「攻撃者の視点」でリスクを見抜き自由にさせない仕組みを作れ
AIで激変するサイバー攻撃にセキュリティーのリデザインで応える
なぜ対策を講じても、サイバー攻撃に弱いままなのか?
サイバー攻撃の被害を受ける企業が急増する今日、セキュリティーは経営の重要課題だ。帝国データバンクの調査によると、対象の大企業のうち実に40%以上がサイバー攻撃を経験している。実績のあるツールをフルセットで導入し、目立った脆弱性も設定不備もないのに、なぜサイバー攻撃に弱いままなのか。背景には、有効性を評価していないことで対策が形骸化し、「大きな穴」が放置されている現状がある。今必要なのは、何があっても事業を継続させるという決意で、「攻撃者の視点」で業務プロセスを見直し、セキュリティーをリデザインすることだ。富士通のコンサルティング事業Uvance Wayfinders(以下、Wayfinders)には、セキュリティー支援のプロフェッショナルがいる。最新の知見を有する2人が語る、トレンドと日本企業に求められる対策の勘所とは。
※所属、役職名は取材当時のものです。
※本記事は、日経BPの許可により「日経ビジネスオンライン」に掲載された広告記事を抜粋したものです。(禁無断転載)
1. 「大きな穴」を放置している企業が、驚くほど多い
Wayfindersでセキュリティーコンサルティングを牽引する佐藤丈師氏は、業界でもよく知られたサイバーセキュリティーのプロだ。前職のセキュリティー会社では、約10年にわたって日本企業200社以上のクライアントのシステムをホワイトハッカー(企業の依頼で防御力を検証する専門家)としてハッキングし、企業に潜在するセキュリティーリスクを可視化してきた。
「日本の大企業は、真面目にセキュリティー対策に取り組んでいます。表面上は、目立った脆弱性や設定不備もありません。セキュリティー製品もフルセットで導入されています。しかし、攻撃者からすると、非常に脆弱に感じられるのが事実です。企業の大半が、仕組みを導入するだけで、有効性の評価までには至っていないのではないかと思います。結果として、セキュリティー上の『大きな穴』を放置している企業が、驚くほど多いです」(佐藤氏)
ハッキングにおいて、セキュリティー対策が十分でない中小企業が狙われ、そこから大企業に侵入されるサプライチェーン攻撃が多いと言われている。しかし、企業規模とセキュリティー強度は必ずしも比例しないと佐藤氏は話す。「サプライチェーンを介さずとも、直接侵入できます。もっとも、脆弱性や設定不備が無ければ、公開サーバーからの侵入は困難です。では、どこを狙うかというと、エンドポイントです。エンドポイントから入り込み、AD(Active Directory:社内のユーザー権限を集中管理する仕組み)を乗っ取って、ランサムウエアをばらまく。攻撃側からすると順当な手段であり、決して難しいことではありません」(佐藤氏)
前職では、インシデント対応チームとも連携しながら多くの企業の被害対応に関わってきた。その経験から、発覚経路が外部からの通報や第三者の報告によるケースも少なくないという。
「多くの企業が、自力では気づけていない。これはつまり、知らない間にもうすでに被害を受けているケースがあることを示唆しています」(佐藤氏)
Wayfindersでテクノロジーコンサルティングを統括する三原哲氏は、「これまでのサイバーセキュリティーは、保険のように考えられていました」と話す。
「今後は、毎日、毎秒、攻撃される前提での対策が求められています。被害を受けても、すぐにバックアップからデータを復旧して業務を続けられる仕組みや、仮に攻撃者に侵入されても機密データの汚染やシステム操作を制限するような、攻撃に強い組織構造や業務プロセスに変えていく必要があります」(三原氏)
近年、日本企業でも大きな被害がいくつも報告されている。セキュリティーはモダナイゼーションの大きなテーマだ。何があっても事業を継続させるという決意で、セキュリティーをリデザインする必要がある。
Lead of Security Consulting, Uvance Wayfinders
Head of Global Technology Practice, Managing Partner, Uvance Wayfinders
2. 「攻撃者の視点」で考え、本当に効果のある対策を
今日の攻撃者は、クラウドやAIなどを活用し、かつてない強力な武器を手にしている。「過去に成功したマルウエアの亜種をAIで作るなど、エンドポイント検知・防御ツールのシグネチャーを回避する難易度は大きく下がっています。AIが攻撃活動を加速させているのです」(佐藤氏)。つまり、侵入そのものを防ぐことは非常に難しい時代になっている。侵入された後、攻撃者の自由にさせない対策が必要だ。
そこでポイントになるのが、「攻撃者の視点」だ。狙う側の視点でシステムを点検し、佐藤氏が冒頭で述べたような「大きな穴」をふさぐ。それを徹底的に行うことが、実効性の高いセキュリティー対策につながる。他のコンサルティング会社と一線を画す、Wayfindersの考え方だ。
「例えば、侵入された後にドメイン管理者(Domain Admins)の権限を容易に取得できる状態にしていると、どんな防御をしたところで、侵入された時点でほぼアウトです。共有ファイルサーバーに管理者権限の情報を置いていたり、Kerberoasting(サービスアカウントのパスワードを盗み出す攻撃)やADCS(Active Directory Certificate Services:組織内のデジタル証明書を発行・管理するシステム)の脆弱な設定を放置していたりするケースも多い。こうしたよくある攻撃手法でやられないようにするだけで、セキュリティー対策の効果が大きく高まります」(佐藤氏)
セキュリティーソリューションの導入を検討する際にも、「攻撃者の視点」は有効なインプットになる。「ID管理を強化するためにクラウド型のID管理ソリューションなどを導入したい、という相談を受けることがあります。ソリューションの活用は利便性を高めますが、同時に攻撃の糸口を増やすことにもなりかねません。セキュリティー対策を製品にゆだねるのではなく、まずは管理者の数を減らし、パスワード運用を堅牢にするなど、基本を固めるだけでも十分に効果があります」(佐藤氏)
セキュリティー対策は、ソリューションありきではない。重要なのは、セキュリティーの観点から業務のルールやプロセスを変え、穴を埋めることだ。穴を埋めておけば、攻撃者が侵入しても、攻めあぐねる。攻撃者がまごついている間に検知し、捕捉できる。
このように、「攻撃者の視点」でセキュリティー対策を1つひとつ点検していくことが重要だと、佐藤氏は強調する。「どんな対策でも、やらないよりはマシですし、その意味ではどれも正解といえます。ただし、本当に効果的な対策かどうかを見極めることが重要です。その際のポイントになるのが『攻撃者の視点』だと思います。よくある攻撃手法が刺さらない、管理者の数が少ないって、攻めにくいじゃないですか」(佐藤氏)
3. 意味のない100億か、有効な30億か。鍵を握る旗振り役
自身も大企業であり、守るべきエンドポイントや境界を大量に保有する富士通において、セキュリティーは経営の最重要テーマに定められている。社内で実践し、効果が実証されたセキュリティー対策を提供できることは、富士通の大きな強みだ。三原氏は「まず、私たち自身が攻撃者の視点でセキュリティーを再構築しています。そこで得た実戦的な技術とノウハウを、Wayfindersのコンサルティングに生かしています」と説明する。
一般的なコンサルティング会社は、教科書通りに検討し、セキュリティーに必要と言われている仕組みやツールを提案して終わることが多い。しかし富士通は提案するだけでなく、その実装や導入支援、運用サポートまで、一気通貫で支援できる。世の中にあるほとんどのセキュリティー製品を扱っており、具体的な技術と知見を持っている。
「例えば、ある特定の攻撃に対して、この製品は敏感に検知したが別の製品は検知できなかったなど、製品ごとに一長一短があります。当社は各製品の特徴を、攻撃者の視点で分析・把握しています」(佐藤氏)
三原氏は「日本企業のセキュリティー投資額は増えていますが、問題はその中身です」と続ける。仮に100億円投資していても、大きな被害を受ける場合がある。逆に、30億円でも良い対策を取っていれば、攻撃者を困らせることができる。セキュリティー投資は金額の問題ではなく、有効な対策につながるかどうかの見極めが重要になる。
また、佐藤氏は「セキュリティー対策は、経営や業務の視点で、組織のポリシーやルールを考えることから始まります。これをコンサルティング会社やSIベンダー任せにしていては、有効な対策はできません」と語る。Wayfindersの支援は、業務プロセスの検討から入る。
とはいえ、どの企業もIT人材の不足に悩んでいるご時世だ。人材が足りない中で、十分な検討は可能なのだろうか。
佐藤氏は、人材の質が成果を左右すると話す。「優秀な旗振り役が1人いれば、セキュリティーレベルは大きく向上します。優先順位を定め、効果的な対策を選択できれば、その後の現場対応(脆弱性管理やフレームワークへの準拠など)はAIで支援可能です」(佐藤氏)。旗振り役になる人材は、必ずしも自社の社員である必要はない。重要なのは、机上で作成した対策だけでなく、Red Teamテストなどを通じて現実のリスクと向き合い、対策を最適化して効果を高めていくことだ。
4. AIの進化で、セキュリティーはますます重要な経営課題に
AIによる自動化が進むにつれ、セキュリティーはさらに複雑化していく。「今のAIは、まだ業務プロセスの単機能しか担っていません。しかし今後、AIはより重要な意思決定を行い、業務やデータをコントロールするようになっていきます。自律的に判断・実行するAIエージェント同士の通信が始まれば、防御すべきポイントは急拡大します」(三原氏)
企業内で働くAIエージェントの数が10万個、20万個に増え、互いに通信し合うようになると、攻撃者から狙われるポイントが増える。AIエージェントごとに扱えるデータの種類やレベルを細かく規定したり、通信で流せるデータと流せないデータを管理したりといった対策が重要になる。万が一、AIエージェントが攻撃された場合は、そのAIエージェントを他のシステムから切り離し、被害を最小限に食い止めるような対策も必要になるだろう。そうした判断と実行も、やはりAIエージェントが担うようになっていく。
「AIエージェントは、一般従業員と同じ様に仕事をする存在です。そこに侵入されてデータを盗まれるのを、完全に防ぐことは難しいと思います。末端がハッキングされるのは仕方ないとしても、そこから先、組織全体に広がらないようにする対策が必要です。人がAIに代わっても、“大きな穴”を放置すれば結果は同じです」(佐藤氏)
ツールを導入するだけでは、ビジネスと情報資産は守れない。CSF(Cybersecurity Framework)のような国際的なセキュリティー基準に即して基礎をしっかりと固めたうえで、有効性を都度評価しつつ、必要な対策を講じていくべきだ。
AIにより企業を取り巻く環境がかつてない速度で変化を続ける中、必要なセキュリティー対策も当然変化する。今求められているのは、企業のビジネスプロセスやIT環境の変革と並行し、「攻撃者の視点」から現状を抜本的に見直し、セキュリティーのあり方そのものをリデザインすること。Wayfindersは、実戦で培われてきた実効性を最大限に生かし、日本企業に残る「大きな穴」を塞いでいく。
三原 哲
Satoshi Mihara
Head of Global Technology Practice, Managing Partner, Uvance Wayfinders
早稲田大学政治経済学部卒業。国内SIer、海外ITベンダー、流通業界の事業経営などを経て、2007年にアクセンチュアに参画。以降、データ活用に関わる案件をマネージングディレクターとして牽引し、金融業界や流通業界を中心にコンサルティングに従事。2024年6月より富士通に参画。豊富な技術知見と経験を生かし、Uvance Wayfindersにおけるテクノロジーコンサルティング領域のグローバル展開と変革を推進。
佐藤丈師
Takeshi Sato
Lead of Security Consulting, Uvance Wayfinders
大手通信会社で脆弱性診断およびSOC分析業務に従事した後、外資系セキュリティーベンダーにてRed Teamテスト(実際の攻撃を模倣し防御の弱点を探す実践検証)のビジネスとホワイトハッカーチームのリードを担当。攻撃シミュレーションと対策提言を専門とし、数多くの企業のリスクを可視化し、セキュリティー施策の最適化を支援。2025年より富士通「Uvance Wayfinders」に参画し、ホワイトハッカーとしての知見と富士通のリソースを融合させ、対サイバー攻撃を中核とした新しいセキュリティーコンサルティングの確立を目指す。
お問い合わせ