標的は製造業、制御系のOTやIoTを狙うサイバー攻撃が増大 防御だけでは不十分。求められる「5プラス1」のセキュリティー対策とは

窪田豪史氏、藏本雄一氏

提供:日本IBM

近年、世界中でサイバー攻撃が高度化し激化している。深刻なのは、被害が頻繁に発生していることだ。日本でも自動車部品工場が操業停止に追い込まれたというニュースも報じられた。では、現在のサイバー攻撃はどのように変わってきているのか。どこが攻撃対象とされ、その攻撃に備えるためにはどのような対策を行えばいいのか。セキュリティーの最前線で活躍する日本IBMの窪田豪史氏と藏本雄一氏に、サイバー攻撃の最新トレンドと防御に対する基本的な考え方について話を聞いた。

依然として増加傾向にある
ランサムウェア攻撃

窪田豪史氏
日本アイ・ビー・エム株式会社
セキュリティー事業本部
X-Forceインシデント・レスポンス日本責任者
窪田豪史

 「セキュリティーの最新動向では4つの観点が挙げられます。攻撃目的のトップはランサムウェア、侵入手口のトップはフィッシングと脆弱性の悪用、製造業におけるインシデントの増加、そしてOT(Operational Technology)やあらゆるものがネットにつながるIoT、クラウドやLinuxなど標的の多様化です」と、日本IBMセキュリティー事業本部のX-Forceインシデント・レスポンス日本責任者の窪田豪史氏は語る。

 IBMは「IBM Security X-Force」という世界最大規模のサイバーセキュリティー研究開発機構をグローバルで展開し、毎年サイバー脅威の事例や攻撃パターンを分析。その傾向や特徴を整理したレポートを発表している。窪田氏が指摘したポイントは2021年1月から12月までの研究結果に基づくものだ。

 このレポートで目を引くのは、企業が保有するデータを人質にとって身代金を要求するランサムウェアの攻撃だ。攻撃目的に占めるランサムウェアの割合は21%と2020年に続いてトップを占め、特定のグループがそのうちの37%を占める。攻撃者グループは平均17カ月でブランド名を変更したり、活動をシャットダウンしたりしている。

 侵入の手口としては、偽のメールを送りつけたり、偽サイトに誘導したりするフィッシングとシステムの脆弱性を悪用した攻撃が使われている。攻撃者はIDやパスワードなどを盗み出してシステムに侵入してくるという。

攻撃目的のトップはランサムウェアの展開

製造業が警戒すべきOT、
IoTの脅威の増大

 特に日本企業にとって深刻な新たな変化は、製造業におけるインシデント件数が増えていることだ。「日本では2020年から製造業が1位になっていましたが、今回はグローバルでも製造業が金融・保険業を上回って1位になりました。攻撃の手口のトップは脆弱性の悪用で、制御系のOTやIoTの脅威も増大しています」(窪田氏)。

 クラウドやLinuxへの脅威が上昇している点も見逃せない。クラウドへの不正アクセスの3分の2は設定ミスが関与し、新しい(ユニークな)コードを持つLinuxのランサムウェアが2020年から2021年にかけて146%増加している。これらも製造現場でのリスクの増大につながる。

 IBMではこうした中で7つの対策を推奨している。事前にランサムウェアへの対応を検討し計画を作成しておくこと、ネットワークのすべてのリモートアクセスポイントに多要素認証を実装すること、フィッシング対策のために多段階の施策を準備すること、脆弱性管理システムを強化し、成熟させることだ。

 そして、ゼロトラスト(「何も信頼しない」ことを前提としたセキュリティー対策)の原則を採用し、主要な攻撃を回避すること。窪田氏は「社内外からのアクセスの正当性やシステムの状態をゼロベースで継続して検証するゼロトラストは、保護すべきデータやシステムが分散して存在する環境におけるセキュリティー対策として注目されています」と指摘する。

 さらにシステム面からの対策として、セキュリティーの自動化を活用してインシデント対応の強化を図ることと、攻撃者に負けないために検出や応答の機能を拡張することを挙げる。

IBM Security 推奨事項

攻撃されることを前提に
セキュリティーを考える

藏本雄一氏
日本アイ・ビー・エム株式会社
セキュリティー事業本部
C&SI パートナー
藏本雄一

 サイバー攻撃の高度化によってセキュリティー対策へのアプローチそのものが大きく変わってきていることも見逃せない変化だ。日本IBMセキュリティー事業本部のコンサルティング&SIパートナーである藏本雄一氏は「攻撃を一切受けないという前提でシステムを構築するのは、現実的なセキュリティー対策とは言えません」と語る。

 「最近のサイバー攻撃は狡猾に仕組まれており、プロでも防ぐことは難しくなっています。攻撃を受けるという前提でシステムを構築することが重要です」と藏本氏はセキュリティー対策の考え方を根本から見直すことを勧める。

 ただし、防御自体が無意味ということではない。攻撃者はサプライチェーンを意識し、防御の緩い企業を狙う傾向にある。だからこそ「どうやって防御するのか」をサプライチェーン全体で考えることが重要になる。

 「次は、どうやって被害に気付くのかということです」と藏本氏は指摘する。実際にデータが盗み出されたり、ロックをかけられたりしたことに長期間気がつかないこともある。気づかないことで対応が遅れて被害が大きくなる可能性もある。

 被害を受けることを前提にすると「どうやって被害に対応するのか」という点や、「どうやって被害から回復するのか」という点も大事になる。藏本氏は「攻撃を一切受けないという前提に立つと防御だけでいいことになりますが、防御をすり抜けて攻撃を受けるという前提に立つとどうやって被害に気付き、早期に対応、復旧するのかが大事になります」と語る。

 これからのセキュリティー対策では、前提条件が変わったことをしっかりと認識しておくことが求められている。

5プラス1のフェーズで
セキュリティー対策を

 では、企業はどのようにしてセキュリティー対策に取り組んでいけばいいのだろうか。藏本氏は5つの段階からなるサイバーセキュリティー・フレームワークを示す。識別、防御、検知、対応、復旧の5つのフェーズでやるべきことを明確にして対策を講じておくことが必要という。サイバーセキュリティー・フレームワーク自体は以前からあるものだが、ビジネスインパクトが大きいサイバー攻撃がより現実度の高いものとなり、その重要性が再認識された格好と言えるだろう。

 「まず識別では、資産やビジネス環境から守る対象とリスクを把握します。そのうえで防御の対策を講じます。ここまでは従来のセキュリティー対策と同じです」と藏本氏。現在のフレームワークでは、攻撃されたことを異常やイベントから検知し、事前の対応計画に沿って攻撃に対応後、復旧計画にのっとって復旧を図ることになる。

 「守るだけではなく、すぐに攻撃を検知して対応し、正常な状態に迅速に復旧できる体制を整えることが重要です。特に対応のフェーズを充実させ、復旧に重きを置いた対策が重要になります。さらに近年では、これらの5つのフェーズにプラスしてIDをしっかりと守ることが重視されています」と藏本氏は指摘する。

 クラウドが一般化する前は重要なシステムは自社ネットワーク内に置かれており、イントラネットとインターネットのネットワーク境界がセキュリティー境界となっていた。しかし、現在はインターネット上に重要なシステムが展開されている。それを守るためのセキュリティー強化の第一のカギは「ID」である。

サイバーセキュリティー・フレームワーク

 IBMではこれらのフレームワークをすべてカバーするためのソリューションを提供している。

 守る対象とリスクを把握する「識別」では、前述したX-Forceによる最新のセキュリティー脅威の動向と対応策の情報があり、そもそも攻撃されにくい体質をつくる「防御」ではネットワークやエンドポイントなどの機器に対するセキュリティー・インシデントの調査や対策設定をリモートから実施するセキュリティー・マネージド・サービスやEDRソリューションであるReaQtaが提供されている。ReaQtaはAI(人工知能)による脅威ハンティングに加え、対応の自動化を行うことでセキュリティー対策における必要工数を大幅に削減することを可能にし、人数の少ないチームにおいても効率的なセキュリティー対策を実現できる。現在では「防御」「検知」「対応」「復旧」を分断することなくシームレスにつなぐソリューションが必要とされているが、これらをシームレスに自動でつなぐReaQtaはまさに理想のツールと言える。

 また、より多くのセキュリティーイベントが発生するようになった昨今、これまで以上に重点的なケアが必要とされる「検知」では、ログやイベントをモニタリングして変化を察知する「IBM Security QRadar」がある。システム全体に対して状況を可視化し、対応をAIによって自動化する。エンドポイントセキュリティー、ネットワークセキュリティー、SIEM(Security Information and Event Management)を統合し、あらゆる情報を使ってセキュリティーレベルを高度化する包括的な「XDR(Extended Detection and Response)」を実現する。

 「復旧」では、外部からアクセスできない安全な領域へバックアップを取得するストレージ機能を実装した「IBM FlashSystem」とバックアップを適時検証する「Cyber Vault」というソリューションを組み合わせることで、従来と比較して非常に高速に復旧が提供され、「ID」に関しては、あらゆるIDを保護して安全なアクセス管理を実現する「IBM Security Verify」が提供されている。さらに「IBM Security QRadar SOAR」ではインシデント検知から対応・復旧までをオーケストレーションと自動化で支援しており、こちらもユーザーの負担を低くする現在のサイバーセキュリティー対策事情に適したツールと言えるだろう。こういった製品機能だけでなくX-Forceの知見に基づいたインシデントレスポンスサービスの提供も行っているため、IBMは製品とサービスの両面からセキュリティー対策に必要とされるケイパビリティーを実現することでかゆいところに手が届くセキュリティー対策を提供している。

 藏本氏は「これからのセキュリティーは、防御だけでなく復旧までの包括的な対策が求められています。IBMはそのすべてのフェーズに対応しています。また、近年ではバリューチェーン構成要素の複雑化により製造、金融など、それぞれのインダストリーに特化した知見が非常に重要ですが、IBMでは各インダストリーのプロフェッショナルも多数在籍しているため、それぞれのインダストリーに特化したセキュリティーソリューションを提供できます」と語る。攻撃者からビジネスを守るパートナーとしてのIBMの存在意義は大きいと言えるだろう。

左から窪田豪史氏、藏本雄一氏
あらゆる場所でデータを保護するセキュリティーを
ページトップへ