CrowdStrike社レポートから読み解く日本の課題と対策 --- マーク・ガウディ氏と鵜沢裕一氏に聞く
CrowdStrikeが公開したレポート「サイバーセキュリティ最前線レポート」において、特に日本に関係ある部分について、同社のマーク氏、鵜沢氏にお話をうかがった。
脆弱性と脅威
脅威動向
1.サードパーティへの攻撃
ひとつは「サードパーティに対する攻撃」。サードパーティとは、企業の子会社や、そこにサービスを提供する協力会社、プロバイダ、サプライチェーン関連会社のことで、これらへの標的型攻撃が急増している。また、特定の業界を標的としていることが特徴的であるという。あなたの会社がメインの標的で、そこを目指すためにサードパーティを攻撃して、足がかりを作りあなたの会社に入り込む戦略だ。 一方で、日和見的な攻撃も増加しており、ランサムウェアが非常に多くばらまかれている。感染すると重要なファイルを暗号化され事業が停止してしまうとともに、極端な例では数億ドルの身代金を要求されるなど、被害を受けることになる。
ただし、これらの攻撃は回避することが可能であるとマーク氏は言う。ひとつは、本社はもちろんのこと、子会社やサプライチェーンの関連会社、ベンダなどに対してのリスク管理プログラムを導入すること。もうひとつは、多要素認証を必須とすること。これは子会社とのやり取りでもしっかり適用することとした。そして、サードパーティを含めた侵害の可能性を評価することを挙げた。
2.クラウドインフラへの過信傾向
2つ目の問題として、マーク氏は「クラウドインフラに対する攻撃」を挙げた。特に、固定された静的なAPIを危険視している。サイバー攻撃者はクラウドインフラへのアクセスを持つスクリプトを盗むことに注力している。このスクリプトには、クラウドインフラにアクセスするための静的なAPIが含まれていることがあり、クラウドインフラへ容易にアクセスされてしまう可能性がある。また、技術者であってもクラウドを過度に信頼してしまう傾向があると警鐘を鳴らした。
マーク氏は、クラウドインフラに対する攻撃への対策として、4つのポイントを挙げた。ひとつは、静的なAPIを使わないこと。2つ目は、クラウドの利用申請を安易に許可せず、適切に管理すること。3つ目は、ログおよびアラートの記録をきちんと取ること。クラウドサービスではログの対象となるデータが少なかったり、ログの保存期間が短い場合がある。4つ目は、クラウド上のファイアウォールの設定、ルールを定期的にチェックすることを挙げた。デフォルトの設定ではルールが不十分であることが多いという。
3.Mac安全神話の崩壊
3つ目の問題は、「Macに対する攻撃」である。Macはこれまで、マルウェアに感染しないから安全ということが神話のように語られてきているが、MacもWindowsと同じように脆弱性が存在するし、そこを突いてマルウェアに感染する。当然、きちんとしたセキュリティコントロールが必要になる。しかし、そうした神話があったことから、Macを管理するツールが少なく、同様にインシデント対応のためのツールも限られている。
Macへの攻撃の対策には、まずWindowsと同等の厳しいセキュリティコントロールを行うこと。そしてリアルタイムのイベントを記録すること。これもツールが少なく難しいのだが、CrowdStrikeではEDRツールを提供しているという。そして、Macに対しても侵害があった時に迅速に調査を始められるようにトリアージのツールをきちんと持つことを挙げた。特に、Macの台数が多い環境では、調査の優先順位を決めるためにトリアージのツールが必要になるとした。なお、CrowdStrikeではオープンソースのトリアージコレクターユーティリティ「AutoMacTC」を提供している。
4.温故知新のパッチ管理
4つ目の問題は「パッチ管理」。マーク氏は20年来ずっと「パッチをきちんと当てましょう」と言い続けているという。古い問題でありながら、リスクが大きい反面、対策も進みづらい状況にある。その原因は、IT部門の忙しさにあると指摘する。パッチ管理は、セキュリティチームがシステムをスキャンして、最新のパッチがあてられていないシステムを見つけると、IT部門にパッチの適用を依頼する。しかし、どうしても後回しになりがちになってしまう。パッチがあてられていないことへの責任の所在も明確ではない。
一方、セキュリティチームとIT部門が一緒になって、すべてのパッチをあてようとする組織もあるが、パッチを当てることによる影響の検証に時間を割かれ、どこから手をつけていいか分からないという状態になってしまう。優先順位を決められないままパッチの適用を始めて、あまり重要ではないパッチの適用に時間を取られてしまうことも多い。この状況に対処するためには、パッチをあてないことによるビジネスへの影響を考える、ビジネスリスクベースのアプローチが重要。そのポリシーや手順を文書化する。また、事業を横断する脆弱性管理チームを結成することも有効であるとした。
5.コンプライアンス遵守目的のツール導入の落とし穴
5つ目の問題は、「インシデントを未然に防ぐためのコントロールの強化」である。予防的なツールはいくつかあり、実際に導入している企業も多い。しかし、それらのツールが効果的にデプロイされておらず、防げるはずの攻撃を受けてしまうケースが増えている。たとえば、次世代ファイアウォールを導入し展開していても、実は次世代機能が有効化されていなかった。あるいは、多要素認証を導入していたのに、一部の従業員が勝手に容易なログイン方法を作ってしまい、それが大規模な情報漏えいにつながった例もある。
この問題に対しては、まずコンプライアンス遵守の目的でセキュリティツールを導入しないことが重要とした。導入しただけで安心してしまい、肝心の機能が有効化されいなかったり、設定が十分になされていなかったりして、本来の効果を発揮できないケースが多い。実装のプランをきっちり立てる必要があるとした。また、検知と予防のフレームワークを作成すること。それをリスクベースで考えることで、ツールのすべての機能を有効化する必要もなくなる。さらに、設定ミスを防ぐために検証も重要であるとした。
●日本の中小企業の特徴と課題
最後に、日本における特徴について聞いた。特に日本の中小企業はセキュリティへの意識が低く、サイバー攻撃を受けたときの被害をイメージできていなかったり、セキュリティ対策の優先度が低かったりする。しかし、サプライチェーンの一部を担うことから、高い水準のセキュリティ対策が求められている。中小企業のセキュリティに対する意識を向上するためにはどうすればいいか。マーク氏と鵜沢氏に聞いた。
マーク氏は、日本の特徴的な点として、本社は高度なセキュリティ対策を実施しているが、子会社や関連会社は十分ではない。本社はそれをコントロールできておらず、しかも過信気味であると指摘した。中小企業側のセキュリティ意識の向上は難しいが、たとえば過去の被害実例が多くあるので、それを広く伝えることは大事だとした。ランサムウェアに感染して業務が停止し、倒産に追い込まれたケースなど、サイバー攻撃によって企業が倒産する実例を知って欲しい。
また、今までITとは無縁だった業種でもIT化が進んでいるが、セキュリティの技術者がいない。サイバー攻撃とその被害、対策についてていねいに教えるべきとした。また、サイバー攻撃を受けてしまうと、修復や復旧のためにお金がかかるが、それよりも予防のためのコストの方がずっと低い。また、近年、国からの基金や補助金が出るケースが存在し、そうした制度を積極的に利用すべきとした。
鵜沢氏は、中小企業の課題は、「お金がない」ことと「技術者がいない」ことであるとした。すべての企業がIT化していく中で、たとえばデータベースのデータを暗号化したり、バックアップを取るということも、被害をイメージできないから対策しようとしない。対策しようにも技術者がいないしお金がないというジレンマを抱えている。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際
Apple ティム・クックとドナルド・トランプが育んだ熱い男の友情とは? クックのトランプへの贈り物
トランプ大統領の財務状況に関する最新の文書は興味深い読み物となっている。様々な資産や事業で得た利益がリストアップされているのに加えて、実業家らから受け取った贈り物の数々が明らかにされているのだ。
-
共通脆弱性評価システム CVSS の「信頼性」評価アンケート実施、回答の一部を公開
あるドイツの研究者が脆弱性スコアの有効性に関する調査を行っている。この研究者は今回の研究が、時に物議を醸すこの脆弱性評価システムについて有益な知見をもたらすことを期待している。
-
Microsoft Windows において ComputerDefaults.exe のレジストリ処理により UAC による制限が回避可能となる手法(Scan Tech Report)
Microsoft Windows OS において、ユーザアカウント制御 (UAC) による制限を回避することが可能となる新たな手法が公開されています。
-
病院も監査の標的、ライセンス監査で収益確保はかる切羽詰まったソフトウェアベンダ
新型コロナウイルスによる世界的な感染者急増に対処するため、医療機関は過度な負担を強いられている。そうした中、ソフトウェアベンダは病院をライセンス監査の標的にしている。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信

VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

Movable Typeに複数のクロスサイトスクリプティングの脆弱性

ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請

日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説

BIND 9.xに実装上の不具合、namedに対する外部からの攻撃が可能となる脆弱性
インシデント・事故 記事一覧へ

「大阪府立労働センター」にて書類を取り違えて送付、そもそも郵送時のマニュアルが存在せず

八景島シーパラダイスへの卒業遠足中に生徒名簿を紛失、ズボンの後ろポケットに入れたままで巡回

松下記念病院で1,971名分の「撮影画像データ」を記録したノートPCを紛失

社員PCがなりすましメール受信、添付ファイル開封後に大量の迷惑メールを送信

Salesforceの設定不備が原因で「KOBEぽすと」に不正アクセス

「第一種電気工事士定期講習」受講者情報が閲覧可能に、対策検討委員会設置し原因究明と再発防止策検討
調査・レポート・白書 記事一覧へ

CrowdStrike Adversary Calender 2021 年 3 月( kryptonite panda )

Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16%

小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定

国内 IT サービス市場 IDC 予測、2021年以降プラス成長に回帰

北海道・東北・関西・九州 ~ 地域セキュリティコミュニティのプラクティス集が公開

2020年のウイルス届出件数、前年から7割増となる449件、「Emotet」感染被害は39件に
研修・セミナー・カンファレンス 記事一覧へ

明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 栄二郎先生に聞く

NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開

SSL 通信可視化が必要な 2 つの理由と可視化後の課題 ~「ミスター A10ネットワークス」高木 真吾 氏に聞きたい話

JNSA「Network Security Forum 2021」オンライン開催、平井デジタル改革担当大臣も

これはできますか? EDR導入オンラインセミナーで実際に挙がった疑問・質問

国内電力事業者サイバーセキュリティ対策基本枠組 ~ 電力 ISAC の取り組みの軌跡から
製品・サービス・業界動向 記事一覧へ

LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能

KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から

NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始

SHIFT SECURITY、先着10社に「Salesforce」クラウド診断の一部プランを無償提供

イエラエセキュリティ CSIRT支援室 第7回「膨大なインスタンスやマルチクラウド環境の一元管理&監視を可能にする『Orca Security』」
