ホワイトペーパー
ネットワーク機器やエンドポイント端末のソフトウェアの脆弱性、設定ミスなどに付け入ったサイバー犯罪が相次いでいます。しかし、日々新たに発見される脆弱性と新たな攻撃手法のすべてに対策を施すのは簡単なことではありません。そこで今重要となるのが、攻撃側と防御側双方の視点を踏まえた上でセキュリティ対策を考えていくことです。
IT機器の脆弱性を突いたサイバー攻撃によって、被害を受ける企業が後を絶ちません。たとえばある食品会社は2021年3月、ネットワーク機器の脆弱性への攻撃が原因と推定される不正アクセスがあったことを公表しました。顧客、取引先担当者、派遣スタッフ、同社社員など累計約6万5,000件の個人情報が流出した可能性があるといい、同社商品を取り扱っている取引先も消費者に謝罪文を出す事態に発展しました。
また、ある専門商社は2021年2月、同社サーバーへ不正アクセスがあったことを公表しました。後日発表した調査結果によると、この不正アクセスはVPN製品の脆弱性を悪用した可能性が高いということです。
これらは数多いセキュリティ事故の、氷山の一角に過ぎません。IPA(独立行政法人情報処理推進機構)などが運営する脆弱性対策情報ポータルサイト「JVN」に登録される脆弱性は、2007年4月の公開開始以来、累計で約13万件に上ります。2021年の第1四半期だけで約1,700件もの数が報告され、これは1日あたり19件の脆弱性が増加している計算です。次々と生まれる脆弱性に対応し続けることは困難ですが、対応せずに放置すれば、取引先や社会に影響を及ぼすこととなり、企業の存続を脅しかねません。脆弱性とどう向き合い、対応することが望ましいのでしょうか
対応すべき脆弱性は膨大であると同時に、攻撃者が着目する脆弱性は企業のシステム環境によって異なります。そこで有効なのが、攻撃者視点に立ち、まず何が狙われる対象となるかを判断し、優先順位を付けて対応することです。攻撃者の視点を得るには、ホワイトハッカーが実際にシステムを攻撃することで対処すべき脆弱性を見つける「ペネトレーションテスト」が有効です。
もっとも、仮にすべての脆弱性に対応できたとしても万全とは言えません。脆弱性は常に増え続けており、それを狙う最新の攻撃手法に対して既存のファイアウォールやアンチウイルスでは侵入を防ぎきれないためです。そこで効果的な対策となるのが、感染してしまったことを前提にその後の被害拡大を抑えることができるEDR(Endpoint Detection & Response)の導入です。
攻撃側視点のペネトレーションテストと防御側視点のEDRの両輪でどのような対策を講じることができるのか、以降でその役割を見ていきましょう。
