ハッカーよりも優秀な「ホワイトハッカー」の所属企業が説く、攻撃者目線のセキュリティ対策の重要性

サイバーセキュリティの技術力で、世界トップクラスの実績

岡本友輔氏：こんにちは、GMOサイバーセキュリティ byイエラエ 営業部の岡本と申します。本日は「攻撃者のお得意様になってはいけない！ 攻撃者目線から見た事故対応計画の必要性」というテーマで、30分お時間をいただいております。どうぞよろしくお願いいたします。

まずは弊社の企業概要からご紹介させていただきます。弊社は「誰もが犠牲にならない社会を創る」というキーワードをコーポレートアイデンティティにしている、サイバーセキュリティのプロフェッショナルカンパニーです。

サイバーセキュリティの技術力においては、世界でもトップクラスのエンジニアが揃っていると本気で自負しております。資料の右上にある侵入テストでは、90パーセントの成功率を誇っております。

この侵入テストでは、CVE（と呼ばれる脆弱性情報データベースに載るようなものや）、ゼロデイといった（対処方法がまだない）未知の脆弱性を、昨年は15件検出して、ソリューションメーカーさまなどにご報告しています。

また、ハッカーの世界で行われているハッキングコンテスト（CTF）で、世界1位を取得した実績がある会社です。

業務としては、左下の擬似攻撃を行うオフェンシブセキュリティ領域に加えて、みなさまの防御側の視点をサポートさせていただくディフェンシブセキュリティ領域と、シフトレフトの一環で設計段階からセキュリティレビューや受託開発まで、一気通貫でご支援させていただくことが可能です。

さまざまな技術革新がもたらした「光と闇」

昨今の各企業さまを取り巻くサイバーセキュリティ環境を整理させていただくと、全部を守り切ることは難しいので、ピンポイント対策でいこうという企業さまが増えております。

防御で100点を取るのではなく、業界やリスクに応じて60点でもいいなら、まずはそこを目指していただきつつ、絶対に守らなければいけない情報は守ろうというトレンドになってきています。

100点を目指さないのであれば、やはりある程度の攻撃を受けてしまうことを想定せざるを得ないと考えています。そうすると、今日お話をさせていただく事故対応計画や、定期的な演習（ペネトレーションテスト）が大事になってまいります。事前のBCPの計画と定期的な消防訓練が必要です。

「攻撃者優位（＝防御が大変）」な企業を取り巻くサイバーセキュリティ環境について。Society5.0とDXというビッグワードが話題になることが多いと思いますが、第3のプラットフォームということで、クラウド、ビッグデータ、ソーシャル技術、モビリティ。最近だと、ここにブロックチェーン技術なども入ってきています。

こうしたプラットフォームとVRやIoT、AIや3Dプリンティングなどの先端技術との掛け合わせで、遠隔医療から決済・通信まで幅広い分野で新しいサービスがどんどん開発されて、利便性が拡大しています。

利便性の拡大が光の部分だとしたら、表裏一体の闇の部分は、攻撃者にとって利便性が高まっており、アタックサーフェースが拡大している状況にあることです。

前述の自社システム環境のアタックサーフェースの拡大に加えて、サプライチェーン攻撃などと呼ばれる取引先企業のリスク管理の煩雑さ、さらにRaaS（Ransomware-as-a-Service）などによる攻撃の汎用化、高度化が進んでいます。

セキュリティ対策で、攻撃を100％阻止するのは無理

企業のみなさまが防御するには、幅広い対策が求められる状況となっています。しかし、これ（セキュリティ対策）をやめることはなかなか難しくて。

みなさまもご経験がおありではと思いますが、新規取引時にクライアントさまからセキュリティチェックシートを求められたり。逆にみなさまが新しいサービスを採用する時に、社内で許可を取っていくプロセスの中で、セキュリティチェックシートをサービス提供会社さまに依頼されたり。市場参入・ビジネス拡大において、セキュリティが与信として必要な時代になっています。

その課題を解決するために「製品ソリューションはすべてを解決するか？」というご質問に対して（お答えすると）、まず複雑化・高度化するセキュリティ対策をすべて人が行うことは不可能です。

ただし製品ソリューションは必ず必要になると思っています。その必要性を実証するように、セキュリティ市場は年々拡大を続けています。ソリューションは必要ではあるものの、100パーセントの侵入阻止、異常検知は残念ながら無理です。さらに、ソリューションだけでは対応不可の領域も存在します。

なぜ私が「100パーセントの阻止は無理」と断言するのかと言いますと、「必ず」とは言い切れないところはございますが、これまで弊社で約160件ほど侵入テストを実施してきました。そのうち、侵入テストの成功率が90パーセント以上という状況になっています。

例えば1年目にペネトレーションテストを実施いただいて、セキュリティホールがありました。その対策をされたあと、2年目にもう一度同じシナリオでペネトレーションテストを実施させていただいた場合、2年目も新たな侵入経路が検出されることが非常に多いです。こういった中で、端末管理ソフトのゼロデイを発見したこともあります。

また、先ほどの「ソリューションでは解決できない」という部分につきまして、検知まではソリューションで（対応）できたものの、情報エスカレーションが組織の中でうまくいかず、インシデントとして対応できずに、テストでの侵入活動が継続できてしまったケースもございます。

サイバー攻撃者 VS 企業の戦いは、攻撃者が有利

これら2つのケースから言えるのは、「侵入経路は無数に存在し得る」ということです。もう1つ、運用上の問題はソリューションだけでは解決できない。運用ルールと道具を使いこなす必要が出てまいります。

じゃあ、もうどうすればいいのと。そんなに一気にいろいろ対応するリソースはないよ、ということになってしまうと思うんですが。ほかの企業さまもみな同じ状況で、すべての情報資産を守ることを前提とした対策から、情報資産価値に見合った防御が求められるように変わってきております。

つまりピンポイント対策ですね。この対策を行う際に重要なのが、攻撃者の視点だと考えています。防御側の視点だけに立ってしまうとどうしても自分たちに甘くなってしまい、守りやすい・運用しやすいほうに流れてしまいがちです。そこに注意していただく必要があると考えています。

「攻撃者有利のサイバーセキュリティ」といったところで、改めてご説明させていただきます。攻撃者の攻撃手法は自由なんですね。さらに1つでもクリティカルな穴を見つけられてしまったら、攻撃者の勝ちということになってしまいます。

一方で、企業側は守るべき対象は非常にたくさんありますし、攻撃者の攻撃手法も日々変わっていくので、ゲームとしてはかなり不平等なものになっています。まずはそうした現状を把握していただいて攻撃者を理解する必要がある。そこが出発点になるとご認識いただければと思っております。

このあとご紹介させていただきますが、弊社は攻撃者の視点を持っていることを強みにしている企業です。攻撃者目線からの対策や疑似攻撃を実施させていただくサービスをご提供しています。

攻撃者の“お得意さま”にならないためには

ここからは攻撃者を理解して、攻撃者のお得意さまにならないための事故対応計画と演習の必要性について、お話を進めさせていただきます。まず、攻撃者はお金を目的に活動をしていることが多いので、そこは物理環境の空き巣や窃盗団、特殊詐欺グループと同じですね。

物理環境は金目のものを奪っていったら終わりですが、サイバー環境の情報窃取は終わりがありません。例えばWebが改ざんされてしまうと、そこが攻撃者にとっての罠サイトにされてしまいます。

また、機密情報が盗まれてしまった場合、攻撃後もみなさまの環境の個人情報や研究開発データや公開前の決算情報などは更新・追加されると思います。こうしたところから、一度成功すると二度目も狙われやすいという特徴があります。

ここでピンポイント対策を行うとなると、対策をしていない箇所はどうしても手薄になるので、やはり2回目の攻撃をどう検知して遮断するのか。もしくは一度目の攻撃のあとも、パーシスタンスと呼ばれる永続化によって、ずっと内部に潜んでいないかどうか。

そこからさらに、ラテラルムーブメント（攻撃者がネットワーク防御を突破したあと、その他の資産にアクセスするために使用する一連の手法）を許して、死守すべき情報資産まで深く侵入させないために、「有事の際に何をすべきなのか」の方針を、事前にある程度決めておくことが重要だと考えています。

サイバーセキュリティ対策にも「事前準備と訓練」は必要

セキュリティの施策は、ファイアウォールなどの事故の発生を抑制する防御と、EDRやSOCなどによる検知と、事故発生時に素早く対応して被害を最小限に抑える事故対応の3つの施策。そしてプラス1として、3つの要素を実施するための情報の整理と定期的な機能確認。

つまり、ペネトレーションテストなどの演習を行うことで、セキュリティの品質維持が実現されます。

防御と検知・運用というものもございますが、ツールの役割が多いので、本日のテーマはツールではなかなかやりきれない事故対応とプロセスの部分について、お話します。

防御を抜けられたあとの検知はできた場合、被害を認知して、そこから迅速かつ適切な初動対応を取ることが被害極小化のキモになります。これは攻撃者への牽制という意味でも重要だと思います。

ただ、事前準備と訓練なしで、いきなり本番対応はけっこうつらいと思っています。消防訓練を一度もしたことない人がいきなり火事現場に出くわした時に、消火器を適切に使えなかったり、119番に電話をしても状況をオペレーターの方にうまく伝えられず、消防の到着が遅れてしまうという状況と似ています。

そのために、プロセス部分にあたる機能確認は非常に重要だと考えています。この事故対応とプロセスの部分は、IPOさんが出しているサイバーセキュリティ経営ガイドラインの指示6～9に該当する領域です。全部で10個ある指示のうちの4つを占めているので、けっこうなウェイトになっているんじゃないかと考えています。

有事に備える「事故対応計画」の立て方

では、具体的にどんな準備や演習を行えば効果的なのかといった観点で、弊社でご提供しているサービスをベースにご紹介させていただければと思います。

まず事故対応計画です。事故対応はDFIRという概念で対応メソッドが確立されており、その概念に沿った対応計画を検討することが大切です。DFIRは「Digital Forensics and Incident Response」の頭文字を取ったもので、「デジタル調査と事故対応」を意味しています。

Incident Responseは消防活動のように、とにかく火を消すこと。Digital Forensicsは消火後の焼け跡から、事故の原因や調査などを目的とした活動になります。一例としては、アカウントに不正アクセスされた場合、Incident Responseはパスワードを変えてこれ以上ログオンされないようにしたり、IPを制限して不審なアクセスを遮断するといったものです。

Digital Forensicsは、ログを調査してどこからアクセスされたのかを調べたり、データへのアクセス状況を調査して情報流出が起きていないかを調べる活動のことを言います。タイムラインにすると、こういったフェーズのイメージになります。

弊社ではこうした事故対応計画につきまして、ひな型をご用意しております。80ページを超えるインシデント対応のためのリスク分析、フロー、組織、判定基準などを網羅しています。

ひな型だけがあっても実際の運用にはなかなか適しませんので、CSIRT（情報セキュリティインシデントに対応するための専門チーム）業務や、フォレンジック（不正アクセスなどが発生した際に、法的証拠を見つけるための鑑識調査やデータ解析）調査業務の経験者が、お客さまのビジネスや組織・文化に合わせて、カスタマイズいたします。

必要に応じて、机上訓練や調査用のログの取得支援など、幅広いご支援も可能です。今いきなりログの話をさせていただきましたが、攻撃者の行動解析のために必要なログの一例も掲載しております。

こうしたログがあるのかないのか、どのようなログローテーションで保存しているのか、どこに保存しているのか。必要な際にすぐログを保全できるのかなど、平時の運用と有事の運用を考えると、ログ1つをとってもなかなか奥深いテーマがあります。

脆弱性診断とペネトレーションテストの違い

ここからは事前に立てた防御・検知・事故対応が、有事の際にどの程度想定どおり機能するかを確認するためのプロセスとして、ペネトレーションテストというサービスをご紹介させていただきます。

ペネトレーションテストによって、業務に影響がない範囲で擬似攻撃を実際に受け、現状を正しく認識していただくことが可能です。「自社のセキュリティ対策・体制は本当に効果的なのだろうか」「実際に攻撃を受けたら何が起きてしまうんだろうか」といった疑問を解消し、そこで出た課題を改善して、セキュリティの精度向上をしていただくことが目的です。

ペネトレーションテストとよく比較されるもので、脆弱性診断という似て非なるサービスがあります。その差分をご説明させていただきたいと思います。

ペネトレーションテストは特定の目的、つまり個人情報や研究・開発データなど、守るべき情報資産を攻撃者に奪われてしまわないかを確認することを目的として実施します。

一方、脆弱性診断は、不要なポートが空いていたり、SQLインジェクション（第三者がSQLコマンドを悪用してデータベースの情報へ不正にアクセスし、情報を搾取や改ざん、削除できるような脆弱性）があったなど、個別の脆弱性を見つけることを目的としています。

ちょっと違いがわかりづらいかと思うんですが、例えば脆弱性にはリスクレベルというものがあります。リスクレベルの低い脆弱性が仮に複数あったとして、それらを掛け合わせると、ペネトレーションテストでは侵入できてしまうケースもあります。

そうしたケースでは、ペネトレーションテストのほうが検証としては有効であったり、今回の目的である事故対応の動きを見る場合、演習ではない脆弱性診断は適さないサービスとなります。目的に合わせたサービスをご検討いただく必要があります。

脆弱性の調査報告か、実際の攻撃の模擬演習か

ペネトレーションテストとネットワーク診断の違いを、図解を交えて改めてご説明させていただくと……例えばネットワーク診断は、エンジニアがファイルサーバーに対してスキャンさせていただく。ここで見つかった既知の脆弱性をご報告するのがネットワーク診断です。

一方ペネトレーションテストは、実際にお客さまの端末に侵入します。同じファイルサーバーに対する侵入だとしても、その過程で社内のプリンターやWebサーバー、ほかのファイルサーバーなど、お客さまのネットワークのさまざまな情報を探索します。

その過程で、お客さまのほうで検知・遮断ができるか、守るべき情報資産が格納されているファイルサーバーに到達できてしまうのか、持ち出せるのかといったことを検証します。こうした違いがネットワーク診断とペネトレーションテストです。

前述のように、ペネトレーションテストは、セキュリティの基本である企業活動を取り巻くソーシャル・デジタル・フィジカルの広範囲の要素を元に、攻撃シナリオを仕立ててテストを実行します。

例えば端末にマルウェアが感染してしまったといったものです。テスト対象になる要素も、このような制約条件に合わせてスコープを定義させていただきます。

本日はさまざまなプランを網羅的にご紹介するのは難しいので、いくつかあるスコープの中でも、内部ネットワークを対象にした事例を3つご紹介いたします。

まず1つめは、会議室の有線LANから内部ネットワークへの侵入。こうしたプランもご提供が可能です。

2つめは、オンプレADに対する内部ネットワークへの侵入。ネットワーク診断との違いで例示させていただいた内容ですね。

3つめは、オンプレの環境をすべてクラウドネイティブにされているお客さまの環境に対しても、ペネトレーションテストを実施させていただくことがあります。

インシデントが起きた時の原因の説明に必要なもの

ペネトレーションテストの詳細は本日は省きますが、詳細をご希望のお客さまは、お問い合わせいただければ、ご予算やご都合に合わせてシナリオを組んでいくことが可能です。

そこからペネトレーションテストフェーズ後に、テストレポートやお客さまの対応内容のヒアリングなどを通じて、机上訓練シナリオを作成・実施して、お客さまの課題整理、改善計画の作成も可能です。

こうした振り返りを通して、今後どのようなことを行っていけばいいのか、想定していたセキュリティの機能や体制がワークしたのかどうかを検証をいただく演習にしていただければと考えております。

ログの話も少しさせていただきましたが、机上訓練だけではなくて、こうしたログの取得の振り返りも可能です。ログの取得をさせていただく場合は、実際に攻撃された時に再度対応できるのかどうか。ちゃんとログが残っているかどうか。インシデント発生時に原因を説明できるようになっているかどうか。

CISO（最高情報セキュリティ責任者）の方やCSIRTの方、広報の方が気にされる点になるかと思います。

自社を守るために攻撃者の目線を養う「教育コンテンツ」

またセキュリティ管理者の方などは、防御機構が攻撃時に適切にワークするかどうかを確認するためにも、攻撃された時のログがちゃんと取得できているのか。演習はログが取れていることもある程度前提になりますので、こんなところも振り返りのテーマにすることが可能です。

最後に中長期的な推奨事項として、事故対応計画の運用と定期的な見直しについて。セキュリティの知識と考え方を身につけていただき、適切な判断が下せる人材の育成を推奨しています。弊社にはイエラエアカデミーという教育コンテンツがあり、攻撃者目線を養うための実践的な3つの人材育成メニューのご提案が可能です。

1つめが先ほどご紹介したようなペネトレーションテストの手法を学んでいただく「オフェンシブセキュリティ資格取得コース」。2つめがクラウドネイティブ時代の新しいリスクと対策を学ぶということで「クラウドハッキングコース」。こちらはAWSの環境を使ってご提供させていただいております。

3つめが、サイバー攻撃の際の振る舞いや留意点をフォレンジックエンジニアと学んでいただく「インシデントレスポンス訓練コース」です。

こういった3つのコースをご用意しておりますので、ペネトレーションテストでの演習と合わせてご活用いただければ幸いです。ご清聴ありがとうございました。