ホワイトペーパー
ネットワーク機器やエンドポイント端末のソフトウェアの脆弱性、設定ミスなどに付け入ったサイバー犯罪が相次いでいます。しかし、日々新たに発見される脆弱性と新たな攻撃手法のすべてに対策を施すのは簡単なことではありません。そこで今重要となるのが、攻撃側と防御側双方の視点を踏まえた上でセキュリティ対策を考えていくことです。
サイバー攻撃によって被害を受ける企業が後を絶ちません。たとえばある食品会社は2021年3月、ネットワーク機器の脆弱性
が原因と推定される不正アクセスがあったことを公表しました。顧客、取引先担当者、派遣スタッフ、同社社員など累計約6万
5,000件の個人情報が流出した可能性があるといい、同社商品を取り扱っている取引先も消費者に謝罪文を出す事態に発展
しました。
さらに、ここ数年の傾向として、侵入後にデータを暗号化または窃取し、それらを人質として身代金を要求する「ランサムウェア」
が大きな脅威となっています。2021年7月には大手の国内製粉会社が、データをバックアップも含めて暗号化されてしまい、財
務・会計システムが使用できない状況に。その結果、四半期報告書の提出期限を延長する事態となりました。専門家の見立
てでは、ランサムウェアによる被害ではないかと推測されています。
「ランサムウェアによる被害」は、IPA(独立行政法人情報処理推進機構)が公表する「情報セキュリティ10大脅威」において、
2021年版・2022年版と連続して「組織」向け脅威の1位に選ばれています。これは情報セキュリティ事故や攻撃の状況等をもと
に専門家らが選出した結果であり、ランサムウェアの脅威が身近に迫っているものと理解できます。
ランサムウェアに感染してしまう原因は複数存在しますが、特に企業が注意しなければならないのがシステムの脆弱性です。
実際に世の中で報道されているランサムウェアのうち、VPN装置やWindowsに潜む脆弱性をついて侵入したものも多く、逆に言
えば脆弱性を対処していれば防ぐことができたであろう事故も多いということです。
IPAなどが運営する脆弱性対策情報ポータルサイト「JVN」に登録される脆弱性は、2021年の第1四半期だけで約1,700件も
の数が報告されており、日々次々と報告がなされています。もちろん、すべての脆弱性にタイムリーに対応し続けることは困難で
すが、対応せずに放置すれば、取引先や社会に影響を及ぼすこととなり、企業の存続を脅しかねません。脆弱性とどう向き合
い、対応することが望ましいのでしょうか。
対応すべき脆弱性は膨大であると同時に、攻撃者が着目する脆弱性は企業のシステム環境によって異なります。そこで有
効なのが、攻撃者視点に立ち、まず何が狙われる対象となるかを判断し、優先順位を付けて対応することです。攻撃者の視
点を得るには、ホワイトハッカーが実際にシステムを攻撃することで対処すべき脆弱性を見つける「ペネトレーションテスト」が
有効です。
もっとも、仮にすべての脆弱性に対応できたとしても万全とは言えません。脆弱性は常に増え続けており、それを狙う最新の
攻撃手法に対して既存のファイアウォールやアンチウイルスでは侵入を防ぎきれないためです。そこで効果的な対策となるの
が、感染してしまったことを前提にその後の被害拡大を抑えることができるEDR(Endpoint Detection & Response)の導入です。
攻撃側視点のペネトレーションテストと防御側視点のEDRの両輪でどのような対策を講じることができるのか、以降でその
役割を見ていきましょう。
