サイバー攻撃者は海外拠点を“踏み台”にして本社に侵入する　「EDR」＋「SOC」はセキュリティ対策の決定打

多くの企業を渡り歩いた「セキュリティ風来坊」

横井宏治氏：みなさま、本日は貴重なお時間を本セミナーの視聴にいただきまして誠にありがとうございます。私は、株式会社アクトの横井と申します。本日は『製造業関係者必見！ 「EDR+SOC」でグローバルリスクを最小化 アジア製造拠点でのセキュリティ対策ハウツー』という題で話をさせていただきます。

まず簡単な自己紹介なんですけれども、私は2023年4月にアクトにサイバーセキュリティ事業責任者として入社しました。その前はNECやマクニカネットワークス（現在はマクニカ）、アズジェント、それから外資系で言うとCyberArkといったセキュリティ関連のビジネスに長年携わっておりまして。


特に、新しい製品を持ってくる事業開発を得意としている人間でございます。まぁ、いろいろなところを渡り歩いておりますので、「セキュリティ風来坊」などと自嘲を込めて申し上げております。

アクトは1994年に設立され、30年ほど経っている会社です。現在は、代表の小林智彦のもとで70名ほどで事業をやっております。

事業内容は、もちろんサイバーセキュリティも行っているんですけれども、ITインフラのシステムインテグレーションを民間企業や自治体にご提供しておりまして、ネットワークやPC・サーバの販売、構築、運用、ヘルプデスクなどをやっています。拠点は文京区にございまして、SOC（サイバー攻撃の検知や分析を行い対策を講じる専門組織）としては札幌と福岡にもございます。

2024年の被害事例

本講演でお伝えしたいことは4点あります。まず海外拠点を持つ製造業での被害事例。そして、そのインシデントがなぜ発生するのか。


我々は、「EDR」（ユーザーが利用するパソコンやサーバーにおける不審な挙動を検知し、迅速な対応を支援するセキュリティソリューション）と「SOC」サービスが被害を発生させないための決定打だと思っています。そこで、どういったEDRとSOCを導入するのが好ましいのかという選定基準をお話させていただきます。

まず被害事例です。これはあえて大きな会社ばかりピックアップしているんですけれども、2024年だけでもトヨタ、アルプスアルパイン、HOYAとございます。


なぜ海外拠点が絡んでくるのかというと、おおむね日本にある本社よりもセキュリティ的に脆弱だからです。海外拠点と国内の拠点はVPNで接続されていることが多いのですが、そのVPNはアクセス制限がかかっていないケースが多いんですね。

なのでサイバー攻撃者は、まず踏み台として海外拠点に侵入します。そこを足がかりに本社や国内拠点などに横展開して、ラテラルムーブメントをしていく。こういった攻撃が頻繁に発生しています。



事例を一つひとつ見ていきましょう。まずはアルプスアルパインです。同社はカーナビ、あるいはオーディオで非常に有名な会社で、従業員は約28,000人、売上は1兆円近い大企業なんですけれども。



こういった大企業でさえ中国の現地法人に不正アクセスを受けています。この事例では自社グループの情報が流出しています。

次はHOYAです。メガネやレンズで非常に有名な大企業です。こちらも2024年4月に大規模なサイバー攻撃を受けて、商品が出荷停止になるほどの被害を受けました。


こちらの場合は、必ずしも海外が侵入口と調査で判明したわけではないんですが、まず判明したのが海外の現法だったというところで、やはり海外法人を起点とした可能性が高いという事例です。

比較的資金力があってセキュリティ強度も高い大きな会社でもやられてしまうので、当然もっと小ぶりの会社は被害に遭っています。ただ、多くの場合は被害が表沙汰にならないんですね。

確かにランサムウェアに侵害されてダークウェブ上に情報が晒されるような事態になると、それはどこの会社でもプレスリリースを出すんです。ただそこまでいかない場合は、そういった事件があったかなかったかわからないものでございます。

インシデント数が29倍に

こちらの某機械部品メーカーは、私どものお客さまです。国内ではあまり製造していなくて海外拠点が中心というおもしろい特徴を持った会社で、従業員は約2,000名いらっしゃいます。


「サイバー攻撃にやられたのでその後のセキュリティ強化を提案してほしい」ということで、2024年の春くらいに、我々がEDRとSOCを提案して導入いただいたお客さまなんですけれども。

攻撃、または攻撃と思われる活動がエンドポイント（端末）であるとEDRがアラートを上げるんですけれども、1つのエンドポイントあたりの月間インシデント数が月間0.29（件）あるんですね。

通常、何もサイバー攻撃を受けていないタイミングでEDRを導入されたようなお客さまですと、通常1エンドポイントあたりの月間インシデント数は0.01になります。なので、29倍ものインシデントが出てしまっています。

これは当然サイバー攻撃を受けた余波もあるんですけれども、海外拠点でのソフトウェア利用に関する文化、常識みたいなものも大いに影響していると思います。

海外拠点でインシデントが発生する理由

こういった製造業の海外拠点でインシデントが発生する、もしくは狙われる理由なんですけれども、4つほどあると思っています。


1つ目は、専任のセキュリティ担当者を海外拠点には配置できないところです。正直、従業員が数万人いるような会社でないと、そもそも国内でも専任のセキュリティ担当者を置けないんですけども。

私どものお客さまでも、中小の製造業が多いのですが、従業員が1,000人とか2,000人くらいですとそもそもセキュリティの専任者がいない。そうすると、海外拠点に（セキュリティ担当を）置けるわけもないわけです。こういった専門家がいないことで、正直対応があまり洗練されていないことがございます。

そして2番目の理由なんですが、日本本社の言うことを聞かない（笑）。これはガバナンスの問題なんですけれども、日本本社の統制をあまり効かせていない会社が多いわけですね。

なので、日本のIT部門が「こうしたほうがいいよ」と言ったからといって海外のIT担当者は「いやいや、そんなのいらないよ」。ある製品を入れろと言ったら「いや、こっちのほうが良いよ」というふうにコントロールできないことがございます。

今の2番目はIT担当者の話なんですけれども、3番目は従業員の話です。働き方やITの使い方が違うわけですね。

私どものお客さまの先ほどの事例でも、特に香港の法人が、いわゆるアドウェアやフリーウェアを異常なくらい多用していて、その結果いろんなマルウェアに感染している。こういった特徴が見られました。

日本と違って、海外ではライセンスにお金を払うのは美徳ではなくて、フリーウェアがあればそれを使うのが望ましい。こういったところでは、いろんなマルウェアも勢いで使われてしまうことになります。インストールも自由にやらせている企業もあるかと思います。

4番目は、セキュリティ設備を配置できない。これは2番とも関連するんですが、海外現法と言っても独立性が高い場合が多いんですよね。

そうしますと採算も独立しているので、「セキュリティしっかりしろよ」と本社が言ったとしても、「そのお金はどこから出すんですか」ということになりまして、海外現法のトップが必ずしもセキュリティの予算に投資するとは限らない。

こういった諸々の原因で、海外拠点はサイバーセキュリティインシデントが発生しやすくなっています。

EDRの有効性

こういった状況の中で、じゃあ何が効果的なのか、という話になりますと、私どものご提案は「EDR+SOC」になります。事業をする中で、昨今、最も適切で効果的な防御手段はEDRという製品だと思っています。



我々は、サイバー攻撃の被害に遭われた会社の事後調査サービス、フォレンジックサービスなども行っていますが、大きな被害に遭うお客さまは、エンドポイントにアンチウイルス製品は入っているんですけれども、EDRはお使いでない場合が非常に多いです。

公表されているガイドラインや、サイバー攻撃の被害に遭ったあとに第三者委員会が入って詳細に調査してレポートを出します、というような企業がありますね。

まず公表されているガイドラインは、例えば厚労省や、あるいは自治体関連のセキュリティガイドラインを最近たくさん出しています。この中で「EDRを使うといいですよ」「振る舞い検知ができる製品を使いなさい」というような記述がけっこうあります。

そしてサイバーセキュリティの被害レポートです。これも「将来に備えた対策としてEDRを入れました」「多要素認証を入れました」「管理者権限を管理するようにします」など、いろいろあるんですけれども、EDRがまず出てくることからも非常に有効だとおわかりいただけるかと思います。

どのような製品を選ぶべきか

EDRといってもいろいろあります。どういうものを選ぶべきかという話ですが、まずこちらの表は、縦軸が検知防御力が高い・低い。そして横に、運用負荷が高い・低いという軸を設けています。



もともとアンチウイルスを作っていたメーカーがEDR機能も作りました、というような製品は、残念ながら検知防御力が低いです。EDRとして独立して作られた製品は検知防御力が高いわけなんですけれども、その中でも運用負荷の高い、低い（ということを表しているのが）横軸です。

まずアラートがたくさん出ると、対応しなればいけないので、運用負荷が高くなりますね。

あとは、いろんな操作をしなければいけないと運用負荷が高くなります。特に、例えばマルウェアに感染してファイルの改竄をされたような時に、多くのEDR製品では手作業やスクリプトで修復しなければいけません。

これは、多くの場合はエンドユーザーであるお客さま自身がやらなければいけないんです。ただ、中にはそれを自動的に修復する、あるいは、製品自体で自動防御してくれるような製品もございます。これが右上のRecommendationのところになります。

多くのEDRは、製品自体が自動防御するのではなくて、人の手で防御するSOCサービス、あるいはMDR（Managed Detection and Response）サービスですね。

とはいえ端末をネットワークから論理隔離するような防御しかできない製品が多いんですけれども、実はそもそもマルウェアがファイルの改竄すること自体を自動的に防御できる製品がございます。

それがおすすめの「SentinelOne」です。SentinelOneは、ガートナーやMitreといった第三者機関で非常に高い評価を得ている製品でございます。

SentinelOneの特長

特長としては、AIエンジンを積んだエージェントが、ベンダークラウドにログを送ったりすることなく、エージェントの中だけで振る舞いベースの攻撃検知、防御ができる製品になっております。



一般的には、EDRは振る舞いのログをベンダークラウドに送って、そこで判定してさらにアナリストが防御をするという、そういうステップを辿ります。ただ、そうしますと、数十秒どころか数分がかりでやっと止まるという話なんですけれども。

SentinelOneの場合は、クラウドにログを送らずにエージェントの中だけで検知防御しますので、ミリ秒単位で脅威が封じ込められます。したがって、そもそも被害が発生しないケースがすごく多いという特長があります。

そして次世代アンチウイルス機能とEDR機能が、1つの軽量エージェントで提供されていますので、運用も非常にシンプルです。

「EDRを使っていれば他には何もいらないか」と言うと、残念ながらそうではありません。EDRはいろいろなエンドポイントの活動、振る舞いを監視しますので、「これは確実に攻撃だ」というものを検知した場合は、SentinelOneは自動的にプロセスを殺してexeを隔離するなどして被害の発生を止めます。

ただ、攻撃とは限らない振る舞いも多く検知してしまうんですね。これはSentinelOneに限らずEDR製品すべてそうなんですけれども。

そういったものは、やはり人が攻撃かどうかを判断しなければならないわけです。そういった調査、判定、対応で多くのEDR製品はSOCやMDRを併用するお客さまがほとんどです。

アクトが提供するSOC

そのSOCなんですが、運用負荷が低いものが当然望ましいわけでございます。例えば、私どもで言いますと、アラートに対するSOCアナリストの監視、分析をもちろん行いますが、多くのSOC、MDRではお客さまに推奨の対応策をお伝えして、「あとはお客さまでやってくださいね」という場合が大部分なんです。



私どもの製品は、その推奨操作の代行が標準サービスとして含まれておりますので、そういった面でもお客さまの負荷は低く運用いただけます。

さらに私どもは、日本語、英語両対応のSOCをご提供しています。なので、海外拠点にITの担当者がおられる場合にも直接対応できるというわけです。

私どもの多くのお客さまでも、海外拠点のITの担当者からの質問なども時折あります。あるいは、例えばUSBメモリの制御をこのような設定で入れてくれといった要望もいただくんですけれども、私どもの場合は直接承って英語で対応させていただいております。

EDR＋SOCが生み出す効果

我々がどのような操作代行をするかという一覧なんですが、何かマルウェアが検知されて、それを駆除、削除するといったインシデント対応もやります。多くの場合は製品が自動的にやってくれるんですが、アナリストの分析によって「これはマルウェアだ」と判定したものについては、アナリストが駆除、削除いたします。



残念ながら、EDRには誤検知、過検知が付きものなんです。そういった誤検知が発生した時に、隔離されてしまっていれば解除をしたり、誤検知で隔離されてしまったプログラムがまた検知されてはまずいので、それをホワイトリストに登録するといったことも私どものSOCでいたします。

あとは、ポリシー変更です。パーソナルファイアウォールの設定や、USB、Bluetoothデバイスの制御設定といったものもご要望に応じてやらせていただきますし、エージェントのアップデートについても実施スケジュールをお客さまと調整して、アクトのSOC主導でアップデート作業をやらせていただいています。

私の講演は以上なんですが、最後にちょっとご案内です。私どもの社長、小林智彦が堀江貴文さんと共著でサイバーセキュリティの書籍を出版いたしました。11月6日に発売予定でございます。


ホリエモンの挑戦的、イノベーティブな視点と、小林の専門知識を披露するような1冊になっていますので、ぜひご期待いただければと思います。以上で私の講演を終わらせていただきます。ご視聴ありがとうございました。