デジタルテクノロジーの進化は、多くの企業にビジネスチャンスの増加や業務の効率化といった恩恵をもたらしたが、その一方でサイバー攻撃の増大といった課題も顕在化させた。金銭を脅し取ることを目的としたランサムウェアをはじめ企業を狙うサイバー攻撃は多様化・高度化を続けており、業種や規模を問わず、すべての企業にとってセキュリティ対策は最優先のミッションとなっている。
今回は、セキュリティ製品を含む数多くのITソリューションをパートナー企業とともにユーザー企業に提供しているITソリューション・ディストリビューターとなるネットワールドの柳田 康宏氏と、“脆弱性管理”に特化したセキュリティ専業ベンダーであるテナブルのセキュリティエンジニア 阿部 淳平氏に、サイバーセキュリティの最新動向から、セキュリティ対策におけるペインポイント、その解決方法までについて話を伺った。
急ごしらえのリモートワーク環境を、高度化・複雑化したサイバー攻撃が狙う
昨今のサイバーセキュリティ動向について、柳田氏は「ランサムウェアの被害増加」と「リモートワークの拡大」の2つのキーワードをあげ、企業におけるセキュリティ対策への意識も変わりつつあると語る。「最近では、RaaS(Ransomware as a Service)と呼ばれるランサムウェアの攻撃を行うためのパッケージも登場し、マルウェアを“作る人”、“買う人”、“使う人”と、サイバー犯罪の分業化が進んでいます。これによりサイバー攻撃はさらに高度化・複雑化し、バックアップを潰してからデータを暗号化して人質にとるような攻撃も増えてきています。また、昨今のコロナ禍によって、急ごしらえでリモートワーク環境を導入する企業が急増しました。リモートワークの拡大は、攻撃者目線では攻撃可能なポイントが増えることを意味し、防御する側(企業のセキュリティ担当者)から見ると守るべきポイントが増えたことを意味しています。こうした状況に対応すべく、企業におけるセキュリティ対策への投資は増加傾向にあると感じています」(柳田氏)
テナブルのセキュリティエンジニアである阿部氏も、働き方の変化によって多くの企業でセキュリティに対する意識が変化してきていることを感じているという。「柳田さんの話にもありましたが、コロナ禍などの影響によって働き方は変化し、クラウドサービスを利用する企業も増えてきました。その結果、クラウド経由で攻撃される可能性が高まり、実際にサイバー攻撃の被害がニュースで報じられるケースも増加しています。これまでセキュリティ対策に十分な投資を行っているのは一部の大企業だけでしたが、現在はセキュリティ対策への投資拡大を検討する企業は増えていると考えています」(阿部氏)
ユーザー企業のセキュリティ担当者が持つ悩みの種とは
リモートワークの浸透や、ランサムウェアなど高度化したサイバー攻撃の増加により、セキュリティへの意識を高める企業は増えてきたが、セキュリティ対策の見直しは簡単なミッションとはいえないのも事実。一言でセキュリティ対策といっても、そのアプローチは多岐にわたり、どこから手を付けていけばよいのかわからず悩んでいるセキュリティ担当者も少なくない。柳田氏と阿部氏は、企業のセキュリティ対策における“ペインポイント”について話を展開する。
「急ごしらえで構築したリモートワーク環境では、セキュリティホール、すなわち『脆弱性』を見逃してしまうケースが増えてきています。たとえば、既存のネットワーク機器を使ってVPNの機能を拡張したところ、その機器の脆弱性を突かれて社内システムへの侵入を許してしまい、情報漏えいにつながったといった被害例もあります。また、システムを導入した段階ではクリーンな状態だったとしても、時間の経過とともにソフトウェアの脆弱性が見つかり、これを放置していると、監査で指摘を受けるといった事態を引き起こします。とはいえ、IT資産に存在する脆弱性は、数が多すぎて対応するのは容易ではありません。この『脆弱性の管理』が、現代企業のセキュリティ担当者にとってのペインポイントといえます」(柳田氏)
「脆弱性を突いたサイバー攻撃に対して、企業のセキュリティ担当者が対応しきれない一番の要因は『人手不足』にあります。セキュリティ専任の担当者がいる企業は少なく、大半はITチームが兼務しており、セキュリティ対策に時間やリソースを費やすことは難しいのが現状です。結果として『インシデントが発生したので調査しましょう』といった事後対応が常態化しています。このように、インシデントの発生を防ぐためにリソースを費やせないことが、大きな課題になっていると思います」(阿部氏)
専任のセキュリティチームがいる場合でも、セキュリティ担当者が収集した脆弱性情報に即時対応できるケースは少ないと阿部氏。「IT担当者は日々のシステム運用に多くのリソースを割いており、脆弱性情報を伝えられてもすぐに対応できるわけではありません。パッチを適用させる作業を行うとサービス停止時間が発生することも多く、二の足を踏むIT担当者も少なくないのが現状です」と語り、脆弱性が発見されたら即座に対策を施すというスムーズなサイクルが回っている組織はほとんどないと警鐘を鳴らす。
セキュリティ対策における“一丁目一番地”となるのは『脆弱性の管理』
「日本のセキュリティ対策はリアクティブな方向に寄りがちで、『何かあったら対策する』というアプローチが主流。リスクの高い脆弱性情報を漏らさず収集し、優先度を決めて対策を進めるというリスクマネジメントを実践している企業はまだまだ少ないのが現状です。この状況を解決するためには、柳田さんが話した『脆弱性の管理』が重要になります」(阿部氏)
最近ではセキュリティ機能を前面に打ち出すバックアップ製品も増えてきていると柳田氏。「最近ではITインフラ自体にセキュリティ機能が内包されるケースも増加し、インフラベンダーが統合的なセキュリティ企業へと変革している流れがあります」と、インフラ構築とセットでセキュリティ対策を施すという意識が高まっていることを解説。こうした状況においても、脆弱性の管理が重要な役割を担うと力を込める。
「先ほどの阿部さんの話にもつながりますが、リスクマネジメントとしての『脆弱性の管理』は、セキュリティ対策における“一丁目一番地”だと考えています。NISTサイバーセキュリティフレームワーク(CSF)における5つのリスク管理機能で一番目の項目に位置付けられている『識別』、すなわちリスクマネジメントの部分に投資していくことが、もっとも投資対効果が高くなります。逆に言えば、リスクアセスメントがきちんと定義できていないと、次の『防御』『検知』『対応』『復旧』といったフェーズへの投資対効果が薄れてしまいます。新たな脆弱性情報が出るたびに、外部に委託して脆弱性診断を行うのは、コスト的にも時間的にも効率的とはいえません。そこで、まずはリスクマネジメントの部分からアプローチしていくことが重要となります」(柳田氏)
テナブルが開発する“リスク”にフォーカスした脆弱性管理プラットフォーム
セキュリティ対策の見直しを図るうえで不可欠といえる「脆弱性の管理」を実現するには、“効率化”が重要と阿部氏は語り、リスクベースの管理が必要になると解説する。
「脆弱性対策は、脆弱性情報をひたすら収集したり、それを踏まえて社内でどれだけパッチがあたっているのかを調査したりと、単調な繰り返しの業務が多いのが特徴です。効率化は進んでおらず、人手をかけた“人海戦術”で運用している企業も少なくありません。最近では脆弱性対策のツールも増えてきており、まずはこうしたツールを使って効率化を図り、本来時間をかけるべき領域にリソースを費やせる環境を構築することが大切です。そこで意識したいのが『リスクベースの管理』となります。世の中に存在する膨大な数の脆弱性リスクには、即時対応が必要なものから、ある程度放置しても問題のないものまで、さまざまなレベルがあります。このレベルを正確に把握し、リスクの高いところから優先的に対処していくことがリスクベースの管理で、脆弱性対策における重要なポイントといえます」(阿部氏)
「阿部さんがおっしゃったとおり、リスクベースの管理、すなわち対応の優先度付けは、脆弱性の管理を考えるうえで見逃せないポイントです。IT資産の脆弱性は毎日のように発見されており、2020年には約18,000件もの脆弱性情報が出てきています。これだけ数が多いと、セキュリティ担当者が収集した脆弱性情報への対応をIT担当者にお願いしても、『本当に危険な脆弱性なのか?』という部分で納得感が得られなければなかなか動いてはもらえません。阿部さんがお話しされた“スムーズなサイクル”を回すためにも、リスクベースの観点でコミュニケーションを取り、対策を講じていくことが必要になります」(柳田氏)
このリスクベースの脆弱性管理を実現するソリューションとして2人があげるのが、脆弱性管理プラットフォーム「Tenable.io」をはじめとするテナブルの製品群となる。阿部氏はTenable.ioを「脆弱性、すなわちリスクにつながる情報をリアルタイムに近い形で収集して、組織における脆弱性情報を一元的に管理。対応の優先度付けや、レポートの提供などを行うプラットフォーム」と説明。日本国内でテナブルの唯一のディストリビューターとなるネットワールドの柳田氏も、テナブル製品は脆弱性管理の分野では突出したソリューションと高く評価する。
テナブル製品は、自社開発の脆弱性スキャナーツール「NESSUS」をベースに経験豊富なリサーチチームが情報を収集しており、ゼロディの脆弱性情報も数多く報告をしている。「2021年7月29日に米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)、米連邦捜査局(FBI)とオーストラリアACSC、英国NCSCの4組織が共同で作成したサイバーセキュリティアドバイザリーが公表されましたが、そこで提示された、2020年~2021年にかけて広く悪用されている脆弱性上位30件のなかの80%について、テナブル製品は『緊急に対処すべきもの』と判断しています。共通脆弱性評価システムであるCVSSで『緊急』と判断されたのは60%程度で、テナブル製品が持つ技術力の高さが証明されています」(柳田氏)
「脆弱性スキャンツールの多くは、ソフトウェアのバージョンをチェックし、脆弱性のDBと付き合わせるという方式を採用しています。これに対しテナブル製品では、ソフトウェアのバージョンはもちろん、それ以外の設定、レジストリの値などもチェックし、統合的な判断を行います。他の製品は『脆弱性の疑いがある』レベルのものまで出してしまうケースが多いなか、テナブルは確実に脆弱性があるものだけを提示するため、ツールとしての信頼性が違います。脆弱性の識別から対応までのサイクルを管理するための機能を網羅しており、リスクベースの脆弱性管理を実現することが可能です」(阿部氏)
単なる脆弱性診断ツールではなく、企業に脆弱性管理の意識を根付かせるためのプラットフォームとして機能するテナブル製品は、導入した企業から高い評価を得ているという。 「これまで外部ベンダーにお願いしていた脆弱性対策をテナブル製品で内製化したことで、安全性の向上に加え、業務効率化も実現できたという導入事例もあります。最近ではSOARなど、運用を自動化するソリューションを導入する企業も増えていますが、テナブルとしては本当に対応が必要な脆弱性情報をいかに正確に収集してきて伝えるかという部分での効率性を追求し、統合的なセキュリティ対策の効率化を目指しています」(阿部氏)
「テナブル製品は、ネットワーク、プラットフォーム、Webアプリケーションを含めたすべてのIT資産の脆弱性を継続的かつ効率的に管理できます。内製で脆弱性管理が行えるので、高価な脆弱性診断サービスを利用していた企業にとってはコストメリットも大きなものがあります」(柳田氏)
テナブルとネットワールドのタッグが、日本市場にリスクベースの脆弱性管理を浸透させる
『すべての組織がサイバーセキュリティのリスクを把握・低減できるようにサポートする』というビジョンを持つテナブルと、ソリューション・ディストリビューターとして、パートナー企業とともにエンドユーザー企業のビジネス発展に貢献する』というミッションを掲げるネットワールドは、ビジネスの方向性が一致していると柳田氏。「ネットワールドとテナブルは密接に連携して、脆弱性対策の市場拡大に向けた取り組みを進めていきます」と意気込みを語る。将来的には、脆弱性診断の技術者、ユーザー企業、セキュリティベンダーなどが情報を交換するユーザーコミュニティを作っていく予定という。
阿部氏も「欧米に比べると、日本の脆弱性管理市場は成熟されていない状況です。とはいえ、ベンダー丸投げでは対処できない状況になってきているのは確かで、『規定で年1回の脆弱性診断が求められているので実施する』という考え方から、『セキュリティ対策を考えると、まずは脆弱性対策が必要』といった考え方へと、徐々に企業側の意識も変わってきていると感じています」と手応えを口にする。
ビジネスにおけるセキュリティ対策の重要度が高まるなか、その“一丁目一番地”といえる脆弱性の管理は、あらゆる企業にとって喫緊の課題といえる。テナブルの提唱する『リスクベースの脆弱性管理』を実現するソリューションには、今後も注視していく必要があるだろう。
[PR]提供:ネットワールド