CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く | ScanNetSecurity
2020.04.04(土)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く

CrowdStrikeが公開したレポート「サイバーセキュリティ最前線レポート」において、特に日本に関係ある部分について、同社のマーク氏、鵜沢氏にお話をうかがった。

脆弱性と脅威 脅威動向
 CrowdStrikeでは、「グローバル脅威レポート」「Falcon 脅威ハンティングレポート」「サイバーセキュリティ最前線レポート」の3つのレポートを、年間を通して公開している。今回、新たな「サイバーセキュリティ最前線レポート」が公開された。これは、同社のServicesチームが顧客環境で発生した侵害調査やインシデントレスポンスにおいて得た知見をまとめたものである。このレポートについて、CrowdStrikeのアジア・パシフィック・ジャパンのサービス担当ディレクターであるマーク・ガウディ氏、プリンシパル コンサルタントである鵜沢裕一氏に、特に日本に関係の深い部分について話を聞くと、5つのポイントが浮かび上がった。


1.サードパーティへの攻撃

 ひとつは「サードパーティに対する攻撃」。サードパーティとは、企業の子会社や、そこにサービスを提供する協力会社、プロバイダ、サプライチェーン関連会社のことで、これらへの標的型攻撃が急増している。また、特定の業界を標的としていることが特徴的であるという。あなたの会社がメインの標的で、そこを目指すためにサードパーティを攻撃して、足がかりを作りあなたの会社に入り込む戦略だ。 一方で、日和見的な攻撃も増加しており、ランサムウェアが非常に多くばらまかれている。感染すると重要なファイルを暗号化され事業が停止してしまうとともに、極端な例では数億ドルの身代金を要求されるなど、被害を受けることになる。

 ただし、これらの攻撃は回避することが可能であるとマーク氏は言う。ひとつは、本社はもちろんのこと、子会社やサプライチェーンの関連会社、ベンダなどに対してのリスク管理プログラムを導入すること。もうひとつは、多要素認証を必須とすること。これは子会社とのやり取りでもしっかり適用することとした。そして、サードパーティを含めた侵害の可能性を評価することを挙げた。

2.クラウドインフラへの過信傾向

 2つ目の問題として、マーク氏は「クラウドインフラに対する攻撃」を挙げた。特に、固定された静的なAPIを危険視している。サイバー攻撃者はクラウドインフラへのアクセスを持つスクリプトを盗むことに注力している。このスクリプトには、クラウドインフラにアクセスするための静的なAPIが含まれていることがあり、クラウドインフラへ容易にアクセスされてしまう可能性がある。また、技術者であってもクラウドを過度に信頼してしまう傾向があると警鐘を鳴らした。

 マーク氏は、クラウドインフラに対する攻撃への対策として、4つのポイントを挙げた。ひとつは、静的なAPIを使わないこと。2つ目は、クラウドの利用申請を安易に許可せず、適切に管理すること。3つ目は、ログおよびアラートの記録をきちんと取ること。クラウドサービスではログの対象となるデータが少なかったり、ログの保存期間が短い場合がある。4つ目は、クラウド上のファイアウォールの設定、ルールを定期的にチェックすることを挙げた。デフォルトの設定ではルールが不十分であることが多いという。

3.Mac安全神話の崩壊

 3つ目の問題は、「Macに対する攻撃」である。Macはこれまで、マルウェアに感染しないから安全ということが神話のように語られてきているが、MacもWindowsと同じように脆弱性が存在するし、そこを突いてマルウェアに感染する。当然、きちんとしたセキュリティコントロールが必要になる。しかし、そうした神話があったことから、Macを管理するツールが少なく、同様にインシデント対応のためのツールも限られている。

 Macへの攻撃の対策には、まずWindowsと同等の厳しいセキュリティコントロールを行うこと。そしてリアルタイムのイベントを記録すること。これもツールが少なく難しいのだが、CrowdStrikeではEDRツールを提供しているという。そして、Macに対しても侵害があった時に迅速に調査を始められるようにトリアージのツールをきちんと持つことを挙げた。特に、Macの台数が多い環境では、調査の優先順位を決めるためにトリアージのツールが必要になるとした。なお、CrowdStrikeではオープンソースのトリアージコレクターユーティリティ「AutoMacTC」を提供している。

4.温故知新のパッチ管理

 4つ目の問題は「パッチ管理」。マーク氏は20年来ずっと「パッチをきちんと当てましょう」と言い続けているという。古い問題でありながら、リスクが大きい反面、対策も進みづらい状況にある。その原因は、IT部門の忙しさにあると指摘する。パッチ管理は、セキュリティチームがシステムをスキャンして、最新のパッチがあてられていないシステムを見つけると、IT部門にパッチの適用を依頼する。しかし、どうしても後回しになりがちになってしまう。パッチがあてられていないことへの責任の所在も明確ではない。

 一方、セキュリティチームとIT部門が一緒になって、すべてのパッチをあてようとする組織もあるが、パッチを当てることによる影響の検証に時間を割かれ、どこから手をつけていいか分からないという状態になってしまう。優先順位を決められないままパッチの適用を始めて、あまり重要ではないパッチの適用に時間を取られてしまうことも多い。この状況に対処するためには、パッチをあてないことによるビジネスへの影響を考える、ビジネスリスクベースのアプローチが重要。そのポリシーや手順を文書化する。また、事業を横断する脆弱性管理チームを結成することも有効であるとした。

5.コンプライアンス遵守目的のツール導入の落とし穴

 5つ目の問題は、「インシデントを未然に防ぐためのコントロールの強化」である。予防的なツールはいくつかあり、実際に導入している企業も多い。しかし、それらのツールが効果的にデプロイされておらず、防げるはずの攻撃を受けてしまうケースが増えている。たとえば、次世代ファイアウォールを導入し展開していても、実は次世代機能が有効化されていなかった。あるいは、多要素認証を導入していたのに、一部の従業員が勝手に容易なログイン方法を作ってしまい、それが大規模な情報漏えいにつながった例もある。

 この問題に対しては、まずコンプライアンス遵守の目的でセキュリティツールを導入しないことが重要とした。導入しただけで安心してしまい、肝心の機能が有効化されいなかったり、設定が十分になされていなかったりして、本来の効果を発揮できないケースが多い。実装のプランをきっちり立てる必要があるとした。また、検知と予防のフレームワークを作成すること。それをリスクベースで考えることで、ツールのすべての機能を有効化する必要もなくなる。さらに、設定ミスを防ぐために検証も重要であるとした。

●日本の中小企業の特徴と課題

 最後に、日本における特徴について聞いた。特に日本の中小企業はセキュリティへの意識が低く、サイバー攻撃を受けたときの被害をイメージできていなかったり、セキュリティ対策の優先度が低かったりする。しかし、サプライチェーンの一部を担うことから、高い水準のセキュリティ対策が求められている。中小企業のセキュリティに対する意識を向上するためにはどうすればいいか。マーク氏と鵜沢氏に聞いた。

 マーク氏は、日本の特徴的な点として、本社は高度なセキュリティ対策を実施しているが、子会社や関連会社は十分ではない。本社はそれをコントロールできておらず、しかも過信気味であると指摘した。中小企業側のセキュリティ意識の向上は難しいが、たとえば過去の被害実例が多くあるので、それを広く伝えることは大事だとした。ランサムウェアに感染して業務が停止し、倒産に追い込まれたケースなど、サイバー攻撃によって企業が倒産する実例を知って欲しい。

 また、今までITとは無縁だった業種でもIT化が進んでいるが、セキュリティの技術者がいない。サイバー攻撃とその被害、対策についてていねいに教えるべきとした。また、サイバー攻撃を受けてしまうと、修復や復旧のためにお金がかかるが、それよりも予防のためのコストの方がずっと低い。また、近年、国からの基金や補助金が出るケースが存在し、そうした制度を積極的に利用すべきとした。

 鵜沢氏は、中小企業の課題は、「お金がない」ことと「技術者がいない」ことであるとした。すべての企業がIT化していく中で、たとえばデータベースのデータを暗号化したり、バックアップを取るということも、被害をイメージできないから対策しようとしない。対策しようにも技術者がいないしお金がないというジレンマを抱えている。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN) 画像

自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN)
産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN) 画像

産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN)
複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN) 画像

複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)
Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN) 画像

Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN)
海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN) 画像

海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN)
macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report) 画像

macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック) 画像

オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)
セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS) 画像

セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)
iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学) 画像

iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)
全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局) 画像

全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)
放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構) 画像

放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構)
同じ社名だが別法人、廃棄物処理に関する文書誤送付(大阪市) 画像

同じ社名だが別法人、廃棄物処理に関する文書誤送付(大阪市)

調査・レポート・白書 記事一覧へ

日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック) 画像

日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック)
「2019年度情報セキュリティに対する意識調査」公開(IPA) 画像

「2019年度情報セキュリティに対する意識調査」公開(IPA)
JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS) 画像

JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS)
BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC) 画像

BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC)
脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA) 画像

脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA)
CISO に求める役割ベスト3とこれから求める役割(IPA) 画像

CISO に求める役割ベスト3とこれから求める役割(IPA)

研修・セミナー・カンファレンス 記事一覧へ

サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ 画像

サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020 画像

サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ) 画像

工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実 画像

ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ) 画像

動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ)
サイバー攻撃で信頼を失うとはどういうことか、Equifax CISO 語る 画像

サイバー攻撃で信頼を失うとはどういうことか、Equifax CISO 語る

製品・サービス・業界動向 記事一覧へ

“情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア) 画像

“情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)
セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack) 画像

セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)
倫理と技術そしてハードニング、情報セキュリティ教育プログラム開発(香川大学、ネットワンシステムズ) 画像

倫理と技術そしてハードニング、情報セキュリティ教育プログラム開発(香川大学、ネットワンシステムズ)
ECサイト向けに「オンラインスキミング」解説動画を無償公開(fjコンサルティング、DataSign) 画像

ECサイト向けに「オンラインスキミング」解説動画を無償公開(fjコンサルティング、DataSign)
最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出 画像

最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出
EDRのフルマネージメントサービスを提供開始(大塚商会) 画像

EDRのフルマネージメントサービスを提供開始(大塚商会)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×