CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く
CrowdStrikeが公開したレポート「サイバーセキュリティ最前線レポート」において、特に日本に関係ある部分について、同社のマーク氏、鵜沢氏にお話をうかがった。
脆弱性と脅威
脅威動向
1.サードパーティへの攻撃
ひとつは「サードパーティに対する攻撃」。サードパーティとは、企業の子会社や、そこにサービスを提供する協力会社、プロバイダ、サプライチェーン関連会社のことで、これらへの標的型攻撃が急増している。また、特定の業界を標的としていることが特徴的であるという。あなたの会社がメインの標的で、そこを目指すためにサードパーティを攻撃して、足がかりを作りあなたの会社に入り込む戦略だ。 一方で、日和見的な攻撃も増加しており、ランサムウェアが非常に多くばらまかれている。感染すると重要なファイルを暗号化され事業が停止してしまうとともに、極端な例では数億ドルの身代金を要求されるなど、被害を受けることになる。
ただし、これらの攻撃は回避することが可能であるとマーク氏は言う。ひとつは、本社はもちろんのこと、子会社やサプライチェーンの関連会社、ベンダなどに対してのリスク管理プログラムを導入すること。もうひとつは、多要素認証を必須とすること。これは子会社とのやり取りでもしっかり適用することとした。そして、サードパーティを含めた侵害の可能性を評価することを挙げた。
2.クラウドインフラへの過信傾向
2つ目の問題として、マーク氏は「クラウドインフラに対する攻撃」を挙げた。特に、固定された静的なAPIを危険視している。サイバー攻撃者はクラウドインフラへのアクセスを持つスクリプトを盗むことに注力している。このスクリプトには、クラウドインフラにアクセスするための静的なAPIが含まれていることがあり、クラウドインフラへ容易にアクセスされてしまう可能性がある。また、技術者であってもクラウドを過度に信頼してしまう傾向があると警鐘を鳴らした。
マーク氏は、クラウドインフラに対する攻撃への対策として、4つのポイントを挙げた。ひとつは、静的なAPIを使わないこと。2つ目は、クラウドの利用申請を安易に許可せず、適切に管理すること。3つ目は、ログおよびアラートの記録をきちんと取ること。クラウドサービスではログの対象となるデータが少なかったり、ログの保存期間が短い場合がある。4つ目は、クラウド上のファイアウォールの設定、ルールを定期的にチェックすることを挙げた。デフォルトの設定ではルールが不十分であることが多いという。
3.Mac安全神話の崩壊
3つ目の問題は、「Macに対する攻撃」である。Macはこれまで、マルウェアに感染しないから安全ということが神話のように語られてきているが、MacもWindowsと同じように脆弱性が存在するし、そこを突いてマルウェアに感染する。当然、きちんとしたセキュリティコントロールが必要になる。しかし、そうした神話があったことから、Macを管理するツールが少なく、同様にインシデント対応のためのツールも限られている。
Macへの攻撃の対策には、まずWindowsと同等の厳しいセキュリティコントロールを行うこと。そしてリアルタイムのイベントを記録すること。これもツールが少なく難しいのだが、CrowdStrikeではEDRツールを提供しているという。そして、Macに対しても侵害があった時に迅速に調査を始められるようにトリアージのツールをきちんと持つことを挙げた。特に、Macの台数が多い環境では、調査の優先順位を決めるためにトリアージのツールが必要になるとした。なお、CrowdStrikeではオープンソースのトリアージコレクターユーティリティ「AutoMacTC」を提供している。
4.温故知新のパッチ管理
4つ目の問題は「パッチ管理」。マーク氏は20年来ずっと「パッチをきちんと当てましょう」と言い続けているという。古い問題でありながら、リスクが大きい反面、対策も進みづらい状況にある。その原因は、IT部門の忙しさにあると指摘する。パッチ管理は、セキュリティチームがシステムをスキャンして、最新のパッチがあてられていないシステムを見つけると、IT部門にパッチの適用を依頼する。しかし、どうしても後回しになりがちになってしまう。パッチがあてられていないことへの責任の所在も明確ではない。
一方、セキュリティチームとIT部門が一緒になって、すべてのパッチをあてようとする組織もあるが、パッチを当てることによる影響の検証に時間を割かれ、どこから手をつけていいか分からないという状態になってしまう。優先順位を決められないままパッチの適用を始めて、あまり重要ではないパッチの適用に時間を取られてしまうことも多い。この状況に対処するためには、パッチをあてないことによるビジネスへの影響を考える、ビジネスリスクベースのアプローチが重要。そのポリシーや手順を文書化する。また、事業を横断する脆弱性管理チームを結成することも有効であるとした。
5.コンプライアンス遵守目的のツール導入の落とし穴
5つ目の問題は、「インシデントを未然に防ぐためのコントロールの強化」である。予防的なツールはいくつかあり、実際に導入している企業も多い。しかし、それらのツールが効果的にデプロイされておらず、防げるはずの攻撃を受けてしまうケースが増えている。たとえば、次世代ファイアウォールを導入し展開していても、実は次世代機能が有効化されていなかった。あるいは、多要素認証を導入していたのに、一部の従業員が勝手に容易なログイン方法を作ってしまい、それが大規模な情報漏えいにつながった例もある。
この問題に対しては、まずコンプライアンス遵守の目的でセキュリティツールを導入しないことが重要とした。導入しただけで安心してしまい、肝心の機能が有効化されいなかったり、設定が十分になされていなかったりして、本来の効果を発揮できないケースが多い。実装のプランをきっちり立てる必要があるとした。また、検知と予防のフレームワークを作成すること。それをリスクベースで考えることで、ツールのすべての機能を有効化する必要もなくなる。さらに、設定ミスを防ぐために検証も重要であるとした。
●日本の中小企業の特徴と課題
最後に、日本における特徴について聞いた。特に日本の中小企業はセキュリティへの意識が低く、サイバー攻撃を受けたときの被害をイメージできていなかったり、セキュリティ対策の優先度が低かったりする。しかし、サプライチェーンの一部を担うことから、高い水準のセキュリティ対策が求められている。中小企業のセキュリティに対する意識を向上するためにはどうすればいいか。マーク氏と鵜沢氏に聞いた。
マーク氏は、日本の特徴的な点として、本社は高度なセキュリティ対策を実施しているが、子会社や関連会社は十分ではない。本社はそれをコントロールできておらず、しかも過信気味であると指摘した。中小企業側のセキュリティ意識の向上は難しいが、たとえば過去の被害実例が多くあるので、それを広く伝えることは大事だとした。ランサムウェアに感染して業務が停止し、倒産に追い込まれたケースなど、サイバー攻撃によって企業が倒産する実例を知って欲しい。
また、今までITとは無縁だった業種でもIT化が進んでいるが、セキュリティの技術者がいない。サイバー攻撃とその被害、対策についてていねいに教えるべきとした。また、サイバー攻撃を受けてしまうと、修復や復旧のためにお金がかかるが、それよりも予防のためのコストの方がずっと低い。また、近年、国からの基金や補助金が出るケースが存在し、そうした制度を積極的に利用すべきとした。
鵜沢氏は、中小企業の課題は、「お金がない」ことと「技術者がいない」ことであるとした。すべての企業がIT化していく中で、たとえばデータベースのデータを暗号化したり、バックアップを取るということも、被害をイメージできないから対策しようとしない。対策しようにも技術者がいないしお金がないというジレンマを抱えている。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
特集
今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”
10 月に最も件数換算の被害規模が大きかったのは、株式会社NTTマーケティングアクトProCX と NTTビジネスソリューションズ株式会社による「NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む」の 約 900 万件だった。
-
医療機関向けセキュリティベンダCOO「事業拡大」のため病院をサイバー攻撃した罪を認める
アトランタを拠点とするハイテク企業の元最高執行責任者(COO)が、2018 年に 2 つの病院に意図的にオンライン攻撃を仕掛け、後にその事件を引き合いに出して売り込みを行った事件の裁判で、有罪を認めた。
-
ManageEngine ADManager Plus の installServiceWithCredentials 関数における OS コマンドインジェクションの脆弱性(Scan Tech Report)
2023 年 6 月に修正された、Zoho 社の ManageEngine ADManager Plus の脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています。
-
AWSスタッフ、刑務所みたいなオフィスをTikTokで自慢
ローマのパンテオンにも似たドーム構造を持つ、オランダのハールレムにあるケペルゲバンゲニスは、パノプティコンの原理(編集部註:看守からは囚人を監視することができるのに対して、囚人は自分が監視されているかどうかわからない円形構造の監獄)に基づいて監獄として設計された。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

Apache Tomcat にリクエストスマグリングの脆弱性

ManageEngine ADManager Plus の installServiceWithCredentials 関数における OS コマンドインジェクションの脆弱性(Scan Tech Report)

観光庁が注意喚起、Booking.com 利用者へのフィッシング被害

サイバー攻撃の賠償や保険料要求 ~ NISC 騙る不審な電話に注意喚起

Citrix ADCおよびCitrix Gatewayに情報漏えいの脆弱性、悪用する攻撃を確認

Apache ActiveMQに遠隔コード実行の脆弱性、リコー製品に影響
インシデント・事故 記事一覧へ

大阪商業大学の公式WEBサイトに不正アクセスによる改ざん、現在は復旧

dodaスカウトサービスでブロック機能が作動しない不具合、直近の勤務先企業から閲覧可能な状態に

クラウド請求書プラットフォーム「INVOY」で他の顧客情報が閲覧可能に、技術力向上のため人材登用に投資

JCOM メッシュWi-Fi 提供元のモバイルアプリへ不正アクセス、顧客の個人情報が漏えい

中津市民病院にランサムウェア攻撃、取引先情報が流出した可能性

カー用品取り扱い「エンラージ商事オフィシャルショップ」に不正アクセス、2,432名のカード情報が漏えいした可能性
調査・レポート・白書・ガイドライン 記事一覧へ

ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に

代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析

EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証

ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証

セキュリティの仕事24職種紹介「サイバーセキュリティ仕事ファイル」合本版

日経225企業の7割がDMARC導入、金融機関の増加顕著 ~ TwoFive調査
研修・セミナー・カンファレンス 記事一覧へ

GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催

受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか

「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定

サイバー脅威インテリジェンスの未来 5つの傾向

「GMOサイバーセキュリティカンファレンス IERAE DAYS 2023」開催

LINEヤフー社 Digital Crime Unit の取り組みほか ~ フィッシング対策セミナー講演資料 5 本公開
製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」アップデート、重複表示の修正ほか 機能改善実施

ウィズセキュア、Salesforce 環境のコンテンツリスク診断ツールを無料提供

Mandiant のインテリジェンス採用「IIJ アタックサーフェスアセスメントソリューション」

脆弱性診断自動化ツール「AeyeScan」アップデート、サブアカウント管理機能拡充

ALSI が脅威インテリジェンス参入、2024年4月「InterSafe Threat Intelligence Platform」提供開始

脆弱性診断自動化ツール「AeyeScan」アップデート、APIスキャンで json 形式の body 数値が文字列に変換される問題を修正
おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞(上野宣)

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
