自治体のサイバー攻撃対策強化には「5つの課題」がある　セキュリティ専門家集団の見解

自治体におけるセキュリティ対策

岡田一彦氏：ここまでは、実際に「FFRI yarai」を全庁的に実証実験で導入いただいた例をご紹介させていただきました。導入効果やトラブルシューティングなど、ご参考になりましたでしょうか。ここから弊社のセッションに入らせていただきたいと思っています。

徳島県庁様で実証実験を行っていただいているソリューションを含めて、弊社で「自治体セキュリティソリューション」というかたちで今、展開をしております。後半はこちらのご案内をさせていただきたいと思っています。

まず「自治体におけるセキュリティ対策」ということで、先ほど山住様からもお話がありましたとおり、いろいろネットワークセキュリティを自治体様でされているかと思います。とくに「自治体情報セキュリティクラウド」と「LGWANとインターネット系の分離」が一番効果的だったのではないのでしょうか？

私も今、営業活動でいろいろな自治体を訪問していますが、これでかなりインシデントやマルウェアによる被害が減った、とお聞きしております。

でも、これで終わりかと言ったらそうではありません。山住様からのお話にもありましたとおり、分離した後でも、いろいろと問題があることを示したのが、こちらの図になります。

万が一、自治体様でマルウェア感染によるインシデントが起こった場合、いろいろと問題が発生します。とくに2015年ですかね……とある自治体様でマルウェアに感染をして、インターネット系、それからLGWAN系、マイナンバー系、すべてネットワークから遮断されるといった事例も起こっております。やはりマルウェアによる被害を考えないといけない時代になってきています。

導入における「5つの課題」

そこで我々で自治体様にアンケートやヒアリングをさせていただいて、「5つの課題」というものを挙げさせていただきました。

まず1つ目が、先ほどの山住様からのお話にあったように、過去にダウンロードされたファイルについてです。LGWAN系を昔インターネットに接続していたので、PCの奥底にキャッシュが残っていたり、使っていないzipファイルの中に保存されて、そのままになっていたりするものがあります。

そういった、過去にダウンロードされたものが、もし発症して、横展開であるマルウェアであれば、それこそすべての端末が感染してしまうという危険性もあります。したがって、過去にダウンロードされた潜伏マルウェアも確認する必要があります。

そして2つ目。インターネット分離後、自治体セキュリティクラウド側にサンドボックスを導入されているかと思います。しかし、このサンドボックスも、いろいろと課題があります。

例えばこちらに書いてあるように、サンドボックスはSSL通信のサイトからダウンロードしたファイル内容を確認することが得意ではありません。そのためマルウェア検査しないまま端末に届いてしまいます。

あと1つ、サンドボックスでは検知ができない一番典型的なものが、パスワードのついたzipファイルです。パスワードを入力してファイルを展開しない限りファイルを検査することができません。サンドボックスを導入したとしてもすべてのファイルを検査することが難しい、という点が挙げられます。

自治体のセキュリティ担当の実情

3つ目は「USBメモリからファイルを持ち込み」。これも山住様からのお話にありましたとおり、無害化できないファイルが多いためです。

例えば.jtdファイルという一太郎で使用するファイルが挙げられます。とくに徳島県は「一太郎」をよくご使用されている自治体でもあります。今では無害化ソリューションでも対応していますが、実は昨年までその一太郎ファイルを無害化することができませんでした。

あとは、マクロ付きのファイルですね。例えば国や県などから集計機能がついたマクロ付きエクセルファイルが送られてきた場合、マクロが付いているファイルを無害化してしまうと、マクロ集計ができません。そういった場合は、USBメモリなどで持ち込むかたちになります。

無害化が難しいファイルが入ったUSBメモリーをLGWAN環境に持ち込む時に、既存のアンチウイルスソフトのスキャンでは未知のマルウェアを確認することができないという課題があります。

4つ目はパソコンを暗号化して、それから横展開するマルウェア。暗号化されるとご存知のように、パソコンがまったく使えなくなります。昨年流行したWannaCry含め、我々も脅威と思っている横展開するマルウェアが今非常に増えていることです。

例えば既存のアンチウィルスソフトのパターンファイルで検知ができない場合、横展開されてすべての端末が感染して使用できなくなる、という課題があります。

5つ目が「人」の問題です。運用の部分でも課題があります。一般的な自治体の電算担当の方は、あまりセキュリティ知識が多くありません。

なぜかといいますと、数年に1度、（人事異動の）ローテーションが回ってきます。以前は住民課担当の方や、印鑑証明をしていた係の方が、新年度から電算課に配属されてサーバー担当・パソコン担当になる、といったことが多いからです。

インシデントが発生した場合、そういった方はどうしたらいいのかわかりません。徳島県庁様のように専属の部門があればいいんですが、多くの自治体ではそういったインシデントの対応がなかなか難しいという課題があります。

強靭化後の3つのステージを解説

そこで、今回、調査・保護・運用の各フェーズに、弊社これらのソリューションを当てはめてご提供させていただきたいと思っております。

まず1つ目は調査。潜伏したマルウェアをどのようなかたちで探し出すか。弊社では「標的型攻撃マルウェア検査サービス」をご用意しています。これは、パソコンの中に潜んでいる不審なファイルを、ファイル収集プログラムを使って収集します。収集された不審なファイルを弊社に送っていただければ、弊社がすべて解析をして確認をして、レポートまで提出をするサービスになります。

ですので、自治体の担当者の方は、弊社からお送りする収集プログラムを実行していただくだけになります。インストールも不要です。収集プログラムを実行していただいたあとは収集されたファイルを弊社に送っていただくだけ、というシンプルなソリューションになっております。

このサービスを使っていただくことによって、過去潜伏したマルウェアを簡単に確認することができます。「もう庁内にはマルウェアがありません」というところを担保できると思っております。

そして保護の部分。こちらが徳島県庁様でご使用いただいています、次世代エンドポイントセキュリティ「FFRI yarai」になります。「ふるまい検知」と呼ばれる、パターンファイルを使用しない、まったく新しいエンドポイントセキュリティ製品になります。

脆弱性を突いた攻撃への対策

こちらの5つのエンジンで、未知のマルウェアを検知して動きを防御する、という動きになります。

弊社のFFRI yaraiは、3つのポイントで検知・防御ができます。1つ目が、脆弱性攻撃から守る。2つ目がマルウェアの侵入を防ぐ。3つ目がマルウェアの活動を防ぐ。この各々のフェーズで、FFRI yaraiの5つのエンジンが動作をいたします。

脆弱性を突いた攻撃から守るといった場合どうなるか。例えば「ホームページを見て感染した」と、お聞きになられた方もいらっしゃるかと思いますが、アプリケーションの脆弱性を突いた攻撃で効果を発揮するのが、ZDPエンジンになります。もしホームページを見ている時に脆弱性を突いた攻撃が発動した場合に、検知してブロックするエンジンになります。

次に、マルウェアがメールで届くパターン。メールに不審なファイルが添付されて、ユーザーがファイルをダウンロードして、それを起動することでマルウェアに感染します。

そのマルウェアをパソコン上に保存した時点で、2つのエンジンが動作します。Static分析エンジンと、Sandboxエンジン。この2つが検知して、防御いたします。

最終的にマルウェアが動いてしまったときにも、FFRI yaraiは検知することができます。動いた瞬間に、2つのエンジンが同時に確認をします。1つがHIPSエンジン、もう1つが機械学習エンジンになります。動的エンジンで検知・防御することができます。

ですので、マルウェアが脆弱性を突いた攻撃から侵入をして、それが万が一動いた場合でも、FFRI yaraiはこれら5つのエンジンをフル活用して、マルウェアを検知・防御ができるのが一番大きな特徴になります。

FFRI yaraiは不正プログラムにどう対応するか

地方自治体において（地方公共団体における情報セキュリティポリシーに関する）ガイドラインが制定され、そこには「不正プログラムの挙動を検知する方式もある」と書かれています。こうした不正プログラムをFFRI yaraiは検知することができます。

この不正プログラムに対して、どういう対策が必要なのか。これは国が決めた（政府機関等の対策基準策定のための）ガイドラインの中で、具体的に、このようなかたちで書かれています。

まず1つ目が、「シグネチャに依存せずOSのプロセスやメモリ、レジストリへの不正なアクセスや書き込みを監視」する。2つ目が「不正プログラムの実行を防止」。3番目が「スクリプト等を利用するファイルレスマルウェアの対策」。そして4番目が「サンドボックス、ふるまい検知などを組み合わせることで検知力向上」。このように、大きく4つの内容が指し示してあります。

これら4つをFFRI yaraiですべて満たすことができます。具体的に、どのようなかたちで要件を満たすのかをご紹介いたします。

まず1つ目が「シグネチャに依存せずに」について。FFRI yaraiでは、マルウェアがなにか変な動きをする、メモリやプロセスにおかしな挙動を出す、書き込みをする時点で、検知・防御をすることができます。

2つ目の「不正プログラムの実施を防止」について。FFRI yaraiでは、検知したマルウェアについては、動作自体を許しません。不正なプログラム自体の実施を防止することも可能になります。

そして3つ目の「スクリプト等を使用するファイルレスマルウェア対策」について。今脅威と言われているマルウェア攻撃が、「ファイルレスマルウェア」と呼ばれるものになります。

この「ファイルレスマルウェア」で使われる典型的なものは、スクリプトと呼ばれるもの、それからパワーシェルです。具体的にいうと不正なショートカットファイル、不正なスクリプトファイル、不正なパワーシェル。そういったものが保存されたり実行された時に検知して防御できる点もあります。

そして、4つ目の「サンドボックス、ふるまい検知などを組み合わせる」について。FFRI yaraiは、ネットワーク上のサンドボックスはもちろん、既存のアンチウィルスソフトと共存することができます。今庁内でご使用いただいているアンチウィルスソフトをアンインストールすることなくご使用いただけます。

FFRI yaraiをパソコンにプラスアルファでインストールしていただくだけで、ダブルで検知・防御をするハイブリッド防御ができるのも大きな特徴になります。

そしてこちらが、今徳島県庁様でもご使用いただいている、LGWAN環境での端末の管理です。「LGWAN-ASP」でご提供しております。

基本的には弊社側でサーバーの管理をいたします。サーバー側のアップデートも弊社で行います。ですので自治体様には日常の端末管理、それから端末へのインストール、なにかインシデントがあった場合の対応をお願いします。

自治体のシステム担当者に対して組織ごとの管理者アカウントを発行いたします。自治体のシステム担当者がyaraiがインストールされている端末をすべて管理できるというかたちになります。自治体のコントロール下において、LGWANの端末が管理できるというのが大きな特徴のソリューションになっております。

36都道府県でFFRI yaraiを導入

そして最後に運用です。今、例えばマルウェアが見つかった場合、みなさんの自治体でどうするかというと、だいたい2つあるかと思います。1つが庁内で確認をする運用。もう1つは、検知されたファイルを既存のアンチウイルスソフト会社にお願いをして確認をしてもらう運用です。

ただ、どちらにしても、時間がかかるというのが欠点です。この「FFRI yarai Analyzer」というソリューションをご導入いただくことによって、マルウェア解析にかかる時間を大幅に短縮できます。マルウェアをFFRI yarai Analyzerのサーバー上のフォルダにポンと保存するだけで、5～10分後にはマルウェアの挙動や動作の確認がすべて終了いたします。

解析した結果は、日本語で「どういったマルウェアなのか」「どういう動きをするものなのか」をレポート化することができます。ですので、4月に新しく入ってきた方でも、運用マニュアルさえあれば簡単にマルウェアの確認ができ、適切なインシデント対応の支援ができるのが、こちらのFFRI yarai Analyzerの大きな特徴になります。

こちらに自治体の導入数を書かせていただきました。弊社の場合はサブスクリプション型のライセンスになっておりまして、この1年間でご導入いただいている自治体の数が、36都道府県です。色付けされているところが、実際にご導入をいただいているところになります。

この中には徳島県庁様のように全庁規模でご導入いただいているところもありますし、数ライセンスを入れていただいているところもあります。現在の導入実績としては、約4万ライセンスをご導入いただいています。

yaraiソリューションの導入効果

最後に、「ＦＦＲＩ自治体セキュリティソリューションの導入効果」について、まとめをお話しさせていただきたいと思います。

1つ目は、自治体ネットワーク環境のセキュリティが、こちらのソリューションをご導入いただくことによってさらに強化することができます。

無害化できないファイルなど、ファイル持ち込みのときにどうするか。既存のアンチウィルスソフトではスキャンをしてもなかなか100パーセント防ぐことができない。そういった持ち込みのファイルに対しても、きちんとFFRI yaraiでスキャンをしていただく。

そうすることで、更なるセキュリティ強化を図ることができます。

そして2つ目が、パソコン内に潜む未知のマルウェアも排除することができます。先ほどご紹介した「標的型攻撃マルウェア検査サービス」を使っていただくのもけっこうですし、徳島県庁様のようにFFRI yaraiをご導入いただいてフルスキャンをかけていただくというパターンでもけっこうです。

民間企業でも実際にFFRI yaraiでフルスキャンをすると、未知のマルウェアやアンチウィルスソフトでは引っかからなかったようなマルウェアが発見されるケースがあります。こういった潜んでいるマルウェアの確認ができるのも特徴になります。

そして3つ目が、これらソリューションを導入いただくことでシステム担当者の負担が大幅に減ります。とくにFFRI yaraiは、未知のマルウェアを含めて検知します。検知すると防御します。検知して防御をするということは、マルウェアは動かないということです。マルウェアの動きを止めることで、被害を未然に防ぐことができるというのが一番大きな特徴です。

よく最近（マルウェアを）100パーセント防げないから、EDR製品を検討される自治体様や民間企業も多くなっています。例えばEDR製品ですと、あくまでもマルウェアに感染したあとでアラートで上げるというかたちになりますので、感染自体防ぐことができませんし、その対応にも時間がかかるのが大きな特徴になります。

FFRI yaraiですと、検知して防御ができます。検知したファイルを、弊社にお送りいただくと弊社でマルウェア判定します。新しく配属されたシステム担当者でも簡単にインシデント対応することができます。

そして、「FFRI yarai Analyzar」という製品も、先ほどご紹介したようにポンとファイルを保存していただくだけで、簡単にマルウェアの挙動を確認することができます。したがって、システム担当者の負担が軽減できるのも大きな特徴になります。

最後に、運用コスト・導入コストの負担が軽減されます。マルウェア感染を未然に防ぐことでマルウェア対応の時間が短縮され、自治体の担当者の方の運用が楽になります。ということは、運用コストも下がります。

FFRI yaraiは、端末上にインストールしていただくライセンスになっております。守りたい端末数分だけライセンスをご導入いただくだけですので、導入コストが抑えられるのも特徴です。

ここまでご紹介させていただいた、大きく分けて3つのソリューション、自治体セキュリティソリューションをご導入いただくことによって、自治体情報システム強靭化後のさらなるセキュリティ向上が実現できると考えています。

弊社のFFRI yaraiは、民間も含めて今約74万ライセンスをご導入いただいています。自治体ではまだ約4万ライセンスご導入いただいてますが、今後自治体においてもニーズが高まると思っております。

ぜひともみなさまの自治体におかれましても、LGWAN環境、それからインターネット環境含めて、弊社のソリューションのご導入を検討いただければと思っています。

本セッションは以上になります。