フィンランドのセキュリティ企業であるWithSecureの日本法人、ウィズセキュアはこのほど、名古屋市で「ととのうセミナー」を開催した。

「ととのうセミナー」って?

まず、何が“ととのうセミナー”なのか?と考えを巡らせるも束の間、筆者は東京駅発の名古屋行き新幹線に乗車していた。“ととのう”と言えば、サウナの業界用語ひいては空前の第3次サウナブームで一般的にも認知された言葉だ。

念のための説明ではあるがサウナ界における、ととのうとはサウナ→水風呂→休憩(内外気浴)のサイクルを行ったうえで、たどり着く至高の領域。「“整う”ではなく“ととのう”である!」と注意喚起する“ととのい警察”も存在するくらいだ。

そんなことを考えているうちに名古屋駅に。同駅から地下鉄・東山線に乗り換え、2駅先の栄駅に近い中日ビルに到着した。

いざ、セミナー会場に入り、ウィズセキュア パートナー営業本部 本部長の佐藤輝幸氏の話に耳を傾けた。聴講しているうちに、どうやらサウナ発祥の地・フィンランドの企業だからといって、セミナータイトルに“ととのう”と名付けたわけでもなさそう。

セミナーは、第1部として東海地区を中心としたセールスパートナーや見込み顧客に増加・巧妙化するサイバー攻撃に対し、主に中堅・中小の企業がどのような対策をすべきかについて解説。第2部は場所を移してセミナー参加者でサウナに入浴し、コミュニケーションを深めることを目的にしている。

そもそも、同セミナーの第1回目は「Cyber Security サウナ Japan Roadshow in 西川町」と銘打ち、山形県西川町で実施。なんなら、否定できないくらいサウナ丸出しのタイトルだったのだ。

今回、名称を変更した理由としては短く覚えやすく複数の意味を持ち、企業のシステム環境にも人にも共通して当てはめられる“ととのう”を使用した方が参加者がわかりやすいのでは、といったことが背景にあるとのこと。

佐藤氏は「当社はフィンランドの文化の一部でもあるサウナに関連した活動にも力を入れており、企業のサイバーセキュリティ対策がととのうソリューションを提供しています。また、より多くの方に紹介するため、みなさんの心身もととのうをコンセプトにセミナーをロードショー形式で開催しています。ととのった状況を整備するには、どのようなことが起こる可能性があり、どのような対策をしなければならないのかを理解・想定すべきです」と話した。

  • ウィズセキュア パートナー営業本部 本部長の佐藤輝幸氏

    ウィズセキュア パートナー営業本部 本部長の佐藤輝幸氏

ランサムウェア攻撃対策シミュレーション

次に、ウィズセキュア サイバーセキュリティ技術本部 ソリューションアーキテクトの太田浩二氏に一度バトンタッチ。同氏はWithSecureが開発したサイバーセキュリティ演習プログラム「ランサムウェア攻撃対策シミュレーション」を実施。

  • ウィズセキュア サイバーセキュリティ技術本部 ソリューションアーキテクトの太田浩二氏

    ウィズセキュア サイバーセキュリティ技術本部 ソリューションアーキテクトの太田浩二氏

シミュレーションは、架空の会社において「自身がCISO(最高情報セキュリティ責任者)に就任した」という仮定のもと4つの設問に回答し、結果が株価に影響するというもの。選択肢は必ずしも「これが絶対正解」というわけではなく、サイバーセキュリティ対策の知見として正解を作成。設問例は以下の通り。

問.
ITチームは、インターネットに面したサーバの1つからランサムウェアと一致するネットワーク通信を確認。しかし、それが何のアプリケーションなのか誰も知らず、文書もパスワードもない。ITチームが画面に表示されているものを確認したところ、そこには御社のITベンダーの名前が。さて、どうする?

A.Webに掲載されているITベンダーの番号に連絡
B.ただちにサーバをシャットダウン
C.サーバを切断
D,法務部門に連絡

  • ランサムウェア攻撃対策シミュレーションで出された設問

    ランサムウェア攻撃対策シミュレーションで出された設問

この設問で筆者はBとCで悩んだ末にCを選択。太田氏は「答えはC。サーバネットワークインタフェースを無効にしてサーバを切断することから、通信を遮断することでフォレンジック調査のためのデータ保存などが可能です。ネットワークを隔離することは有効です」と説明した。

ネットワークインフラに対する脅威が広がる

一連のシミュレーション終了後、太田氏は最近の脅威動向と必要な対応について解説した。同氏は「体を守る衣服、家族や財産を守る家屋などを例に挙げると、そもそもセキュリティは大切なものを守ることです」と強調する。

サイバーセキュリティに目を移してみると、1990年代からIT化の進展に伴い業務効率の改善が図られ、2000年代にはインターネットが本格化し、ビジネス機会が拡大。2010年以降はクラウド化による経費削減を実現している。太田氏は「IT化、インターネット、クラウド化に投資を行い、投資対効果は表れています。しかし、IT投資を拡大すると守るべきものが指数関数的に増加します」との見解を示す。

どういうことか。1990年代はハードウェアを守る必要があり、2000年代には増加するハードウェアに加え、データやネットワークを守る必要があった。そして、2010年代以降は分散・肥大化したデータやネットワークが複雑になり、さまざまなログインIDなども必要となる。

  • IT投資を拡大すると守るべきものに対する支出も増加する

    IT投資を拡大すると守るべきものに対する支出も増加する

太田氏は「もちろん投資対効果は大きいですが、守るべきものが増えているためセキュリティコストは増加の一途をたどっています。しかし、経済産業省ではサイバーセキュリティは投資である明言しています。例えば、ドアのかぎが故障して修理しなければならない際に、投資対効果はどうなんだ?と責められることはありません。そのため、守るべきものに対する支出と考えた場合、サイバーセキュリティの支出は必要経費となります。その打ち手としてEDR(Endpoint Detection and Response)の必要性が再認識されてきています」と明かした。

同氏によると、2024年上半期はIvanti VPNへのゼロデイ攻撃で1500以上のIPアドレスの被害やConnectWise ScreenConnectの大規模悪用、CheckPoint VPNゲートウェイでゼロデイ攻撃、キャンペーンによる2万台のFortinetデバイスの被害に加え、下期はCitrix、Cisco、Juniper、SonicWallをはじめとしたネットワークインフラの脆弱性がクローズアップされた。

なぜ、インフラが狙われるかについて太田氏は「RaaS(Ramsomware as a Service)の興隆が背景にあります。従来は、Lockbitなどのランサムウェアギャングがアフィリエイト(攻撃の実行者)を雇っていましたが、昨今では侵入経路の売人と目されているIAB(初期アクセスブローカー)が経路をリスト化し、アフィリエイトにオークションなどで売っています。これにより、アフィリエイトは時間を短縮して攻撃できます。初期アクセスの目的はVPNやリモートツールなどの脆弱性を見つけ出すことのため、ネットワークインフラに対する脅威が広がっています」と説明する。

  • ネットワークインフラに対するリスクが急増しているという

    ネットワークインフラに対するリスクが急増しているという

EPPとEDRを組み合わせたセキュリティ対策

そのような状況を受けて、現在はEPP(Endpoint Protection Platform)だけでなく、EDRを組み合わせたセキュリティ対策に移行しつつある。

EDRが必要に駆られている経緯としては、EPPはマルウェアの存在・実行を検知できる一方で、攻撃者の侵入を100%検知することは難しく、攻撃自体を検出できないことがある。その場合、攻撃がすり抜けてしまうこともあるという。

実際、ここ数年でサイバー攻撃は増加しており、国内のフィッシング報告件数は2018年に2万件だったが2024年には120万件と60倍、グローバルでランサムウェアの標的となった組織は4%から10%に拡大し、被害額も2021年に9100億円だったものの2024年は2倍の1兆9300億円に達している。

  • 年々サイバー攻撃は増加している

    年々サイバー攻撃は増加している

太田氏は「インターネットは民間同士のネットワークがつながっている状態であり、悪いことをしようと思えばできてしまうため無法地帯です。ITインフラを国が自治体が作るわけではなく、自らが経費を出して守らなければなりません。自分自身を守るのがインターネットです。攻撃を検知するためにEDRは必要です」と述べている。

今一度、EDRをおさらいすると、EDRではアプリケーションの実行やファイルアクセス、ネットワーク接続などを記録してクラウド上で解析し、侵入や侵害を特定。侵入を検知できるのはEDRのみとなっている。

同社では「WithSecure Elements EDR」を提供しており、侵入検知や侵入経路可視化、インシデント初期対応といった基本的なEDRの機能に加え、一元管理が可能で拡張性を備え、端末の自動隔離、柔軟なホワイトリストなど、さまざまな機能を持つ。

太田氏はElements EDRについて「アラートはAIで解析して深刻、高、中のようにリスクレベルを決めた後に発報します。深刻なアラートであれば端末を自動隔離する設定もUIで簡単にできますし、最初から設定しておけば被害を未然に防ぐことも可能です。また、WithSecure Element EPPと相互に連携していることから、マルウェアの侵入・感染を防ぐとともに活動させないことができます」と、そのメリットを説いていた。

  • 「WithSecure Elements EDR」の概要

    「WithSecure Elements EDR」の概要

なお、Elements EDR/EPPは10月にLLM(大規模言語モデル)を活用した生成AI「Luminen」を実装。これは、セキュリティチームの作業負荷を管理し、生産性の向上を促進する対策を推奨するというものだ。

セキュリティを“ととのえる”ために

そして、再び佐藤氏が登壇。同氏によると、太田氏も触れたように企業におけるセキュリティリスクは増加の一途であり、セキュリティ対策に終わりはなく、さまざまな企業がジレンマを抱えているという。例えば「やりたいこと」と「できること」が異なっていたり、やるべきことすらできていなかったり、「うちは大丈夫だ」と考えがちとのこと。

こうした状況をふまえ、佐藤氏は「ととのったセキュリティ対策というものは、調和の取れた現実的な対策ができているのか、ということです。セキュリティコストが必要経費として認められ、CISOや情報システム関連の方々の負荷が高くなく、何が起きても対処できるような状況です。ととのったセキュリティ対策が心の余裕を持つことにつながり、次のことを考えられるようになります」と話す。

ただ、EDRに対して誤解されている部分があるのも否めない。一例として多くの企業でEPPは導入しているものの、EDRは導入コストが高く運用面でも難を抱え、SOC(Security Operation Center)を導入すると高額なものになるといった具合だ。

同氏は「EPPだけでは防げない脅威としてゼロデイ攻撃などをふまえると、検知と対応が必要になってきます。『何が起こり、このような状況にある』ということを把握することが重要です。つまり、企業の説明責任を果たすために導入すべきものでもあるのです。セキュリティ対策をととのえるためにはEDRが必要です」と、改めて力を込めていた。

  • 「WithSecure Elements EDR/EPP」と他社ベンダーとの比較

    「WithSecure Elements EDR/EPP」と他社ベンダーとの比較

果たして、ととのえたのか?

セミナー終了後には、セミナータイトルに“ととのう”を冠していることから、第2部として主催者、参加者を含めてサウナタイムとなった。と、何の違和感も感じずに書いてしまっているが、セミナー後にサウナに入るのは初めての経験であることは記しておきたい。

場所は会場から徒歩10分圏内に位置し、本格的なフィンランドサウナが体験できる「SaunaLab Nagoya」だ。

  • リースがあしらわれた「SaunaLab Nagoya」の看板

    リースがあしらわれた「SaunaLab Nagoya」の看板

  • エントランスにはウィズセキュアのバナーも設置された

    エントランスにはウィズセキュアのバナーも設置された

  • 「Mountain Library」と名付けられたスペース

    「Mountain Library」と名付けられたスペース

お気づきの方もいるかもしれないが、SaunaLab Nagoyaは名古屋が誇るサウナ&カプセルホテル「ウェルビー栄」などを展開するウェルビー 代表取締役の米田行孝氏をオーナーとして2018年にオープン。その後、2020年に福岡市で「SaunaLab Fukuoka」、2021年には東京・神田で「SaunaLab Kanda」をスタートさせている。

  • 男女共用の「Forest Sauna」

    男女共用の「Forest Sauna」

  • Forest Saunaのサウナ室内

    Forest Saunaのサウナ室内

  • 休憩スペース

    休憩スペース

約2時間のサウナタイムを堪能した。個人的な感想としては、第1部で現状のサイバー攻撃、それに対する打ち手とセキュリティ対策をととのえる必要性を感じ、第2部のサウナを通じて総合的にととのってしまったのは言うまでもない(笑)。社内でセキュリティ対策に頭を悩ませている方は、今後セミナーに参加して対策と心身ともに、ととのってみるのもいいのかもしれない。