2022年7月11日〜7月24日にかけて「情シスサミット 2022 ONLINE アフターコロナのセキュリティ新標準 SECURITY UP TO DATE!」が開催されました。この記事では、本イベントのキーノートでも触れられた、情シスが押さえておきたい重要なテーマを中心に紹介します。
1. 次の注力ポイント、セキュリティ領域の最新事情
今回の「情シスサミット 2022 ONLINE」は、セキュリティ対策をテーマに14日間にわたり開催され、数多くの情シスがオンラインセッションに参加しました。
多くの企業でテレワーク環境の整備が落ち着き、次の注力ポイントになるのが「セキュリティ」の領域と言われている今。サイバー攻撃はますます高度化・巧妙化し続け、その被害を最小化するための対策は不可欠です。セキュリティ対策に取り組む情シスを支援するためにも、最新動向やソリューション、活用事例など約30セッションが配信されましたが、本記事ではまず、下記のキーノート2セッションから重要ワードを中心に紹介していきます。
| 1 |
|
|---|---|
| 2 |
|
2. キーノート-1:新たな攻撃に備えるIT環境の構築 ~社会環境の変化に応じたセキュリティ対策のための準備~
- 新たな攻撃に備えるIT環境の構築~ 社会環境の変化に応じたセキュリティ対策のための準備 ~
- 河野 省二氏 日本マイクロソフト株式会社 チーフセキュリティオフィサー
「情シスサミット 2022 ONLINE」では2つのキーノートセッションが配信されました。そのうちの1つが、日本マイクロソフト株式会社チーフセキュリティオフィサーの河野 省二氏によるセッションです。この数年間、大規模災害やコロナ禍、海外での紛争など様々な経験をしてきた現代社会の中で、どのようにしてサイバー上の脅威に備えられるIT環境を構築していくかというテーマで話が進みました。
●ランサムウェア攻撃はなぜこんなに流行してしまったか?
河野氏は最初に、昨今被害が広がっているランサムウェア攻撃について触れました。まず、ランサムウェアが流行している実情について河野氏は次のように述べています。
「サイバー犯罪の世界では、お金儲けをするために様々な仕組みが発達してきました。なぜランサムウェア攻撃がこんなに流行ったのか?それはお金を直接得ることができるからです。」
昨今、多くのサイバー攻撃はビジネス目的に行われるようになりました。しかし攻撃者にとって、サイバー攻撃により「機密情報を盗んでもそのデータを売る先がない」ということになりかねません。その点、「攻撃を仕掛けた側に身代金を要求して得ることができる」ランサムウェア攻撃は、「マネタイズ」しやすいことが流行の背景にあると語ります。
ランサムウェア攻撃を行う者は、高度な攻撃をしているわけではなく、セキュリティ対策が不十分な企業や組織を狙って低コストで攻撃し金銭を要求している実態があるとのこと。最近では、「『ランサムウェア・アズ・ア・サービス』という初期投資なしにランサムウェア攻撃ができる仕組み」もあり、「攻撃が成功したら、その成功報酬として何パーセントかを払う」というようなものも現れているといいます。アルバイト感覚でお金を稼ごうと、ランサムウェア攻撃という犯罪に関わる人すら現れていると、河野氏はその手軽さを危惧しています。
●サイバーハイジーン…ITの衛生管理とは?
「ランサムウェア対策というと、バックアップを取っておくことと思うかもしれません。バックアップを取ることは非常に重要かもしれませんが、それは例えばケガをした時に絆創膏を貼る、治ったらはがすということがバックアップといえます。実際にはまた同じところでケガをするかもしれないし、何回もケガしてしまうかもしれない。つまり、予防をしておかなければいけない。」と、河野氏は予防の重要性について語ります。
河野氏は続いて予防のための考え方として、「ITの衛生管理」であるサイバーハイジーンという言葉を紹介しました。ここでは、「感染しないようにすること、感染しても重症化しないような対策」を行うために、5つのポイントを解説しました。河野氏の解説を下記にまとめます。
- (1)多要素認証の適用
- 攻撃者はまずアカウント、ID、パスワードなどの権限を盗んでいきます。なりすましを避けるために、多要素認証が必要です。つまり、IDとパスワードではなく、もう一つ何らかの要素を付け加えて本人性をより高めていくということが重要です。
- (2)最小権限ポリシー
- 万が一、アカウントのなりすまし被害に遭ったとしても、そのアカウントでできることが少なければ、被害は多くありません。実は攻撃手法の1つに、その人がアクセス権限を持つ様々なファイル、サーバ、サービスなどにアクセスしながら、その範囲を拡大していくという「横」に広がる攻撃があります。
また、一般ユーザの権限から管理者権限を取るというように「縦」に広げていく攻撃もあります。この「横」と「縦」を広げないために、どうしたらよいのかを考える必要があります。 - (3)最新環境の維持
- ランサムウェア攻撃に遭った企業の話を聞くと、セキュリティパッチを当てていなかったり、古いOS・アプリを継続的に使っていたり…ということがあるそうです。最新環境にしておくことは重要なのです。
- (4)アンチマルウェア
- アンチマルウェアもまた重要なポイントです。その理由は、多くのサイバー攻撃はすでに知られたワームやマルウェアなどを組み合わせて、あたかも新しい攻撃のようにしています。過去に対策されているものを放置していることが問題なので、アンチマルウェアを放置せずに、最新環境にすることが重要です。
- (5)データ保護
- ランサムウェア対策で重要なのが、データ単位での管理です。1つのファイルにアクセスされた瞬間に通知・警告があれば、これ以上に被害は広がりません。すぐに気づくことができれば、バックアップから戻すデータも少なくてすみます。もちろん未然に防ぐことができるかもしれません。
●なぜセキュリティ対策が必要なのか?
河野氏は改めて「私たちはどうしてセキュリティ対策をしなくてはならないのか?」との問いを投げかけました。その答えは「古い環境を長く使っているから」と述べ、下記の例を挙げました。
「TCP/IP v4とTCP/IP v6を並べてみると、1980年頃に策定されたTCP/IP v4にはアクセス制御や暗号化、品質管理というセキュリティに必要な機能は入っていませんでした。1998年に策定されたTCP/IP v6にはアクセス制御、暗号化、品質管理も入っています。このように、新しい環境にはセキュリティの機能が入っていくということです。」
そして、これはOSやアプリケーションにも同様のことが言えると河野氏は語ります。2017年頃にWannacryというワームが流行したことがありました。最近の Microsoft の例として次のように述べました。
「2017年頃、SMB1というプロトコルの脆弱性を狙うランサム攻撃がありました。1台のPCに感染したら、次のPC、また次のPC…というように、あっという間に10万台ほど入られた企業もあったといいます。しかしその時に、Windows 10 にしていたユーザは大丈夫だったそうです。Windows 10 で感染したマシンは世界でも本当に数えるほどだったと言われています。つまり、最新環境にしておくことがすごく重要で、新しいOS、新しいアプリケーションにはセキュリティの機能が入っています。」
「自分たちは何も悪くないのに、余計なお金が出ていく…というのが今のセキュリティ対策です。でも、サブスクリプションのサービスであれば、追加投資なしでセキュリティが整った環境を利用することができます。」
このように、攻撃されたり、リスクが顕在化したりしてから、調査し追加予算をとって対策するというのでは、もはや手遅れだと河野氏は語りました。
河野氏はほかにも、「脅威インテリジェンス」という、セキュリティ事故が起こる前に、外部からポリシーを変更するような仕組みを使えば、皆さんの環境は安全に保つことができることや、「IT環境をシンプルにすること」などが今後のセキュリティ対策にとって重要であると述べました。
特に、IT環境をシンプルにすることについては、「シンプルな構造は、変化に強く見通しがよい環境で、これが安全な状態を確認しやすく構築しやすい」と述べました。今後のIT環境を考えるにあたり目標にしておきたいキーワードといえます。
3. キーノート-2:DXで変わるセキュリティ戦略 〜ゼロトラストに移行しても大丈夫 !? 〜
- DX で変わるセキュリティ戦略 ~ゼロトラストに移行しても大丈夫 !? ~
- 三輪 信雄氏 S&J株式会社 代表取締役社長
もう1つのキーノートは、S&J株式会社 代表取締役社長の三輪 信雄氏によるセッションです。DX推進が叫ばれる現在、ランサムウェアや EMOTET 感染が原因となる Active Directory 乗っ取りなどのサイバー攻撃も同時に勢いを増しています。ここでは、DXを進める際に考えておきたいセキュリティ戦略について紹介する本セッション概要をレポートします。
●DXとゼロトラスト
DXを推進する中で、そのセキュリティ対策もまた注目を集めています。三輪氏は「DXとセキュリティを両輪として進めなければならないが、抽象的に『セキュリティが大事』としか語られていない」実情を危惧しているといいます。
また「DXは長い旅路」と表現されることが多いが、「どこを目指しているのか? どれくらいのコスト・時間がかかるのか? どれくらい努力しなければならないのか?ということがはっきりしないまま、『長い旅路だから目の前からやろう』というのは間違っている」とも述べ、「長い旅路だからこそ、目的地を明確にする必要がある」と強調。
その理由として、システムやネットワーク、ウェブサイトなどを構築してから「後付のセキュリティはうまくいかないこと」が明確だからと語りました。DXを推進することは、大きなシステム変更をともなうものなので、「後から考えるセキュリティは危険な上に費用もかかる」ことを伝えました。
また三輪氏は、DXのセキュリティとは曖昧な表現ではあるものの、「言い換えるとゼロトラスト環境におけるセキュリティとほぼ同義」だと語ります。「DXを進めようとすると、結局はインターネットを利用しますので、ITはゼロトラスト環境に置かれることになります。つまり、DXのセキュリティはゼロトラスト環境におけるセキュリティと置き換えると、理解しやすいのではないでしょうか」と、DXのセキュリティの考え方を整理しました。
「ゼロトラストもまた、長い旅路とよく言われます。これもDXと同様、目標をおいたほうがいいです」とゼロトラストについて三輪氏は語ります。さらに、「『ゼロトラストはまだ早いよ』と思っている企業でも、境界防御そのものが崩壊してきている中で、すでにゼロトラストの世界は始まっている」と、ゼロトラストについて関心が低い企業にとっても警鐘を鳴らしました。
●ゼロトラストと「自分で考える」ことの限界
ゼロトラストの世界が始まっている中で、「自分で考えてゼロトラストに移行していくというのは限界があると思います」と三輪氏は語ります。
続けて、昨今のシステムは「非常に複雑化しているので、間違うと大事故になるリスクを抱えています。一歩間違うと非常に危険で、クラウドで何かが起きた時にはデータセンタに行って何かするというわけにはいきません。感染しているPCに会社のPCをつないでいるかもしれない環境では、重大な事故につながりかねません。また、SaaS 全体が被害に遭うというようなことも起きても不思議はありません。今のセキュリティ対策、これからの対策が大丈夫なのか、セキュリティ対策評価やセキュリティアドバイザーなど専門の人に評価を受けて、それから一歩ずつ着実に進むべきだと思います。」と述べました。
●ランサムウェアの最新動向と、これからのセキュリティ対策
「ランサムウェアは結局、脅迫してお金をもらうことが目的です」と三輪氏はその目的を述べた上で、最近ではシステムが止まることによるインパクトが大きい企業や施設などが標的とされているといいます。
その例として、「ホテルがランサムウェア攻撃に遭って部屋の鍵が自動で開いたり閉まったりしてしまう、工場が止まる、命に関わる病院の機器が止まる、スーパーのレジが誤作動させられる…といった攻撃がありました。」と、その悪質さを紹介しました。
そして今後、ゼロトラストを取り入れることでセキュリティは向上するのかという問いに対し、「ちゃんとセキュリティ対策すれば、セキュリティレベルは高くなります。」と答えます。そして、企業として脅威が増していく中でも「生産性を上げる、あるいはコストを下げるというように、受益するためには増大するセキュリティリスクにも同時に向き合わなければならない」と語ります。
三輪市はさらに、「DXを進めるためにはゼロトラストを推進することになり、これまでよりも高度なセキュリティ対策をしなければなりません。基本的にクラウドはしっかり対策し、アクセス制御や認証は厳密に行う必要があります。ゼロトラスト環境を実装して、セキュリティ対策を厳格に行えば、利便性も向上します。ですから、DXで結果を出すためにも、できれば専門家のアドバイスも聞きながらセキュリティはしっかりやりましょう、ということにつきます。」と述べ、今後のDXとゼロトラストの進め方をまとめました。
4. まとめ
今回は「情シスサミット 2022 ONLINE」のうち、キーノート講演の概要をご紹介しました。
なお、本サミットを視聴した方からは、
「イベント期間が長いので視聴しやすかった」
「時間を気にすることなく、自由な時間に視聴できてよかった。」
「セキュリティトレンドを押さえていて、情シスの課題がわかっていると感じた」
「アーカイブとして残していつでも見られるようにしてほしい」
など、様々な感想やご意見をいただきました。
いただいた感想やご要望などは、今後のイベント・セミナーにも反映し、さらに内容を充実させていきたいと思います。
