サイバー攻撃者も“コスパ重視”　狙われやすい「低コストで侵入可能な企業」がとるべき防衛策

日本企業の4つの経営課題に合わせたサービスを提供

大元隆志氏（以下、大元）：それでは「正しく考えるランサムウェア　データから考えるリスクと対策」といったことで、Netskope Japan株式会社・大元からご説明いたします。

まず簡単に自己紹介です。私はNetskope Japanでは、エヴァンジェリスト兼パートナー担当SEとして、パートナーさまのご支援をさせていただいております。あともう1つ社外活動といたしまして、Yahoo!ニュースなどでセキュリティニュースに対するコメント等を行っております。

次にNetskopeの会社概要について説明いたします。私たちNetskopeは2012年に創業いたしまして、今では2,500人を超える規模の企業へと成長しております。創業当初は、CASB（Cloud Access Security Broker：クラウドサービスのセキュリティを一括管理するソリューション）から始まりました。

けれども今では、SWG（Secure Web Gateway：組織のネットワークトラフィックを監視および制御するセキュリティソリューション）やZTNA（Zero-Trust Network Access：社内ネットワークやデータなどを守るセキュリティシステム）、ファイアウォール。

さらには、Borderless SD-WAN（ユーザーからクラウドまで多対多の接続を高性能かつセキュアに行うソリューション）といった、セキュリティからネットワークまで幅広く手掛ける企業へと成長しております。

私たちNetskopeが提供する価値を簡単にまとめたのが、こちらの図です。私たちは日本の企業さまがさまざまに抱えられている経営課題……ハイブリッドワーク、DX、生成AIの活用、ゼロトラストといった4つの軸に対して、各々適合する保護技術を提供できます。

今回題材として挙げさせていただきますのは、こちらの一番右枠のゼロトラストで、ランサムウェア対策に対して私たちNetskopeがどのような価値を提供できるかについてご説明させていただければと考えております。

ウイルス対策ソフトを入れていても6割が検出せず

大元：ではランサムウェアの現状を、データを活用して解説していきたいと思います。まずみなさん、ランサムウェア対策というと、このような言葉をよく聞いたことがあるのではないでしょうか。「侵入される前提のセキュリティ対策でやっていきましょう」と、よくお話しされるんじゃないかと思います。

ちょっとした絵を描いてみたんですけど、「侵入される前提で対策をしましょう」といったことです。「ウイルスが来るのでエンドポイントのところだけしっかり守っておけばいいんじゃないか」とお考えになっているお客さまは、非常に多いんじゃないかなと思います。

こういったデータに対して警察庁さまが先日、「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」というレポートを発行されております。このデータによりますと、ランサムウェアなどの被害にあった企業の被害状況を調査した結果、このようなデータが出ているという結果になっております。

被害にあった企業のうち、なんらかのアンチウイルスソフトウェアを導入していたという企業が約9割ですね。導入されていたアンチウイルス対策ソフトの約6割ほどから、ランサムウェアなどの検出がなかったというデータが出ております。

このデータから何が言えるかというと、やはりセキュリティを考える上では多層防御といった考え方が重要で、エンドポイントだけの対策ではすべての被害を完全に防ぐことができないと。

私たちは決して「アンチウイルス対策は不要ですよ」と申し上げたいわけではありません。ただ、もしそれが破られた時を考えて対策を考えておくのが1つ重要だということを、みなさんにお伝えしたいと考えております。

日本とグローバルで異なる、ランサムウェアの侵入傾向

大元：ではどういった対策をすべきかというところなんですけども。その1つの手がかりとして、ランサムウェアがいったいどこから来ているのかを考えるのが1つの手段になるかと思います。グローバルでの侵入傾向としまして、アメリカでは主な侵入経路はリモートデスクトップが40パーセント、Eメール経由が35パーセントというデータが出ております。

一方で日本に目を向けますと、ぜんぜん異なるデータが見えております。こちらも警察庁さまのデータですけれども、令和3年の時点でVPN機器からの侵入が約半数だったと言われております。

それが年を追うごとに増加していき、最新のレポートではVPN機器からの侵入が約7割に到達しています。なのでグローバルと日本では若干違う傾向が見受けられるというデータが、警察庁さまの調査によって出ているといったことが見えております。

このようなデータを基に、警察庁さまといたしましては、ランサムウェア対策としてこのような対策が重要だと言われております。侵入時の対策と、侵入後の対策と、攻撃実行時ですね。こういった3つの軸に分けて考える必要があると言っていただいているわけなんですけれども。

最も大事だというものがこの赤枠で囲われてる部分です。大部分の侵入経路としては、VPN機器とリモートデスクトップが日本の被害企業の大多数なので、ここをしっかり守ってください、と警察庁さまがレポートを出されています。

サイバー攻撃者も“コスパ重視”

大元：さらに米国のデータでもこういったものがございます。Verizonさまが調査したところ、ランサムウェアの侵入にかかっているコストとして、約80パーセントほどが約9ドル以下で攻撃を仕掛けてくるといったデータが挙げられております。

80パーセントは9ドル以下に収まるわけなんですけど、さらに中央値を見ると、ほとんどの攻撃は1ドル以下で仕掛けられているといったデータが調査結果からわかっております。

要はサイバー攻撃といっても、攻撃にコストがかかるといったところがあります。やはりサイバー攻撃する側はビジネスとなっておりますので、成功するかどうかわからないところに対して多額のコストをかけて侵入するよりは、より低コストで確実に侵入できる企業を狙ってくるというデータが明らかになっております。

低コストで侵入可能な企業を狙う時に「どういったところが狙われるんですか？」というところになりますけど、弊社としては、こういったものが挙げられるんじゃないかと考えております。

例えば脆弱性の放置されたVPNや、インターネット上に公開されているIaaS上のRDPですね。こういったものをインターネット上でスキャンして、引っかかったところへ侵入するというのは、非常に低コストで実行できます。

あとはフィッシングメールをばらまいて、リンククリックに反応したり、悪意ある添付ファイルを開封するような攻撃に引っかかる企業というのは侵入がしやすいと。

このように簡単に攻撃を仕掛けられるものから逃れられたら「攻撃が仕掛けづらい」と判断されて、次の標的に移っていくといったことが言えます。さまざまなランサムウェアに関するデータが出てきたことによって、80パーセント程度で仕掛けられるような攻撃を防ぐのが非常に重要だといったことが明らかになってきています。

事業が継続できなくなるような攻撃に備えるには

大元：冒頭でお話しいたしました、アンチウイルス対策やエンドポイントの保護に非常に対策コストをかける企業が、やはり日本では多いと言われてるんですけども。さまざまなデータから、みなさまの企業さまにおいて根拠に基づいた対策が実施できているかを考えていただくことが重要かなと、あらためて申し上げたいと思います。

日本での侵入傾向はここで記載しているとおり、VPNからの侵入経路が圧倒的です。一方で、もともとしっかり守られていたであろうメールとかRDPは年々しっかり、そもそも保護されていたものがさらに保護されているというところで、ちゃんと守らないといけないところが放置されたままになっているところがあります。

ランサムウェア対策は、みなさんいろいろ対策を検討されているかとは思いますが、対策の優先順位が根拠に基づいた正しい結果になっているかということを、今一度ご検討いただければと思っております。

これまでの常識としては、「侵入される前提でセキュリティをしっかりしていきましょう」ということでした。おそらく攻撃がマルウェアだった時には、その考え方で良かったと思っております。マルウェアはどういったものかと言いますと、パソコンに感染して主に情報を盗難していく、あるいはBOT化を考えるというところなので、事業の継続自体は行えたんですね。

私たちは、決して「情報は盗まれてもいいですよ」と申し上げたいわけではないですけども、ビジネスが継続できなくなるような事態は起きなかったので、やはり「侵入される前提で防御」というのが良かった時代があったのかなと思います。

一方でランサムウェアは、企業にマルウェアを使って感染するところまでは同じなんですけども、そのあとにパソコンを暗号化してシステムを不能にしたり、恐喝行為に出てくるといったところがあります。やはり一度侵入されてしまうと、よくある話としては病院さんが数ヶ月の間、業務ができなくなったり。工場などのシステムが止まってしまう間が、非常にビジネスのインパクトが大きい。

そういったところを狙ってきて、事業の存続ができないように仕向けてくるといったところがありますので。いかに侵入されにくい対策をするかということが、ランサムウェアを考える上では非常に重要なのではないかと提言したいと考えております。

サイバー犯罪者の攻撃対象領域を最小化

大元：こうした場合に、Netskopeがどんなことができるのかと言うと、侵入されにくいインフラを維持していただくことができると考えております。

どういったことかと申し上げますと、まずは「低コストで仕掛けられる80パーセントの攻撃をしっかりと軽減しましょう」といったことになります。まずは攻撃対象領域の最小化、初期侵害をしっかり防いでいくことが大事で、私たちはここに対して価値を提供することができます。

次に、それでも侵入されてしまうことは当然あるかと思います。そういった時にサイバー攻撃者は、C&Cサーバーへの通信などを使って遠隔操作して、企業の中でより感染を拡大していこうといった動きをしていきます。こういったところで、ラテラルムーブメント（攻撃者が侵入に成功したシステムを足がかりに内部の他のシステムへ攻撃すること）を防止するという動きですね。

さらに一歩進んでしまった場合に、次にやってくることはデータ流出・データ盗難の防止といったところになります。私たちはこういったところに対してもシャドーIT経由のデータの漏洩防止や、認可クラウドからの情報を盗難することを防ぐことができるようになります。

もう少し掘り下げていきたいと思います。攻撃対象領域の最小化は、こういったことになります。まずサイバー攻撃者は外部から簡単に侵入できそうなサーバーやVPN機器を、定期的にスキャニングしております。スキャンに簡単に引っかかったところに侵入してきます。

もう1つ、社内に無断でIaaS（仮想サーバや共有ディスク、ネットワークなどのITインフラをインターネット上のサービスとして提供するもの）などを使うことによって、勝手に稼働させてしまっているサーバーがあって、ここがサイバー攻撃者の侵入口になっていることもございます。

こういった時にNetskopeであれば、例えばCSPM（クラウドセキュリティ態勢管理）などを使うことによって、ルール違反をして勝手にRDP（リモートデスクトッププロトコル）を公開してしまっているようなサーバーがあったら、自動的に検出、あるいは設定を自動的に修正できるようになります。

そして、VPNで脆弱性を放置されてしまっていることが非常に多いかなと思いますけれども、弊社のZTNAのソリューション「Netskope Private Access（NPA）」を使っていただきましたら、そもそものインバウンドの通信をブロックすることで、サイバー攻撃者からの攻撃・偵察といったものを遮断することが可能です。

もしもフィッシングメールに引っかかってしまったら

大元：次はフィッシングサイトなどに誘導するといった手口で、やはりフィッシングメールが使われることが非常に多いかなと思うんですけども。そういった時にNetskopeがどういったことができるのかというところを、簡単に図で紹介したいと思います。

フィッシングメールが届いてしまっても、大半の従業員の方は引っかからないかと思うんですけども、何人かはクリックしてしまったとした場合ですね。もしカテゴリーなどで、未分類の危険なコードを実行するようなサイトだったとします。

その場合、RBI（リモートブラウザ分離）という技術を使って、直接ブラウザ上で危険なコードを実行するのではなくて、仮想ブラウザによってコードを実行させることによって、パソコンへのマルウェア感染を防げるようになります。

さらにカはテゴリーで分類されているような、ちゃんとしたサイトが乗っ取られているという危険もあったりします。こういったところにアクセスしようとした時に、私たちはAIやマシンラーニングの技術を使って、フィッシングサイトかどうかを機械のほうで判断します。

ここで危険なサイトと画像の配置などが似ているようだとAIが判断すれば、アクセスを禁止するといったことができるようになっております。

ダークウェブ上で売買されているIDやパスワードも検出

大元：さらに攻撃者は、パソコンの中に保存されている認証データなどを盗み出すといったことがございます。例えば先日も話題になっていましたけど、ChatGPTの10万件ほどのID・パスワードがダークウェブで売られていたという事件がありました。

どういった手口だったかというと、ChatGPT自体が襲われたわけではなくて、ChatGPTを使っている人のパソコンにマルウェアを感染させることによって、ID・パスワードを盗み出し、データをダークウェブで販売するといった手口ですね。よくある話となっております。

ダークウェブなどでID・パスワードのセットが販売された場合、もしそのID・パスワードが企業で使っているBoxとかOffice 365と同じ物を使い回していると、人気のあるサービスのパスワードを使うことによって、企業で使っているサービスにそのまま侵入できてしまうというようなことが、実際起きています。

Netskopeを使っていただいていると、ダークウェブ上で売買されているID・パスワードを検出して、「こういったパスワードを使っているユーザーが自社の中にいるようです」ということを管理者、あるいは実際のユーザーさんに通知することで、パスワードの変更をご依頼させていただく機能がございます。

不審なパソコンの通信をブロック

大元：次は、サイバー攻撃者からの遠隔操作を遮断するといったところになります。いろんな対策を打ったとしても、マルウェアというものはどこかから感染してしまうものとなっております。

侵入されてしまった場合に、サイバー攻撃者はC&Cサーバーへの通信を行うことによって、ポートスキャンなどを使って「ほかに感染できるパソコンとかサーバーはないかな」と横移動を試みるわけなんですけども。

私たちNetskopeを使っておいていただくと、そもそも遠隔操作で使われるC&C通信を元から立つことができます。例えランサムウェアにパソコンが感染したとしても、遠隔操作そのものをブロックできます。

さらには自律型で、自分自身で外からの指示なく横移動やポートスキャンを行って、自動繁殖していくようなランサムウェアもございます。

そういった場合は、IPS（不正侵入防止システム）やUEBA（異常な行動を検出するサイバーセキュリティツール）などの機能を使うことで、ブラウザの脆弱性を悪用するような不審な動きをしているパソコンの通信をブロックできるようになっております。

最終的に、サイバー攻撃者がさまざまなパソコンなどからデータを収集してきた場合に、最後に考えられる行動は、盗んで集めたデータをどこかにアップロードするという動きです。これができなければ暴露サイトなどにデータをアップロードできなくなりますので、最後の仕事になってくるわけなんですね。

盗み出そうとした時に、わざわざOktaなど多要素認証がしっかり仕掛けられているような認可クラウドに置いてくれるかというと、そういうサイバー攻撃者もいるかもしれませんけど、おそらくはもっと管理の甘い非認可クラウドやシャドーIT、新規登録サイトといった守りの甘そうなところにアップロードしてくるだろうと考えます。

攻撃されてもデータ流出を防ぐ対策を

大元：こういったところで私たちは、例えばDLP（機密情報や重要データの漏えいを防ぐためのセキュリティシステム）などを使うことによって、機密情報が含まれているデータをアップロードするような動きをブロックできます。

さらにはUEBA、行動分析に基づいて、認可クラウドからデータを取ってきた人が非認可のプライベートなクラウドにデータをアップロードしているような怪しい動きを検出したら、ブロックすることができます。

新規で登録されたばかりのサイトは、こういったものをブロックできます。また、万が一パソコンがランサムウェアによって暗号化されてしまった場合、暗号化されたと思われるファイル拡調子を持っているデータをアップロードする動きを、AIを使って検出してブロックできるようになります。

最終的に、サイバー攻撃者が暴露サイトにデータをアップロードしたいといったところまで、徹底的に防御できるのがNetskopeの特徴となっております。

最後に、私たちNetskopeを使っていただくことによって、低コストで仕掛けられる80パーセントの攻撃をしっかり軽減して、さらにそこが突破されたとしてもラテラルムーブメントを防止したり、データ流出をしっかり止めることができます。侵入される前提のさらに一歩先を行く、侵入されにくい対策を行っていただくことができます。

本日、私からの説明は以上となります。どうもご清聴ありがとうございました。では続きまして、私たちNetskopeと共にEDRとかのSOCサービスを提供いただいております、東京エレクトロン デバイスさまにお話を交代いたします。

サイバーセキュリティ対策の導入検討から運用までサポート

松村光敏氏（以下、松村）：ご紹介にあずかりました、東京エレクトロン デバイスの松村と申します。本日は「脅威対策に関するNetskopeのユースケース」としてお話いたします。

まず弊社の紹介になります。弊社は半導体とITソリューションの商社で、主に2つの事業を中心にビジネスを展開しております。また今「inrevium」というプライベートブランドを立ち上げておりまして、特定の分野に特化した組み込みモジュールなどの提供も、新しい事業として取り組んでいる最中です。

私が所属している部門では、ご覧いただいているようなITインフラの商材をご提供しています。主にサーバー、ネットワークスイッチ、ストレージ、そして今回ご紹介するようなセキュリティ商品を取り扱っております。

すべての商品に関してエンジニアやサポートの体制をしっかりと立て付けた上で、お客さまにご提供できる環境をご用意しております。

本日は急激に伸びているNetskopeを中心に、脅威にまつわるユースケースをご紹介いたします。まず弊社は、Netskopeとは2017年に一次代理店の契約をさせていただいており、かれこれもう6年経過するところです。

おかげさまで国内200社以上のお客さまに導入させていただいております。また現在、代理店が複数社ある中で、Netskope社より2年連続で受賞をいただくまでに成長しております。

弊社の強みは、やはりサポートの部分をしっかりとカバーしていることです。サポートに関しては現在30名体制でご用意しておりまして、プリ・ポスト、そして運用まで幅広くやらせていただいております。

簡単に弊社のサポートをご紹介します。現在弊社のサポートは、導入の検討からPoC、実際の本番導入に当たっての要件定義、設計。そしてテスト、運用まで一気通貫でサービスをご提供しています。特にPoCからのご支援は非常に多く、必要に応じてスタートアップサービスというかたちでご支援しております。

社内にセキュリティの専門部署がない企業も支援

松村：SOC（セキュリティ・オペレーション・センター：サイバー攻撃を検出・分析し対応策のアドバイスなどを行う専門組織）に関しましては、必要に応じてオプションとしてご提供しております。

SOCサービスは、人的リソースの問題をいち早く解決するために、Netskope取り扱いの翌年の2018年に立ち上げてご提供しています。こちらも先ほどのご支援と合わせて、必要に応じて柔軟なサービスをご提供しております。

弊社のSOCサービスでは、Netskope上にあるログを常時APIを使って監視しております。そのほか、インシデントの検知や四半期ごとのリスクアセスメントのレポートをご提供しながら、今の利用状況をしっかりと可視化するサービスを行っております。

もちろんSOCサービスですので、設定の変更などもご要望に応じて行わせていただいております。現在はNetskope以外にも、SentinelOneというエンドポイントセキュリティのSOCサービスもご提供しております。

セキュリティと利便性を両立する難しさ

松村：ここから徐々に本題に入っていきたいなと思います。本日はユースケース3つと、最後にNetskopeとの連携例を1つご紹介します。

まず1つ、シャドーITのお話です。先ほど大元さんからお話がありましたけれども、やはり昨今クラウドサービスをどんどんご利用されるに当たって、なかなか今の環境ではすべてを把握できないという、お客さまのお声をよくいただきます。

従来の仕組みですと、ファイアウォールやWebのプロキシを用いて、いつ・どこで・どのサイトにアクセスしてるのかというところまではわかりますけれども、実際にクラウドサービス上で何がどうなっているのか、何をやられているのかというところが、今はなかなか見えないのが実態かなと思います。

そういった中でNetskopeを使うことによって、今まで見えなかったところが見えるようになります。これはなぜかというと、NetskopeはSSLを復号化して中のパケットを細かく把握する手段を持っているからです。これによって、いつどこで誰が何をどう操作をしているのかを、細かく把握することが可能になります。

2つ目はデータ漏洩のお話です。こういったクラウドサービスを活用する上で、今まで社内にあったデータが外に出ていくかたちになりますので、いかにデータ漏洩を防いでいくのかが、やはり一番の課題になってくるのではないかと思っております。

ただこういったデータ漏洩から守るに当たっても、どうしてもセキュリティが高くなると利便性が下がるというのが今までの考え方かなと思います。そこはNetskopeをご利用いただくことによって、なるべく利便性とセキュリティを維持しながらクラウドサービスにデータをアップロード・ダウンロードできるようになります。

もちろん最近では、個人で契約するようなクラウドサービスにファイルをアップロードして、会社のデータを横流しするような脅威もあります。そこに関しては、もちろんご覧いただいているようなポップを出して、個人が使っているBoxやOneDriveといったものに対しては、未然にブロックをする仕組みが提供されております。

検知しづらい内部不正にも素早く柔軟に対応

松村：そのほか、おもしろい機能として、コーチング機能があります。これは一番右端の画面になるのですが、例えば、開発者さんがよく使われているようなGitHubに対して、どうしても個人用のGitHubで操作をしないといけないケースに対して、理由を書かせて業務を継続させるような運用方法があります。

これによって、ユーザーの利便性を継続させつつ、情報システム管理部門は万が一の情報漏洩対策のエビデンスとして残すような運用ができるというところで、お客さまから大変評価の高い機能となっております。

3つ目が内部不正のお話です。こちらはどうしても、いくらポリシーをかけても漏れてしまうようなケースがあるかなと思います。先ほどUEBAという話もありましたが、検知しづらいような内部不正にも柔軟に素早く対応できる手段があります。

例えば退職者さんに多い事例としては、やたらと名刺のファイルをダウンロードしているとか、また今まで使っていなかったクラウドサービスに、やたらとファイルをアップロードしているといった挙動をしっかりと検知できたりします。

また、複数回ログインの失敗も合わせて確認することができます。現在Netskopeは、110以上の振る舞いを検知する手段を持っております。

エンドポイント対策で発揮される、3つの強み

松村：最後に、Netskopeの連携を1つご紹介して終わりたいなと思います。NetskopeはEDR製品との連携が可能な製品です。弊社ではSentinelOneというEDR（PCやサーバーなどの端末を監視し、不審な挙動を検知するとリアルタイムに通知する）製品をご提供しております。

主に脅威情報の連携になり、NetskopeとSentinelOneが保有している脅威情報を、検出時に都度、お互いインプット・エクスポートを行います。これによって脅威に対する防御をより強化できます。

SentinelOneは、EDRの中でも後発でリリースされておりましたが、今は既存のエンドポイントセキュリティ製品のリプレースが非常に多く、お問い合わせもいただいております。Gartnerの中でも、実は2年連続「リーダー」という評価を受けている製品です。

主な特徴は3つあります。1つ目は自律型のエージェントであるところ、2つ目に自動インシデント対応があること、3つ目にランサムウェア対策機能があるところになります。

SentinelOneはマルウェア調査は後日調査として、まずは業務継続を優先的に、かつ感染リスクを防ぐことをコンセプトとした製品になっております。ほかの製品と違い、クラウド側で都度脅威分析を行うのではなくて、端末内部で脅威を検知、隔離・修復まで行えるような製品になっております。

特にランサムウェアの感染に関しては、Windowsに限るのですが、管理GUIから1クリックで数時間前の状態に戻せるので、各業務への影響の時間をなるべく短縮することができます。

弊社ではSOCを含め、NetskopeやSentinelOneのご提案が可能になります。今後のセキュリティ対策の一助になれば幸いです。ご清聴いただき、誠にありがとうございました。