サイバーインシデント対応の盲点
佐久間貴氏:株式会社網屋データセキュリティ事業部、佐久間です。本日は「9割強の企業はログ管理不足により被害拡大 サイバーインシデント対応の盲点」ということでお話しさせていただきます。
まずはサイバー攻撃の実態ですが、題名の通り、増加するばかりのサイバー攻撃ということで、昨今サイバー攻撃が非常に増えています。
件数で言うと、前年推移から372件増加で、前年対比105パーセントとなっております。実際に攻撃を受けている企業・団体、報告件数も「大企業」「中小企業」「団体」とありますが、意外と「中小企業」が一番多くて42件増加で、昨対比153パーセントとなっています。「団体」は母数も少ないですが、28件で2倍超という状況になっています。
ランサムウェア被害の被害企業、団体の業種なんですが、こちらも数年前からずっと「製造業」は狙われておりまして、日本の産業が狙われている実態となっております。特にサイバー攻撃の中でも事業継続を脅かすサプライチェーン攻撃が多発しています。
お客さまの本丸である本社や大手企業は、十分なセキュリティ対策をされており、攻撃者もなかなか簡単には攻撃できない状態になっています。そのため最近では、海外子会社や取り引き先といった、若干本体よりもセキュリティ対策が遅れている部分を狙った攻撃が増えている状況になっています。
ログ管理こそがインシデント対応のカギ
「侵入されると被害は拡大の一途」という右側の図ですが、最近は攻撃されると、ITシステム全体が停止してしまうので、事業継続が非常に難しくなっている状況です。
実際にインシデントに遭った企業の9割以上は、対応の長期化、被害額が増加という状況になっています。ランサムウェア被害の50パーセント以上が、復旧に1ヶ月以上を要しているのと、実際にインシデント対応のフローで右側を見ていただくと、まずフェーズ1で調査をして復旧して、恒久的対応をしているという流れになります。
この左側の図ですが、復旧に要した期間が「即時~1週間未満」という会社は、25パーセント超です。「1週間から1ヶ月」が25パーセントになっているんですが、これはあくまでも事業、業務が復旧した期間です。
調査・復旧の費用を見てみると、1,000万円ぐらい掛かっている企業は非常に多いんですけども、こちらが1週間とか1ヶ月で対応したわりには、費用が高いところを見ると、復旧は先行したけど、実際に調査ができていない実態も少し見えてきます。
ですので、あらためて右側を見てみますと、インシデント対応のフローで調査をして、ここで 1ヶ月、2ヶ月と掛かっている可能性も非常に高く、復旧が先行して走ってしまって業務を復旧させたということも分かります。
そこで済んでいる会社もあると思うんですが、復旧を急いだ結果、もう一度攻撃を受けてしまって、また1に戻るお客さまもいらっしゃいます。
結果的に、このフェーズ3の「恒久的対応」まで行ける企業がなかなかないことも実態となっています。ズバリ、これらの企業が原因調査に苦戦している理由は、ログがないため難航するということです。当たり前ですが、調査可能なログが存在しないと、何を攻撃されてどこに影響があって、どういう経路で入られたのかはまったくわかりません。
そういった結果、9割以上のお客さまは十分なログ管理ができていないので、攻撃された証拠が得られない。攻撃された証拠が得られないと、業務復旧も本当に場当たりでやっていくしかない状況になって、実際に穴が開いたまま、復旧させてしまう結果にもなり得る状況です。
企業のセキュリティ投資は十分なのか?
あらためて、「インシデント対応が難航する理由」なんですが、先ほどログの話もしたように、影響範囲がわからないことも原因になっています。影響範囲が特定できていないので、すべてのPC、サーバーを全部再インストールしていくのか、そういった判断も実際に影響範囲がわからないと、どこから手をつけていいかもわかりません。
実際に暗号化データの復旧も、要はバックアップをどこから戻すかという話になるんですけども、いつから攻撃されて、どこまで攻撃されたのかがわからないから、どのバックアップに戻せばいいのかがわかりません。
それがわからないと、1回バックアップから復旧してみて、「感染したから、もう一度もう1個前に戻して」という繰り返しになります。これは言うと簡単なんですが、昨今のバックアップデータは非常に大きくなっており、戻すにもやはり数日かかる状況になっています。
例えば1回の復旧に3日、これを3回繰り返して9日とか、そんな感じですぐに日付だけ経ってしまうので、データの復旧もなかなか苦戦している状況です。こういったインシデント対応に戸惑っていると、非常に利益損失が大きくなっています。
実際に被害に遭って対応が遅れると、本来売上を上げられる期間、要は業務を通常運転できない期間が長くなりますので、そこで得られる金額、利益が損なわれます。
それに加えて、どこから手をつけていいかわからないので、まず復旧費用も非常に高く掛かってしまいます。本来得られる利益を失いながら、かつ復旧費用が非常に多くかかってしまいます。
その原因は、スライド左側の不十分なセキュリティ投資にあります。要は予防に対して費用を掛けていない状況によって、実際に被害に遭った時には復旧に時間がかかるので、売上が上がらない。利益が取れない、かつ調整費用も非常にかかってしまう状況になってしまうので、非常に厳しいです。
これがもし適正なセキュリティ投資ができていて、きちんと予防ができていれば、万が一攻撃に遭った時も、復旧がまず早くなるので、通常事業へも復旧ということで売上利益も早く回復します。加えて、まず攻撃に対する調査、分析、対応が非常に安く済みます。
こちらもあらかじめ予防しているので、どこから攻撃されて、どういう穴を潰せばいいのか、どういう対応を取ればいいのかがわかるので、その分の調査・分析費用は非常に安くなります。
一時的に費用は出ていきますが、早く通常運転に戻れるので、この適切なセキュリティ投資や予防は非常に有効だと言えます。
従前の「境界型防御」の限界とは
次に「取り組むべき対策に見えてきたギャップ」とありますが、これはNIST(米国国立標準技術研究所)が出している、サイバーセキュリティフレームワークです。実際にセキュリティ対策をやるにあたっては、こういった流れになっています。
まず「特定」して「防御」して「検知」して「対応・復旧」していきます。これが攻撃された時への準備になるんですが、1つ目の「特定」についてですね。まずは攻撃されたことを迅速に把握します。何がどう攻撃されたかがわかる仕組みが必要です。
次に「防御」。実際に防御、ブロックする仕組みが必要になります。次に「検知」。防御できていれば検知する必要はなく単純にブロックすればいいんですが、それをすり抜けてしまってもしっかりと検知をして、何が起こったのかが把握できる仕組みが必要になります。
最後に実際に防御できなかったものの検知することで、業務を復旧していくのが、「対応・復旧」フェーズになります。これは検知したものに対して、どういう復旧・対応していくのか、修復していくのかを検討するために必要になります。この4ステップがセキュリティフレームワークとして、今、標準化されている状況でございます。
みなさまの企業が、今どこまでセキュリティ対策をされているかによるんですが、多くの企業は、防御まではしっかりやっている傾向が強いです。要は一昔前の境界型防御と言われる対策ですが、しっかりブロックだけはしている。ブロックすれば大丈夫だろう。「玄関の鍵だけ閉めてれば大丈夫だ」と言って、家に防犯カメラをつけないのと同じような状況ですね。
ブロックだけしているので、これで安心してゆっくり寝れると思ったら、実はピッキングされて入られてしまった状況です。そこに対しては無防備だったので、全部の情報やお金を持っていかれたかたちになってしまうケースが非常に多いです。
セキュリティのプロじゃないとわかりにくい部分でもあると思うので、どうしても防御までで留まってしまう企業が非常に多いかなと思っています。
侵入されると被害は増える一方
先ほども触れたんですが、境界型防御のみでは守れないことはあります。日本では特に昨今、VPN、ネットワーク機器からの侵入が非常に多くなっています。本来は境界型防御としてネットワーク機器が外からの侵入を防ぎます。
製品としてはきちんとした機器でも、発見された脆弱性に対して、しっかりパッチを当てれば問題ないんですが、パッチを当てない状態でいると、そこから侵入されて攻撃されてしまいます。
鍵はしっかり閉めていたので大丈夫だと思っていても、実は開けられてしまう鍵だった場合、侵入された時に何も気づけない状況が被害を拡大させてしまいます。
このVPN機器、ネットワーク機器は非常に重要で設置はするべきではありますが、そこを絶対的に信用するのではなく、むしろ越えられた時も、しっかり対応できる仕組みが必要だと、我々はログの重要性から説明しています。
実際に今の話もあるんですが、侵入されると被害は増える一方ですね。左側の「侵入させない対策」ということで、先ほどから何度もお話しているネットワーク機器とか、ウイルスソフト、ネットワークフィルター、メールフィルターなどを準備しても、実際に感染して突破されてしまうことがあります。
境界防御だけだと中に入られ水平展開され、情報搾取、最後は暗号化によってデータ破壊をされて初めて、攻撃の被害に気づきます。被害を受けた企業さんにヒアリングすると、このような状況に陥っていることが多いかなと思っています。
結局、影響や被害の最小化は、侵入を前提とした対策が重要になるわけです。「サイバーキルチェーンに見る対策と監視範囲」では、「攻撃」の防御のところの2番が境界型防御と言われる部分になっていまして、ここをしっかりやっていくのは非常に大事なんですが、ここから先の侵入された時にどう対応していくのかも大事ということです。
ここの3番から詳しく話すと、実際に侵入されて乗っ取られて、ネットワークの中にも侵入、横展開、そしてデータ調査をされて、さらに管理者権限を取っては被害拡大していきます。
最終的には情報が抜かれて漏洩されて、暗号化されてしまいます。この流れの3番から7番の部分が、非常に弱い部分になると思うのですが、この3番から7番の監視が非常に重要なセキュリティ対策となっています。
インシデント調査におけるログの重要性
次に「サイバーセキュリティにおいて重要な『ログ』」と書いていますが、いろいろと今までお話した中で、実際に攻撃を受けた時に対策が必要、防御以降の部分が必要と言っているんですが、調査をするにあたって必要なのはログです。
左側から4つありますが、「攻撃の検出と通知」にもログが必要ですし、実際に調査する時もログが必要です。これはどんなことをやられたのかという「証拠の提供」と書かれていますが、別に警察に出すだけじゃなくて、取引先に出す時にも必要不可欠なものです。
これがなくて「取引が再開できない」と困っている企業さんもたくさんいましたので、ログはここでも重要になってきます。最終的な「再発防止」も、どこから入られたかがわからないと、実際にどう対応していいのかわかりませんし、また投資が増えてしまうので、ここもログが必要になってきます。
「フェーズごとで監視する『ログ』」もあるんですが、これは先ほどのキルチェーンの話であったとおり、「乗っ取り」のフェーズでは、実際に不審なshellの実行はログでわかりますし、「ネットワーク内侵入/調査」でも、特定の端末から特定端末へ不審な通信があったことを特定できます。
これは「端末間通信」と言われているところなんですが、実際に侵入して、侵入の範囲が広がった時に、攻撃を受けた端末が他の端末に通信しているといった行動もログでわかるということです。
次に「特権IDの悪用」ですが、実際に侵入されたアカウントを使ってさらに特権ID、高権限IDを摂取するアクションも、ログでは全部証跡として出ますし、実際に権限を取ったあと、さらに設定をいろいろ変えて、活動範囲を増やす行動をするんですけども、そういったポリシー変更に関しても、ログでしっかり分析できるところがポイントになります。
さらに続きの「情報漏えい」も重要データの収集なので、要は必要な情報を内部で探索しますね。摂取されたアカウントがふだん触らないデータも、片っ端から触りますので、そういった部分でもログは爪痕を残します。
最後の「暗号化」は、拡張子を変えてファイルの名前を変えますので、そういったファイルへの変更もログにしっかり出ます。ですので、サイバーキルチェーンにおける全フェーズに、ログは有用だと言えます。
簡単にログを収集して、分析をして、アラートをあげられて、かつログを長期的に安全に保管することがログ管理で求められる機能になっています。
世界中でログの管理は必須要件
セキュリティの対策はログであると話していましたが、このログがいかに重要か。我々が「ALog」というログ管理製品・サービスを出しているので、ログが重要だと言っているわけではありません。
ガイドラインでもログをしっかり管理することの重要性は、たくさん書かれています。金融、官公庁、水道といろいろ出ていますが、各種政府から出ているセキュリティガイドラインや、自動車産業をはじめとする業種別のガイドラインにも「ログが重要で、管理して分析するべきだ」と書かれています。
このように今、セキュリティ対策の中で、ログの管理は必須要件になってきており、国内のみならず世界的にも重要視され、米国証券取引委員会(SEC)で「上場企業のサイバーセキュリティ開示に関する声明」が7月に出されています。
簡単に言うと、「平時にどんなセキュリティ対策をしているのか、しっかり定期的に開示してください」「何かあった時には4日以内に開示してください」と義務付けたものです。
平時もどんなことをやっていて、何をどう見て、どう分析しているのかを報告しなければいけないんですけど、そのためにログが必要になります。有事の際にどこを攻撃されて、どういう被害があって、どういう対策をする必要があるのかを説明できなければなりません。
ここに関してもログが必要で、世界的にもセキュリティに対する動きは加速しています。そのためログ管理が非常に重要であり、適切なセキュリティ管理と、有事の際のスムーズな状況把握が可能になるのがポイントですね。
個人情報保護についても重要なポイントになっています。個人情報保護法が改正されましたが、こちらに関しても同様でガイドラインとルールがいろいろ決められており、ここにもログが非常に有効です。どんなことをされたのか、どこまで情報が漏れてしまったのか。それもログで解決できる内容になっています。
網屋「ALog」のログ管理における5つのポイント
ではこのログをどうやって収集するのか。我々網屋はログ管理製品であるALogシリーズを長く販売していて、国内でも70パーセント以上のシェアを獲得しています。
ログ管理は、ガイドライン対応でやらなければいけないと言いながらも、そんなに簡単な話ではないと思います。我々のALogは「ログ管理のむずかしいをカンタンに」できるソリューションです。ログをしっかり管理していれば、サイバー攻撃対策や内部不正対策といった、セキュリティの強化には非常に重要な要素になると思います。
ただ、このログ管理製品のALogを入れるだけで解決するのかというと、そうではありません。企業にはログ管理に対する課題がたくさんあります。まず、そもそもどんなログを取って、どういう分析すればいいのかわかりません。ツールを入れたら簡単に動くと思われるかもしれないですけど、実はツールを運用する能力と人材も必要で、そのリソースが足りない問題も出てきます。
そもそもログ管理ツールは、今までは海外製品が多かったんですけども、それらは非常にコストが高く、昨今は為替相場の影響で値上げされている状況になっていることが課題になっております。
難しい課題がたくさんありましたが、ALogはこれを簡単にするポイントを5つ持っています。まず1番目が「設計不要で導入開始」です。簡単に言うと「まずは取り込む・まとめる」ことができます。
次に「ノウハウ・メンテナンス不要」です。どんなログを取るか、ログをどう分析するかというテンプレートを提供しております。3つ目の「AIが不審な挙動をチェック」ですが、ALogにはAIが導入されておりますので、不正と思われる挙動はAIが事前に検知することができます。
4番目……ログは目視で確認するのが非常に難しいんですが、ALogには翻訳エンジンがついています。コンピューターの言葉で書かれているようなログが、簡単に翻訳されて、誰もが理解できる内容に変換します。ここが非常に大きいポイントになっています。
5番目が「選べる運用場所」です。オンプレミス、クラウド問わず、お客さまの環境に合わせて運用方法を変えられるところがポイントです。これらの5つのポイントがALogの競争優位性に、大きく貢献しています。
「ALog」における訴求ポイントの深掘り
「設計不要で導入開始」を深掘りしますと、取得対象を問わずに、わずかなステップでログを集約できるという意味です。お客さまの環境にはログを取るべき対象がたくさんあると思うんですが、大きく2つに分かれています。
ローカルにあるデータとクラウドにあるデータを集約するのは難しいのですが、どちらのログも、ALogでは自動的に集約できます。
次に「自動更新テンプレート」です。取得する対象のログはいろいろあると思いますし、実際に取ったログをどう分析するかも日々変わっていくかと思います。ALogでは、新しいサービスや機器のログの取得テンプレートや、それをレポート化するテンプレートなどが自動で更新されていくため、お客さまは意識せずとも最適化された状態で利用いただけるようになっています。
3つ目は「不正を事前に検知」できるAIです。こちらはふだんとの違いをポイントとして、いつもと違う時間や、いつもはアクセスしないフォルダなどにアクセスしていることを検知でき、内部不正対策の観点でも活用できます。
これを悪用されたサイバー攻撃や外部攻撃に関しても、実際にふだん実行しないようなコマンド操作や、いつもと違う端末からアクセスしてきたり、大量にファイルを暗号化するようなものを検知できるという意味でも、AIが内部不正でも外部攻撃でも、ふだんと違う怪しいものを検知できる機能として有効です。
4つ目が「翻訳変換で理解できるログ」。我々が特許を取っているエンジンですが、スライド左側のようにログは大量に生成されるものですが、これらを誰が見ても分かるように、いつ誰がどのファイルに何をしたか、1行で翻訳します。
最後に「選べる運用場所」です。ALogはクラウド版とオンプレミス版どちらも選べますので、お客さまの優先したい運用に合わせて選べるのが5つ目のポイントになっています。
セキュリティ対策の壁は「時間・予算・人材」
こうしてログを活用したセキュリティ対策を自動化できるのがALogです。しかしこのALogを入れるにあたっても、セキュリティ対策の三大課題と言われている「『時間・予算・人材』の壁」にあたります。
なぜなら、結局のところセキュリティ対策にはノウハウが必要となるためです。知識を持った人材がいないから大変だったり、実際の工数面では非常に時間が掛かります。膨大なデータにノウハウを使って対応しなければいけないので時間も足りません。
ツールの費用、運用する人間を育成する費用も含めると、非常に予算が掛かります。
我々はALogというツールを、ただプロダクトとして提供するのではなくて、「ALog MDR」という選択肢をご用意しています。今、お話したこのログの分析やセキュリティ対策は、企業内部で全部やるのはなかなか難しいんですけども、ALogを通して、さらにこのログ運用をサービスとして提供しております。
どのようなサービスフローなのか。スライド右側のサイクルになるんですけども、実際にALogを導入したあとのログを見て、日々の監視を行ってサイバー攻撃、内部不正をしっかり監視していきます。次に、実際何かあった時にはインシデントの分析をします。
さらに、その分析した結果をわかりやすく報告して、その報告内容について、監視項目を直したり、対策のアドバイスをしながら、このセキュリティサイクルを回していきます。
不正侵入されても早期検知につなげることで、被害が最小限になります。調査して対応して報告するのは、我々のサービスで行い、お客さまは、最終的に我々が出した対処・改善案を含めて最終決定していただくだけで、セキュリティ対策が実現します。
MDRサービスでは、セキュリティスペシャリストをはじめとする資格保有者にてしっかり対応させていただきますので、ご安心いただければと思います。
ALogはセキュリティデータプラットフォームになる
以上がALogの説明です。ログ管理製品という点でずっとお話しさせていただいたんですが、ALogは今後、「ログ管理製品」と言われたものから「セキュリティデータプラットフォーム」と大きく進化するかたちで生まれ変わります。
「これまで」と「これから」とある通り、従来の境界型防御は守るべき資産が社内に固まっていて、そこさえ対策していればよかったのですが、現在、そしてこれからはさらに守るべき資産が社内からクラウド、海外などと分散していくと思います。
環境や場所、働く時間はさまざまになってきますので、内部のみならず、外部からのサイバー攻撃対策というかたちで、対象を広げていく必要がございます。
そしてセキュリティ対策は大手企業を中心に取り組まれており、準大手より下の部分は、買っただけでは使いこなせない、そもそもどう使っていいかわからない、取引先から指示されているが何からはじめるべきかがわからない企業さんが非常に増えていると思うんですね。
そこに対して、新しいALogは全領域に対してアプローチできるようなサービス・製品になっております。今回、クラウド版の提供と登場で、今まで難しかった構築や運用が非常に簡素化できますし、顧客レンジとして準大手・中堅にもしっかり対応できるようなものになっております。
ログをクラウド上に集約できるので、我々がサービスを提供する範囲も非常に広くなります。お客さまがより課題としていた部分に対して、リーチできるようなサービスモデルになっております。最後に入れていますが、これまでのALogシリーズにあった機能もそのままに実装しているので、ご安心いただければと思います。
「セキュリティと言えば網屋」を掲げて
今回の新しいALogのポイントとして、今までのメリットはもちろん活かしたまま、新たにアーキテクトも見直していまして、高度分析・高速処理を、実現できる新エンジンも実装しています。
費用の考え方も、従来であれば監視対象ごとのライセンスやOSの種類、サーバー台数、構成、ログ容量、取り込みの種別といった、いろいろな要素に対して製品が分かれていて、購入側も判断が非常に難しかったと思います。
その点、新しいALogは、基本料金とログデータ容量だけのシンプルな形で提供されます。何を取っても、どんな種類を取っても、基本料金のログ量だけで課金されるため、選定が非常に簡単になり、導入に対しての決定も速くなると思います。
最後に、網屋は今回紹介したALog以外にも、セキュリティサービスの充実に取り組み、サイバーセキュリティプロバイダーとして、さまざまなサービスを包括的に提供しております。
今お話したスライド上段2つがALogとセキュリティサービスです。それに加えて、実際運用していくにあたってのセキュリティ要員の育成でしたり、そもそもネットワーク部分を強化したり、セキュリティネットワークセキュリティを強化したり、そういったものにも包含的に対応できる網屋というセキュリティ会社になりました。
今後とも「セキュリティと言えば網屋」と思い出していただいて、ご検討いただければと思います。以上で私の発表とさせていただきます。ご清聴いただきましてありがとうございます。
