並行で作業を行っても時間とコストは膨大になる。結果として、企業はより疑わしい数台を選定して調べて、残りは調査対象外とする対応を余儀なくされている。
最も深刻な問題が人材不足だ。フォレンジック技術者の絶対数が不足しており、専門企業に調査を依頼しても「今は手一杯」「数ヶ月/半年待ち」と言われる事態が頻発している。
姜氏はこの状況を「人間がメインとなった調査をやっている限り 1 人ができるプロジェクトは限られ、引き合いが増えても受注できず売上が伸びない構造になっている」と指摘する。
● AI が変えるフォレンジックの速度と範囲
CyCraft 社が開発した CyCarrier はこの構造的限界を打ち破るツールだ。
最大の特徴は、調査速度の大幅な向上だ。Frost & Sullivan のホワイトペーパーによれば、世界トップ 4 のファブレス半導体企業が企業買収前のセキュリティ調査に CyCarrier を導入したところ、従来は数ヶ月かかっていた調査をわずか数日に短縮し、調査時間を 99 %以上削減した。コストと人員も 95 %以上削減されたという。
この速度を実現させたのは、CyCraft 社が台湾で起業した当初から一貫して取り組んで来た AI の活用だ。現在、攻撃者側は AI を活用してサイバー攻撃を仕掛けており、防御側もまた AI を使って防御している。しかし、AI がまだ充分に浸透できていない領域がある。それがインシデントレスポンス、ポストフォレンジックだ。
CyCarrier は、全端末から情報を自動収集し、AI が優先順位を付けて分析を行う。そして人間の技術者が最終判断を行う。後述するが、これは単なる効率化ではなく「フォレンジックの新しいやり方」の提案でもある。
ある企業での調査事例では、合計 2,456 台の端末をスキャンし、8,151 万 7,371 ファイルを解析した。調査に要した期間は 19 日間。従来手法でこの規模の調査を行えば、単純計算で約 47 年かかる計算になる(1週間 × 2,456台=17,192日 ÷ 365=47.1年)。そしてこの膨大なデータから、CyCarrier は真に危険な 41 台のハイリスク端末を特定する。全体の約 1.7 %だ。
もう一つの CyCarrier 差別化要因は「過去を遡る」能力だ。多くの EDR は「導入した瞬間から先」のデータしか収集できないが、CyCarrierは Windows が標準で記録している様々なログ(イベントログ、レジストリ、プリフェッチ)を 1 日 1 回の自動スキャンで収集する。導入前の攻撃痕跡も、Windows が保存している範囲(ケースによるが、多くの場合で数日から数週間)であれば可視化できる。
これまで熟練の技術者が手作業で再構成していた攻撃経路の可視化作業も CyCarrier は自動で行う。どの端末から侵入し、どう横展開したかが、まるで「あみだくじ(記者の目にはそう見えた)」状の図として一目で把握できる。可視化チャートには時系列情報や実行コマンド、MITRE ATT&CK 対応などの判断根拠も明示されるため、ランサムウェア被害などの対応の際は経営層への説明資料としても活用できる。
● 日本市場への二つの提案
姜氏が描く日本市場戦略は、二つの柱で構成されている。
第一の柱は、フォレンジック調査等のインシデントレスポンスサービスを提供するセキュリティ企業への CyCarrier 提供だ。
「今まで年間 50 件のフォレンジック調査供給量であった場合、CyCarrier で調査を行えば 100 件、200 件対応できるようになる(姜氏)」
同社の商流は B2B2B である。CyCraft社によるエンドユーザーへの直接販売は行わず、セキュリティ企業にテクノロジーを提供する。インシデントレスポンスサービス提供企業の生産性を 2 ~ 4 倍に高めることが直接的な価値提案となる。
年間 50 件のフォレンジック調査が 2 倍 3 倍と対応できるようになれば、市場全体の供給不足が解消されることで、被害にあってもフォレンジック調査をどこも引き受けてくれず苦慮するサイバー攻撃被害企業が減るだろう。
CyCarrier は価格競争力も高い。JNSA の調査によれば PC 一台あたりのフォレンジック費用は 100 万円から 220 万円が相場とされているが、CyCarrier は 1,000 台のワンタイムライセンスで 360 万円(パートナー価格)。しかも調査期間は 3 日から 1 週間と従来調査と比較して著しく短い。
姜氏の目標は明確だ。「日本でインシデントレスポンスサービスを提供している全事業者にデフォルトで CyCarrier を使っていただきたい」日本市場でのデファクトスタンダード化である。
第二の柱として、大企業の内製化支援も視野に入れている。
社内にインシデントレスポンス専門家を2~3名擁する大企業に対し、CyCarrierを特別契約で提供する。従業員4万人規模の大手製造業が契約を予定しており、事後調査ではなく、月次または四半期ごとの定期ヘルスチェックとして活用する計画だ。攻撃を受ける前に脅威を早期発見する予防医療的なセキュリティ運用である。
● 台湾企業としての強み
姜氏は、IT 業界で26年以上のキャリアを持つ。Symantec、Radware、AhnLab などの、カテゴリーを代表するさまざまな文化・地政学的背景を持つグローバルセキュリティ企業で日本法人社長やカントリーマネージャーを務めてきた。そして今、台湾発の CyCraft Japan で日本市場開拓に挑んでいる。
「韓国、アメリカ、イスラエル、それぞれに良さがある。しかし、台湾には台湾の強みがある。それは中国関連の攻撃に非常に強いノウハウと経験を持っていることだ(姜氏)」
日本企業が受けるサイバー攻撃の少なくない数が中国からのものだ。台湾企業 CyCraft は、地政学的な理由から、高額な予算とハイエンドな頭脳を結集させて開発された APT 等の高度な攻撃ログを継続的に入手することができる。
CyCraft CEO のベンソン・ウーは本誌の取材でかつて記者にこう語ったことがある。「台湾ではイスに座って待っているだけで、AI に与えるための高度なサイバー攻撃の教師データが無料でいくらでも手に入る。だから僕たちの AI セキュリティ製品はどんどん良くなるんだ。最高だろ?」と。子どものような屈託のない笑顔だった。前向きにもほどがあるポジティブな発言である。心をつかまれた。
そしてその製品改良の成果は実証されてもいる。CyCraft は 2020 年に MITRE ATT&CK フレームワークに沿って行われた世界 21 製品の評価で、検知分野で最高スコアを獲得している。Black Hat USA や CODE BLUE にも、CFP 枠(広告で買った講演枠ではないという意味です)で登壇を続ける。
競合状況についての質問に姜氏は「同じテクノロジーを持つセキュリティベンダーは世界にほかにないと思っている」と言い切った。
現状 CyCraft 社はデジタルデータソリューション株式会社ほかの、これまで提携していたパートナーのさらなる拡大を図っている。社名は書けないのだが、現在 CyCarrier の導入を検討している企業として、本誌で頻繁に言及されるあの会社やあの会社などの大手セキュリティ企業の社名が 3 ~ 5 社挙げられた。本当に「世界にほかにない」のか、彼らはそれを検証している最中だ。
本誌は、日本の全インシデントレスポンスサービス提供企業がデフォルトでCyCarrierを使うことに無批判に賛成するものではない。しかし、姜氏の目標がわずか数割達成されるだけでも、ランサムウェア攻撃を受けて事業停止し、進まないフォレンジック調査に苦慮する企業は確実に減る。これは間違いない。
