雑記セキュリティ

PenteraCon2023レポート(前編)

Penteraが主催するカンファレンスPenteraCon2023に参加しましたので、その概要を2回に分けてお伝えします。

PenteraConについて

●PenteraConとは?

PenteraCon は自動セキュリティ診断ツールであるPenteraのユーザーを集めて、年1回開催されるカンファレンスです。
CISO、セキュリティ管理者、実務者、専門家など、Penteraの運用に直接関わる人だけではなく、エグゼクティブなども含めてセキュリティに関わる人たち全てに向けたプログラムが用意されています。
コロナ禍で昨年までは開催されていませんでしたが、今後は毎年開催される予定です。

PenteraCon2023について

今回のPenteraCon2023はドイツミュンヘンで5/23~24の2日間に渡って開催されました。

会場はミュンヘン中心部、有名な新市庁舎や聖ペーター教会があるマリエン広場から少し北東に行った場所にある、ヒルトン・ミュンヘン・パークです。
ここは名前の通り、エングリッシャー・ガルテンという大きな公園のそばにあり、美しい自然に囲まれています。

Neues Rathaus
ミュンヘンのシンボル、新市庁舎

白鳥が浮かぶ美しい公園のすぐそばにヒルトン・ミュンヘン・パークはあります

今回は30カ国から約330人が参加しました。


参加ユーザー国(開催前の情報のため、実際の参加者数、参加国数にずれがあります)

内容は実践的なワークショップ、ラウンドテーブル、ディスカッション、基調講演、Penteraのロードマップの概要など、様々なプログラムが用意されていました。 特に2日目前半は実務者とエクゼクティブに分かれてより深い内容のセッションが組まれていました。

また、PenteraConは単にプレゼンテーションを聞くだけの場ではありません。参加者間のコミュニケーションを促進する場が随所に用意されており、他のユーザーから様々な情報を得ることができます。

Neues Rathaus
長めのブレイクは他のユーザーとコミュニケーションを図る絶好の機会です

ワークショップではチームを組んで協力して問題解決に当たります

PenteraCon2023がどのような雰囲気だったか、ぜひ以下の公式動画をご覧下さい。

5/23のプログラム

数多くのセッションが用意されていますので、ここでは印象的だったものをいくつか取り上げます。

全セッションの情報については、以下のページをご参照ください。
PenteraCon2023 Agenda

●Microsoftセキュリティアドバイザーによる最近の攻撃者の動向解説


MicrosoftのChief Security Advisor  Sarah Armstrong-Smith氏が、自社のクラウドサービス、セキュリティ製品を運用する中で見えてきた、最近の攻撃者の動向について解説しました。

・ランサムウェアの運用に変化がある

最近のランサムウェアによる攻撃の傾向として、ファイルの暗号化を行わず、ファイルの奪取のみを目的とした攻撃手法が増えてきています。その理由として考えられるのは、暗号化を行うとターゲットに気付かれてしまうため、また1つのターゲットに掛ける攻撃プロセスを短縮したいという意図があるものと考えられます。 多くの企業/組織にとって、重要情報の流出は暗号化による業務への影響と同じくらいのインパクトがあり、必ずしも暗号化を行わなくても、ターゲットが身代金の支払いに応じる割合はそれほど変わらないものと推測されます。

・攻撃の90%が自動化されている


毎分これだけの攻撃が行われている

攻撃内容の観測結果から、その90%は自動ツールやRansomware as a Serviceのような攻撃者向けサービスの利用したものになっています。
それに伴って、観測される攻撃数は大幅に増加しています。
これはAIの普及により攻撃ツールの生成が容易になった事など、技術的な側面と、攻撃のビジネス化がより加速しており、特定のターゲットに時間を掛けて攻略すると言うよりも、幅広い数多くのターゲットを攻撃する手法が主流になってきている為と考えられます。
つまり、ほとんど攻撃は企業/組織に固有の脆弱性を利用するよりも、Windows/Linuxといった幅広く普及しているシステムの脆弱性で、対策が不十分なものを見つけ出して行われています。

このように攻撃手法が変化する中で、従来の年1回から四半期に1回、重要システムのみを対象として実施されるマニュアルペンテストの有効性には疑問符が付き、対策する側もより高頻度に幅広いシステムを検査できる自動化された手法に移行すべきではないでしょうか。

●Penteraユーザーによるディスカッション

Customer Panel
左から、進行役のPenteraのSVP Jay氏、CyberArkのCIO Shavit氏、MBCのIT責任者 Alzubaidi氏、Bird&Birdの情報セキュリティ責任者 Styles氏

エグゼクティブ、実務者、セキュリティエキスパートなど様々な立場のメンバーが参加して議論されました。
その中で全員の共通認識として、セキュリティにおけるリスクの可視化の重要性があり、この点について多くの時間を取って議論されました。
全てのユーザーが共通して、まず現状を把握しない事にはセキュリティ製品の選定や導入効果の検証ができず、また運用においても適切な対応を判断する事ができないと語っていました。
可視化の重要性を表す例えとして、『敵の攻撃に対処するためにどんなに良い武器を持っていても、目隠しをしていてはその武器を活用できず、守れるわけが無い』という言葉が印象的でした。

また、実務者からの意見として、可視化することで本当に必要なポイントに資源を投入することができ、投資効果、業務効率も上がるという意見がありました。

日本国内ではよく可視化することで業務への負担が増えることを懸念されていますが、本当に必要なところだけに絞って対処する事ができるようになる事で逆に効率が上がるという意見です。
また、例えば、Penteraを導入する事でパスワードポリシーの最適化を行うことができたなど、一般ユーザーにとってもメリットのある効果を出すことができたというコメントもありました。

後編 次回予告

後編では以下のような内容をお伝えする予定です。公開まで今しばらくお待ちください。

  • 24日のプログラム
    • ブンデスリーガ RBライプツィヒのIT責任者によるITセキュリティ運用の解説
    • Penteraリサーチチームの活動について
  • PenteraConに参加するメリット
  • まとめ