CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く | ScanNetSecurity
2022.06.28(火)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く

CrowdStrikeが公開したレポート「サイバーセキュリティ最前線レポート」において、特に日本に関係ある部分について、同社のマーク氏、鵜沢氏にお話をうかがった。

脆弱性と脅威 脅威動向
 CrowdStrikeでは、「グローバル脅威レポート」「Falcon 脅威ハンティングレポート」「サイバーセキュリティ最前線レポート」の3つのレポートを、年間を通して公開している。今回、新たな「サイバーセキュリティ最前線レポート」が公開された。これは、同社のServicesチームが顧客環境で発生した侵害調査やインシデントレスポンスにおいて得た知見をまとめたものである。このレポートについて、CrowdStrikeのアジア・パシフィック・ジャパンのサービス担当ディレクターであるマーク・ガウディ氏、プリンシパル コンサルタントである鵜沢裕一氏に、特に日本に関係の深い部分について話を聞くと、5つのポイントが浮かび上がった。


1.サードパーティへの攻撃

 ひとつは「サードパーティに対する攻撃」。サードパーティとは、企業の子会社や、そこにサービスを提供する協力会社、プロバイダ、サプライチェーン関連会社のことで、これらへの標的型攻撃が急増している。また、特定の業界を標的としていることが特徴的であるという。あなたの会社がメインの標的で、そこを目指すためにサードパーティを攻撃して、足がかりを作りあなたの会社に入り込む戦略だ。 一方で、日和見的な攻撃も増加しており、ランサムウェアが非常に多くばらまかれている。感染すると重要なファイルを暗号化され事業が停止してしまうとともに、極端な例では数億ドルの身代金を要求されるなど、被害を受けることになる。

 ただし、これらの攻撃は回避することが可能であるとマーク氏は言う。ひとつは、本社はもちろんのこと、子会社やサプライチェーンの関連会社、ベンダなどに対してのリスク管理プログラムを導入すること。もうひとつは、多要素認証を必須とすること。これは子会社とのやり取りでもしっかり適用することとした。そして、サードパーティを含めた侵害の可能性を評価することを挙げた。

2.クラウドインフラへの過信傾向

 2つ目の問題として、マーク氏は「クラウドインフラに対する攻撃」を挙げた。特に、固定された静的なAPIを危険視している。サイバー攻撃者はクラウドインフラへのアクセスを持つスクリプトを盗むことに注力している。このスクリプトには、クラウドインフラにアクセスするための静的なAPIが含まれていることがあり、クラウドインフラへ容易にアクセスされてしまう可能性がある。また、技術者であってもクラウドを過度に信頼してしまう傾向があると警鐘を鳴らした。

 マーク氏は、クラウドインフラに対する攻撃への対策として、4つのポイントを挙げた。ひとつは、静的なAPIを使わないこと。2つ目は、クラウドの利用申請を安易に許可せず、適切に管理すること。3つ目は、ログおよびアラートの記録をきちんと取ること。クラウドサービスではログの対象となるデータが少なかったり、ログの保存期間が短い場合がある。4つ目は、クラウド上のファイアウォールの設定、ルールを定期的にチェックすることを挙げた。デフォルトの設定ではルールが不十分であることが多いという。

3.Mac安全神話の崩壊

 3つ目の問題は、「Macに対する攻撃」である。Macはこれまで、マルウェアに感染しないから安全ということが神話のように語られてきているが、MacもWindowsと同じように脆弱性が存在するし、そこを突いてマルウェアに感染する。当然、きちんとしたセキュリティコントロールが必要になる。しかし、そうした神話があったことから、Macを管理するツールが少なく、同様にインシデント対応のためのツールも限られている。

 Macへの攻撃の対策には、まずWindowsと同等の厳しいセキュリティコントロールを行うこと。そしてリアルタイムのイベントを記録すること。これもツールが少なく難しいのだが、CrowdStrikeではEDRツールを提供しているという。そして、Macに対しても侵害があった時に迅速に調査を始められるようにトリアージのツールをきちんと持つことを挙げた。特に、Macの台数が多い環境では、調査の優先順位を決めるためにトリアージのツールが必要になるとした。なお、CrowdStrikeではオープンソースのトリアージコレクターユーティリティ「AutoMacTC」を提供している。

4.温故知新のパッチ管理

 4つ目の問題は「パッチ管理」。マーク氏は20年来ずっと「パッチをきちんと当てましょう」と言い続けているという。古い問題でありながら、リスクが大きい反面、対策も進みづらい状況にある。その原因は、IT部門の忙しさにあると指摘する。パッチ管理は、セキュリティチームがシステムをスキャンして、最新のパッチがあてられていないシステムを見つけると、IT部門にパッチの適用を依頼する。しかし、どうしても後回しになりがちになってしまう。パッチがあてられていないことへの責任の所在も明確ではない。

 一方、セキュリティチームとIT部門が一緒になって、すべてのパッチをあてようとする組織もあるが、パッチを当てることによる影響の検証に時間を割かれ、どこから手をつけていいか分からないという状態になってしまう。優先順位を決められないままパッチの適用を始めて、あまり重要ではないパッチの適用に時間を取られてしまうことも多い。この状況に対処するためには、パッチをあてないことによるビジネスへの影響を考える、ビジネスリスクベースのアプローチが重要。そのポリシーや手順を文書化する。また、事業を横断する脆弱性管理チームを結成することも有効であるとした。

5.コンプライアンス遵守目的のツール導入の落とし穴

 5つ目の問題は、「インシデントを未然に防ぐためのコントロールの強化」である。予防的なツールはいくつかあり、実際に導入している企業も多い。しかし、それらのツールが効果的にデプロイされておらず、防げるはずの攻撃を受けてしまうケースが増えている。たとえば、次世代ファイアウォールを導入し展開していても、実は次世代機能が有効化されていなかった。あるいは、多要素認証を導入していたのに、一部の従業員が勝手に容易なログイン方法を作ってしまい、それが大規模な情報漏えいにつながった例もある。

 この問題に対しては、まずコンプライアンス遵守の目的でセキュリティツールを導入しないことが重要とした。導入しただけで安心してしまい、肝心の機能が有効化されいなかったり、設定が十分になされていなかったりして、本来の効果を発揮できないケースが多い。実装のプランをきっちり立てる必要があるとした。また、検知と予防のフレームワークを作成すること。それをリスクベースで考えることで、ツールのすべての機能を有効化する必要もなくなる。さらに、設定ミスを防ぐために検証も重要であるとした。

●日本の中小企業の特徴と課題

 最後に、日本における特徴について聞いた。特に日本の中小企業はセキュリティへの意識が低く、サイバー攻撃を受けたときの被害をイメージできていなかったり、セキュリティ対策の優先度が低かったりする。しかし、サプライチェーンの一部を担うことから、高い水準のセキュリティ対策が求められている。中小企業のセキュリティに対する意識を向上するためにはどうすればいいか。マーク氏と鵜沢氏に聞いた。

 マーク氏は、日本の特徴的な点として、本社は高度なセキュリティ対策を実施しているが、子会社や関連会社は十分ではない。本社はそれをコントロールできておらず、しかも過信気味であると指摘した。中小企業側のセキュリティ意識の向上は難しいが、たとえば過去の被害実例が多くあるので、それを広く伝えることは大事だとした。ランサムウェアに感染して業務が停止し、倒産に追い込まれたケースなど、サイバー攻撃によって企業が倒産する実例を知って欲しい。

 また、今までITとは無縁だった業種でもIT化が進んでいるが、セキュリティの技術者がいない。サイバー攻撃とその被害、対策についてていねいに教えるべきとした。また、サイバー攻撃を受けてしまうと、修復や復旧のためにお金がかかるが、それよりも予防のためのコストの方がずっと低い。また、近年、国からの基金や補助金が出るケースが存在し、そうした制度を積極的に利用すべきとした。

 鵜沢氏は、中小企業の課題は、「お金がない」ことと「技術者がいない」ことであるとした。すべての企業がIT化していく中で、たとえばデータベースのデータを暗号化したり、バックアップを取るということも、被害をイメージできないから対策しようとしない。対策しようにも技術者がいないしお金がないというジレンマを抱えている。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

YKK AP社員を装った不審メールに注意喚起、取引先への送信も確認 画像

YKK AP社員を装った不審メールに注意喚起、取引先への送信も確認
L2Blockerセンサー設定画面に認証回避の脆弱性 画像

L2Blockerセンサー設定画面に認証回避の脆弱性
web2py にオープンリダイレクトの脆弱性 画像

web2py にオープンリダイレクトの脆弱性
SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見 画像

SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見
Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
法務省 文科省 デジタル庁 警視庁、偽サイト続々 画像

法務省 文科省 デジタル庁 警視庁、偽サイト続々

インシデント・事故 記事一覧へ

トヨタ紡織グループのタイの販売会社に不正アクセス 画像

トヨタ紡織グループのタイの販売会社に不正アクセス
ホース製造ニチリンの米国子会社にランサムウェア攻撃、手作業で生産出荷を実施 画像

ホース製造ニチリンの米国子会社にランサムウェア攻撃、手作業で生産出荷を実施
ランサムウェアLockbit 2.0によるサイバー攻撃、電子カルテや院内LANシステムが使用不能に 画像

ランサムウェアLockbit 2.0によるサイバー攻撃、電子カルテや院内LANシステムが使用不能に
コンサル契約にもとづき提供した秘密情報が漏えい 画像

コンサル契約にもとづき提供した秘密情報が漏えい
FRONTEOの米国子会社へのランサムウェア攻撃、侵入経路と推測されるメールシステムを今後は使用せず 画像

FRONTEOの米国子会社へのランサムウェア攻撃、侵入経路と推測されるメールシステムを今後は使用せず
バローホールディングスで夏ギフトのダイレクトメールを誤送付、システム移行時の確認不足が原因 画像

バローホールディングスで夏ギフトのダイレクトメールを誤送付、システム移行時の確認不足が原因

調査・レポート・白書 記事一覧へ

JSSEC、フィッシングメール詐欺の手口と対策を解説 画像

JSSEC、フィッシングメール詐欺の手口と対策を解説
2022年第1四半期のランサムウェア動向 画像

2022年第1四半期のランサムウェア動向
マルウェアや標的型攻撃への対策状況を明らかに、ガートナー調査 画像

マルウェアや標的型攻撃への対策状況を明らかに、ガートナー調査
官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査 画像

官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査
日本の組織が最も懸念するサイバー脅威はフィッシング詐欺とソーシャルエンジニアリング、トレンドマイクロ調査 画像

日本の組織が最も懸念するサイバー脅威はフィッシング詐欺とソーシャルエンジニアリング、トレンドマイクロ調査
Proofpoint Blog 第14回「CISOが考える最大のサイバー脅威は「内部脅威」 - 2022年CISO意識調査レポート」 画像

Proofpoint Blog 第14回「CISOが考える最大のサイバー脅威は「内部脅威」 - 2022年CISO意識調査レポート」

研修・セミナー・カンファレンス 記事一覧へ

LogStare「Interop Tokyo 2022」レポート、CTOの堀野友之氏による講演やShowNetのモニタリング・AI予測など 画像

LogStare「Interop Tokyo 2022」レポート、CTOの堀野友之氏による講演やShowNetのモニタリング・AI予測など
「テクカン2022」開催、セキュリティ製品ひしめく現代 セキュリティ担当者サバイバルガイド解説 画像

「テクカン2022」開催、セキュリティ製品ひしめく現代 セキュリティ担当者サバイバルガイド解説
「法執行機関による盗聴」国別比較 ~ 日 米 独 豪 台 事例から 画像

「法執行機関による盗聴」国別比較 ~ 日 米 独 豪 台 事例から
「Japan Drone 2022」開幕、イエラエのドローン攻撃デモも 画像

「Japan Drone 2022」開幕、イエラエのドローン攻撃デモも
企業がフィッシングメールを見分けるには? 無料ウェビナー開催、TwoFiveがDMARCについて解説 画像

企業がフィッシングメールを見分けるには? 無料ウェビナー開催、TwoFiveがDMARCについて解説
東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化 画像

東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化

製品・サービス・業界動向 記事一覧へ

セキュリティ製品「第三者評価」の読み解き方、AV-Test や MITRE Engenuity など 画像

セキュリティ製品「第三者評価」の読み解き方、AV-Test や MITRE Engenuity など
「ワールドソフト」で「VirusTotal」有償版を販売開始 画像

「ワールドソフト」で「VirusTotal」有償版を販売開始
画面共有時の推測候補を非表示に、「ATOK for Mac」に「ATOKプロテクトモード」搭載 画像

画面共有時の推測候補を非表示に、「ATOK for Mac」に「ATOKプロテクトモード」搭載
ユービーセキュア、オフィスネットワークを攻撃者視点でテスト「オフィスハッキングパック」提供開始 画像

ユービーセキュア、オフィスネットワークを攻撃者視点でテスト「オフィスハッキングパック」提供開始
「A-gate」がSalesforceに対応、設定ミスを検出し自動修復 画像

「A-gate」がSalesforceに対応、設定ミスを検出し自動修復
CrowdStrike Security Cloudで稼働する新たなグラフデータベース「CrowdStrike Asset Graph」発表 画像

CrowdStrike Security Cloudで稼働する新たなグラフデータベース「CrowdStrike Asset Graph」発表

おしらせ 記事一覧へ

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×