企業の情報漏えいで最も多いのは「中途退職者」による持ち出し　内部不正が発生しやすい3つの要素

平時だけでなく、有事にも配慮したサイバーセキュリティ対策を

福岡沙紀氏：エムオーテックスの福岡と申します。「平時だけでなく、有事にも配慮したサイバーセキュリティ対策を　サイバーレジリエンスを用いた一貫した対策とは？」について、お話しさせていただきます。

本日のアジェンダですが、はじめに被害事例から見る最新の攻撃トレンドを踏まえた上で、平時・有事のそれぞれの対策方法についてご紹介をさせていただきます。まず自己紹介・会社紹介となります。私、エムオーテックス株式会社のサイバーセキュリティ本部に所属しております、福岡沙紀と申します。

経歴といたしましては、2022年までSIerの企業で、主に文教向けのお客さまに対してシステムエンジニアとして従事をしておりました。その後2022年からエムオーテックスに入社いたしまして、現在は製品のプリセールスSEとして製品訴求のための活動を行ったり、こういった外部セミナーに登壇させていただいております。

続いて会社紹介となります。弊社エムオーテックス株式会社は1990年に設立し、従業員が約460名ほどおります。事業内容といたしましては、自社製品の開発や販売を手掛けているメーカーです。そのほかにもサイバーセキュリティの分野のほうで、コンサルティングやソリューション導入などを展開させていただいております。本社が大阪でして、そのほかにも各地に拠点がございます。

またエムオーテックスでは、このLANSCOPEと呼ばれるセキュリティブランドを通じて、お客さまに安全と生産性向上の両立をご支援させていただくべく、サービスを展開しております。



またこちらは弊社のマスコットキャラクターの「ばんにゃ」です。番犬ならぬ番猫として、セキュリティ業界で活躍し、公式のXでも活動しておりますので、もしご興味ある方がいらっしゃれば、右上のQRコードからフォローいただければと思います。

被害事例から見る最新の攻撃トレンド

それではさっそく本題に入ってまいりたいと思います。まずは被害事例から見る最新の攻撃トレンドについてお話しさせていただきます。

近年のサイバー攻撃の事例を見てみますと、既知の脅威対策では対処が難しい事案が増えてきております。代表的なものとしてランサムウェアに関する相談、それからソーシャルエンジニアリングの手法が巧妙化していることで、サポート詐欺やビジネスメールの詐欺などが増えてきております。



特に最近のランサムウェア感染の特徴としましては、暗号化となる対象が端末やサーバーだけでなく、業務プロセスや工場の生産機器にまで及んでおります。



また取引先でも、ランサムウェアの感染が発生すると、部品の供給や製品の出荷に影響を及ぼすため、情報漏えいはもちろん、事業規模で見るとIT資産が利用できない状況がわかるかと思います。

先ほどお話ししました、ランサムウェアの被害の特徴である暗号化や脅迫は、攻撃の最終段階であると言えます。暗号化の被害が顕著化する以前から、なにかしらの方法で自組織に不正に侵入され、さまざまな端末やサーバーが侵害を受けている場合が多いです。



その際の特徴としてですが、まず初期侵入の段階の場合ですと、不正な認証試行や脆弱性を悪用した侵入、さらには検出困難なマルウェアを利用することによる侵入、こういった特徴が挙げられます。また感染拡大のフェーズにおきましては、侵入後の攻撃者が検出困難な挙動をとることで、組織内の横展開を行っていることなどが特徴として挙げられます。

ログインパスワードやクレジットカード情報を盗み闇サイトで売買

またランサムウェア以外に、近年よく見かけるマルウェアとしましては、情報窃取（せっしゅ）型のマルウェアがございます。代表的なもので言いますと、RedLineやRaccoonと呼ばれるもので、サポートサービスなども存在しているマルウェアですが、これらのマルウェアは認証情報を窃取するものになります。



認証情報としてログインIDやパスワード、さらにはクレジットカード情報などがありますが、この窃取された認証情報が、そのあとどのようになるのか、みなさんご存知でしょうか。

実はダークウェブ上にある闇サイトで、イニシャルアクセスブローカーと呼ばれる初期アクセスの権限を売買する者たちによって、情報がやり取りされていきます。ここで販売された情報が別の攻撃者によって買われて、さらに別目的で悪用されるケースもございます。



この闇サイトで販売された認証情報は、初期侵入に悪用される可能性がございます。近年ではVPN機器やリモートデスクトップなど、インターネット公開されている機器を狙われるパターンが頻発しております。

日本だけでも3,000件を超える機器が公開される

この時、あらかじめ入手した認証情報を利用しておりますので、通常よりもログインの試行回数を少なくすることができ、不審性を低くするといった特徴がございます。特に既知の境界防御（企業が情報資産を守るために使用される一般的なセキュリティモデル）では、セキュリティ製品を入れていても検出が困難になり得ます。



特にVPN機器の場合ですと、脆弱性を悪用する攻撃もございます。いわゆるゼロデイ攻撃と呼ばれる方法で侵入されることがありますが、2024年のはじめには、このIvantiと呼ばれるVPNの脆弱性を悪用する攻撃が流行りました。

日本だけでも3,000件を超える機器が公開されていたようで、非常に多くの機器が脅威にさらされていることがわかります。

また初期侵入の方法としてもう1つ、リモートデスクトップへの侵入が挙げられます。インターネットに公開されているリモートデスクトップも多く、日本のみで公開されているものが10万件を超えております。



リモートデスクトップについては意図せず公開しているパターンもあり得ますので、ランサムウェアの被害にあわないためには接続時の設定を見直したり、VPN接続の多要素認証などを行って、セキュリティを高めていく必要がございます。

こういったさまざまな脅威がある中で、我々はどのような対策をとることができるでしょうか。まずは有事を見据えた平時について、焦点を当てていきたいと思います。

権限の悪用・不正行為を阻止するために、ふだんからできること

ここではNIST CSFと呼ばれるサイバーセキュリティのフレームワークに基づいたセキュリティ対策をイメージしておりまして、大きく平時として、有事としての対策で分かれております。平時というのは通常時の対策のことでして、1番の「ガバナンス」や「把握」、2番の「防御・検知」の中で、未知の脅威対策を含めたモニタリングとしての対策がポイントとなります。



このポイントについてもう少し見ていきますと、平時では潜在的なリスクを洗い出して、なるべくリスクを最小化することが必要です。具体的には資産の可視化やリスクの特定、内部不正の対策、さらにはセキュリティリスクの可視化がございます。

まずは資産の可視化というところですが、可視化をすることで企業活動を継続して行うことが可能になります。もう少し具体的に必要性について見ていきますと、まずはIT資産を可視化することで資産の在庫管理や、ライセンスなどを適切に管理していくメリットがございます。



またOSやアプリケーションのバージョンが古いまま使っていないかといった、アップデートやパッチを当てずに見えない脆弱性をあぶり出すことが可能となります。

また最近では、与えられた権限を悪用して不正行為を行う事件が後を絶ちません。そのため従業員のセキュリティ遵守も必要ですが、システム側で監視をしていくことで情報漏えいの抑制につなげられるようになります。

また社内のセキュリティを高めていくための前提として、リスクアセスメントを行う必要がございます。存在するリスクを特定して分析・評価を行っていく必要がありますが、まずはリスク特定で起こり得るリスクを発見します。



その後、特定されたリスクに対して脅威の度合いや発生頻度を分析し、リスク評価で受容することができないようなものは最優先に対応し、リスクへの対応の優先順位をつけていきます。このように、組織としてリスクレベルを定義しておく必要がございます。

「中途退職者による情報漏えい」が深刻化

また内部不正におきましては、情報漏えいの原因の中でも、特に「中途退職者による情報漏えい」が36.3パーセントと、非常に多いことがわかるかと思います。



特に前職の情報を持ち出してそのままライバル会社に転職し、悪用するケースも見受けられます。さまざまな理由から、退職時に企業の情報資産の価値を悪用されてしまう恐れがございます。例えば情報を売買することで金銭を取得するためや、転職後の待遇を良くするため、また退職者が会社に対して恨みや不満を抱えている場合、嫌がらせとして情報を持ち出しされるケースがあります。



この情報の持ち出しのように、内部不正が発生してしまう原因としては「不正のトライアングル」という言葉があり、この3つの要素から成り立っています。「動機」は、不正を行わざるを得ないような状況であった場合。「機会」は、不正を行う機会がある環境。そして不正を行う自分を「正当化」するために理由づけをする。この3つの要素が顕在化した時に、不正が起こりやすいと言われております。



内部不正ができないように、システム的な制約に加えて、この3つの要素を全体的に低減できるように、組織全体で対策をしていく必要がございます。

またこちらはセキュリティリスクの可視化の必要性ということで、近年増加するランサムウェア攻撃の中でも、サプライチェーン経由での攻撃が主流になってきております。



自社の対策が万全であっても、他拠点の管理が行き届いていないところで、野良サーバーやサイトが狙われて悪用されてしまうケースがございます。そのためグループ企業や海外拠点などに対する状況を把握することも必要です。

サイバー攻撃に迅速に対処するポイント

ここまで平時としての対応やリスクなどを紹介してまいりましたが、続いてサイバーレジリエンス、いわゆる有事の際の対策も見ていきたいと思います。

具体的にはサイバー攻撃を受けた場合に、2番の「防御・検知」から3番の「対応・復旧」の中で、いかに日々の運用とインシデントが発生した際の迅速な対応ができる体制を組織内で整えておくのか。こういったところが重要になります。



ここで脅威対策のアプローチの変化について見ていきますと、今までは外部からの攻撃に備えるために、とりあえず境界防御としての対策を実施する方法が主流でした。ただ近年では、先ほどの章でもご紹介したように攻撃が複雑化しておりますし、DX化が推進されることで、重要インフラに対しても深刻な影響を及ぼしております。



攻撃者が狙える機会が増加している中で、完全な防御というよりは、むしろ被害を最小限に抑えるための対策が必要です。いわゆるサイバーレジリエンスとしての考え方が重要になってまいります。

被害を最小限に抑えるために欠かせない2つの力

被害を最小限に抑えるための対策については、「迅速に状況を把握する対応力」と「システムやサービスの復旧力である回復力」に大きく分けて、双方の対策を行うことで事業継続性を確保していきます。まずは対応力のところで、迅速な現状把握や既知・未知問わないモニタリングの監視について見ていきたいと思います。



早期の発見や対処のためのモニタリングとして、今までは既知の脅威対策が主流になっておりましたので、エンドポイントの監視や境界領域の監視に重きを置いていました。



ただこれからは、未知の領域も合わせて対策していく必要がありますので、右側のEDRと呼ばれるエンドポイントの監視の中でも、挙動や振る舞いに重きを置いた製品。それから内部ネットワークの監視であるNDRという領域も合わせて見ていく必要がございます。

そして攻撃者の動向としましては、既知から未知の脅威を狙った手法が顕著化してきております。左側の黄色の既知の脅威よりも、赤色の未知の脅威が広がっていく中で、これに対する対策を行っていく必要がございます。



例えば未知の驚異対策として「ホワイトリスト型」とありますが、ホワイトリストにあるファイルのみを許可して、それ以外のものについてはすべてブロックするとか。通常と異なる通信をとっているような挙動が見られた際には、アラートを出すような製品で対応していく必要がございます。

従来の対策では、ランサムウェア感染を止められない

また未知の脅威に対して、従来型のウイルス対策ソフトで対応しようとした場合、新しいマルウェアが発見されてから、それに対応するパターンファイルの作成を行います。ですのでパターンファイルが出来上がるまでは無防備な状態となってしまい、実際に攻撃を受けた時に防げないという課題がございます。



また感染スピードの速さという観点で見た場合、EDRを入れている場合は怪しい動きがあったタイミングでアラートを出すのですが、アラートに対して、人がこの短時間で対処するのはなかなか難しい。ですがリアルタイムで対処を行わないと被害につながりやすいといった実態もございます。



ここでウイルス対策ソフトとEDRという言葉が出てきましたので、この2つの違いをあらためて押さえておきたいと思います。ウイルス対策ソフトは、いわゆるEPPという領域になりまして、マルウェアを阻止する役割がございます。そのためファイルのスキャンや振る舞いを見て、怪しいものがあれば侵入を阻止する役割を持っております。



しかし仮に感染してしまった場合については、右側のEDRと呼ばれる領域で、感染の原因を調査したりデータを修復する復旧などを行っていく必要がございます。それぞれ利用する目的が異なりますので、目的に応じて製品を使い分けていく必要がございます。

思ったより運用が難しい…EDR導入前・導入後のギャップ

またこちらは弊社が実施したEDRの運用課題についての調査結果です。EDRの導入前と導入後のギャップとしては、「誤検知が少ない」とか「導入・運用が簡単」というイメージで導入したお客さまも、いざ運用を始めてみると誤検知が多かったり、EDRの設定方法がわからないなど、「運用が難しい」というお声も多くありました。



このEDRの運用が難しいと言われている理由の1つとしまして、ポリシー設計が困難で適切に設定できないことが挙げられます。こちらのキャプチャーは実際のアンチウイルスソフトで検知した画面ですが、メッセージにあるとおり怪しいプロセスを検知したものの、ポリシーによって特に何も対処していないことがわかります。

EPPやEDRの製品では、アラートを発生させるためにポリシーなどが存在しておりますが、適切な設計ができていない場合、本来防げるはずの攻撃がすり抜けてしまって検出できず、感染してしまう可能性がございます。



特に設計時においては十分な製品理解と、それに伴うセキュリティスキルが必要になってまいりますので、自社で運用するにはなかなかハードルが高いと感じられるかもしれません。

こういった自社でEDRを運用するための課題を解決するためにも、SOCと呼ばれるセキュリティ監視の体制が用意されております。運用監視サービスの場合、検知した時点から専門のアナリストが対応し、細かな切り分けや調査を行って適切な対処までを案内します。



なかなか自社で対応するリソースが割けなかったり、最新情報を集めるのが難しいところをカバーできますので、EDRを運用する際にはこういったサービスも合わせて活用していくことが大切です。

システムやサービスを迅速に復旧させる「回復力」を高めるには

ここまで対応力についてお話ししてきましたが、対応力だけではなく、インシデントが起きてしまった際に事業が滞ることなく復旧していくための回復力も必要です。回復力としては「事前準備」や「体制構築」などがありますが、ここではフォレンジック業者の活用についてお話ししていきたいと思います。



フォレンジックというのは、インシデントが発生した際の再現や調査に利用される手法です。感染があった際に感染拡大が起きていないか、どの程度まで被害が及んでいるのかなど、原因究明と合わせて調査をしていきます。



2022年の個人情報保護法の改定によって、情報漏えいが発生した場合、個人情報保護委員会への報告が義務づけられております。その際にインシデントの発生の経緯や原因究明などの報告も必要になりますが、自社だけで原因追求などを行っていくことは難しいかと思います。

そうした際に、事前にフォレンジックができる業者を選定しておいて、いざ発生した際にスムーズに対応に入れるように準備しておくとよろしいかと思います。ここまで平時・有事の際のセキュリティ対策方針を見てまいりましたが、最後に平時・有事の一貫した総合的な対策を見ていきたいと思います。



エムオーテックスではビジネスの持続可能性と信頼性を確保するため、平時・有事の両フェーズに柔軟に対応できる製品を提供しております。

サイバー攻撃や内部不正の対策、また外部・内部の観点から総合的に網羅し、各フェーズで対応可能な製品ラインナップを揃えております。それぞれのフェーズで対応できる対策を、製品と共にご紹介をさせていただきます。

インシデント発生の「見えないリスク」をあぶり出す

まずはガバナンス・特定というところでは、資産を可視化してリスクを特定していく必要がございます。ですのでまずは、リスクとなる対象をリストアップし、考えられるリスクを洗い出していく必要がございます。

管理対象の抜け漏れがあると、攻撃者に悪用され被害につながってしまう原因となってしまいますが、それぞれのリスクに対しては弊社のサービスで対応が可能です。



まずは資産管理で、組織が守る資産を洗い出し、組織の管理下に置く必要がございます。弊社のエンドポイントマネージャーですと、このように資産管理だけではなく不要なアプリケーションが入っていないかどうかや、バージョン情報などソフトウェア脆弱性の管理も合わせて可能となります。



またセキュリティリスクの可視化では、気づけない未把握の資産をあぶり出して、リスク管理を行うことが必要です。こちらはPanoraysと呼ばれる製品ですが、対象サプライヤーのドメインを登録することで、ドメインにひもづく外部に公開されているアセットを検出します。



そのため、海外拠点などがある場合には、各国に存在する資産の可視化ができます。また影響度の高い脆弱性を評価できるサービスになっております。また見えないリスクを可視化するという意味では、定期的なセキュリティ診断や脆弱性の診断を実施する方法もございます。



弊社では、Webアプリケーションやネットワークの脆弱性診断といったように、外部脅威のリスクに加え内部のネットワーク側のリスクなど、幅広い診断サービスを提供しているのが特徴です。

またクラウドサービスの利用においてもさまざまなリスクが内在していますが、監査ログについても保管期間が限られるため、外部保管なども有効になってまいります。弊社のセキュリティオーディターを利用すれば、ログの外部保管やリアルタイムのアラートで不正な挙動を確認することができます。



多要素認証が無効化されていないかや、外部共有で社外秘の情報が誤って共有されていないか。ゲストユーザーの招待の状況などを確認し、早期の対処が可能となっております。

脅威対策のレベル向上を行うか、対応プロセスを広げるか

続いて防御・検知のフェーズでは、従来型のウイルス対策をベースとして、脅威対策のレベル向上を行うか、対応プロセスの拡充を行うのかといった判断が必要になります。脅威対策のレベル向上であれば、次世代型のウイルス対策ソフトの検討になりますし、対応プロセスの拡充でしたら感染後の対応ということで、EDRやNDRが選択肢になります。



このEDRは端末側の監視、NDRに関しては内部ネットワークの監視となりますが、弊社の製品ですと、右上にありますとおりサイバープロテクションのシリーズの製品、Deep InstinctやCylance。またNDRに関してはDarktraceと呼ばれる製品で対応していくことが可能です。

Darktraceは、内部ネットワークを監視して、AIを用いて不審な挙動を検知・自動対処するものです。実際のDarktraceの画面を投映しておりますが、1番の「検知」で通常と異なる通信をとっていることがわかります。そして検知したものに対して自動で対処を行い、被害の拡大抑制を行うことで、ランサムウェアの感染時にも迅速に対応し、被害を最小限に抑えられます。

サイバー攻撃への早期対応の体制構築

最後に対応・復旧のフェーズになります。ここでは早期対応の体制構築ということで、サイバー攻撃による感染端末や感染の恐れがある端末に対して、深掘調査としてフォレンジック調査を実施できる、インシデント対応パッケージを提供しております。



先ほどお話しした、有事の際の回復力というところで、フォレンジック業者の選定がありました。インシデント対応パッケージでは、感染端末の調査を行うフォレンジック調査、それからお客さまのニーズに応じて被害の調査方針や対策方法などのアドバイスを実施するアドバイザリーがございます。

ということで、再度このNIST CSFのフレームワークに戻ります。平時においては資産などの可視化やリスク対応を行った上で、脅威モニタリングを実施すること。有事の際においては被害の最小化・早期復旧を目指すためのスキームを確立していく必要がございます。



弊社では、それぞれのフェーズや領域で対応できる製品を取り揃えておりますので、この機会にぜひご興味をお持ちいただければと思います。

平時・有事の両立した対策でサイバーセキュリティ全体を強化

それでは最後、まとめに入ってまいります。企業を守るための包括的なアプローチとしましては、平時・有事のどちらか一方だけ対策をしていくのではなく、平時・有事双方の対策を講じることで、サイバーセキュリティ全体の強化につなげることができます。



平時では潜在的な脅威を可視化してリスクを最小化していく。そして有事で、迅速な対応で被害の最小化や再発防止までアプローチをしていく。この2つのバランスをとるのはなかなか難しいかと思いますが、運用や製品でも十分対策ができますので、本日お話しした製品の中でもしご興味があるものがございましたら、お気軽にお問い合わせいただければと思います。

それでは、以上で弊社のセッションを終了とさせていただきます。ご清聴いただきまして、ありがとうございました。