2月25日~27日、オンラインにて開催された「TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が登壇。「SHIFT LEFTから見るガバナンスとセキュリティの関係性」と題し、今注目すべきSHIFT LEFTの概念について解説すると共に、次世代の攻撃に対するゼロトラストの有効性とガバナンスの重要さを説いた。

開発環境が狙われている

西尾氏はまず、現在、ソフトウエアの開発環境がサイバー攻撃の標的になっていると指摘した。その例として同氏が挙げたのが、2020年に起きた米SolarWinds事件だ。

SolarWinds事件は、同社が開発していた「Orion Platform」というネットワーク監視ソフトのソースコードが改ざんされ、そのアップデートを適用した約1万8000件が影響を受けたという事件だ。その中には米国の政府機関なども含まれていたことから、大きな話題になった。

  • SolarWinds事件

    SolarWinds事件の概要

西尾氏は「こういった動きを受けて、Lazarusという北朝鮮の攻撃チームがCI/CDツールに対するサイバー攻撃を活発に行っている」と説明する。

「CI/CDツールにバックドアがあると、コードを書いてデプロイするまでのプロセスで悪意のあるコードを注入できます。製造の段階でバックドアを仕込めるので、上流を押さえられますよね。そうすると、下流のソフトウエアを使っているユーザー企業を一気に汚染することができます。攻撃者にとっては、極めて効率的な攻撃です」(西尾氏)

同氏は、このようなソフトウエアサプライチェーン攻撃では、小さな会社も被害を受ける可能氏があると警告する。攻撃者が狙うのはユーティリティであり、従業員数が少なくても関係ないからだ。

「攻撃者からすると、ソフトウエアの開発工程に対してサイバー攻撃を成功させれば、一気に数千社、数万社を感染させられるので、非常にコスパがいいのです。そのため、こうした開発工程への攻撃が非常に盛んに行われているという現状があります」(西尾氏)

攻撃者×AIが引き起こす革命

こういった動きに拍車をかけているのが、AIだという。

西尾氏は「攻撃者がAIを活用すると“武器化”のところで革命が起きる」と語る。サイバー攻撃を段階別にとらえた際、まず初めに実施されるのは偵察のフェーズだ。偵察では例えば、「この会社はOutlookを使っていて、バージョンはいくつで、どういうOSを使っていて、PDFを開くときに使っているソフトはこれで……」といった情報の取得が行われる。そして続くフェーズで、それらの脆弱性を見つけ出し、攻撃するコードを書いて送り込むためのマルウェアを用意する。これがいわゆる武器化フェーズだ。

  • 武器化フェーズ

    サイバー攻撃におけるAI活用

従来、脆弱性を見つける作業は職人と呼ばれるような人材が経験と勘を駆使して行っていたが、AIならばどこに脆弱性があるのかを簡単に発見できてしまうという。これが革命というわけだ。

また、バグ修正や機能追加のために適用されるパッチファイルだが、これを解析するとパッチ適用前のバージョンにはどのような脆弱性があったのかが分かる。とはいえ、人間がやろうとしても一朝一夕にできるものではないのだが、今はこの解析も「AIにバイナリを渡すと後は勝手に解析してくれる」(西尾氏)のだ。

「AIを活用したゼロデイ攻撃※1の発掘が加速していて、CVE※2の発番が追いつかないくらいの脆弱性が出てきています。これは間違いなくAIの活躍です。するとどうなるかと言うと、一般企業にもゼロデイ攻撃が飛んでくる可能性が出てきます。『うちの企業規模であれば攻撃は受けない』というのはあり得ない思想です」(西尾氏)

さらに、AIを活用すれば数時間~数日という短期間でパッチの解析が可能になり得る。そこから攻撃用のコードを書くのに3日かかったとしても、パッチが公開されて1週間もすれば、攻撃者は攻撃できる態勢が整うことになる。

「皆さんは、ゼロデイ攻撃は大企業や政府にしか飛んで来ないと思っていませんか。まったくそういうことはありません。『パッチマネジメントをして、アンチウイルスソフトを入れておけば大丈夫』みたいな世界は存在しないと思っておいたほうがいいと思います」(西尾氏)

※1 発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃。
※2 Common Vulnerabilities and Exposures(共通脆弱性識別子)。「プログラム上のセキュリティ問題」を一意に識別するために、脆弱性に対してCVE識別番号が付与される。

今こそ考えるべき「SHIFT LEFT」とは

こうした状況を踏まえ、「ソフトウエアPL法(製造物責任法)」の議論が再燃しているという。

特定、防御、検知、対応、復旧というサイバーセキュリティの5段階のプロセスのうち、従来は流れの後半(右側)にある「検知・対応・復旧」が重視されてきた。それに対し、今は流れの左側にある「特定・防御」に注力する考え方に回帰しようという動きがあり、これを「SHIFT LEFT」と呼ぶ向きがある。だが西尾氏は、「もっと左側に、ソフトウエアを開発・管理するフェーズがある」と指摘する。

  • SHIFT LEFT

    SHIFT LEFT

「技術的に突きつめていくとDev Sec Opsをやりましょうということなっていくと理解しています。要するに、ソフトウエアを開発する人の責任というのが問われ始めています」(西尾氏)

  • Dev Sec Ops

    Dev Sec Ops

ただし、このSHIFT LEFTの話が出てきたからといって、利用者側はもう検知、対応、復旧をやらなくていいという話にはならない。サイバー攻撃が進化する今、開発側も利用者側も共に対抗していく必要がある。そこでゼロトラストだ。

ゼロトラストに必須なのは「ガバナンス」

ゼロトラストでポイントとなるのはアルゴリズムだという。仮に、普段とは異なる時間帯や場所からのアクセスがあったとしよう。怪しい部分はあるものの、IDとパスワードは正しい。こうした場合、従来型のセキュリティではアクセスを許可するか、しないかの二択しかない。だが、ゼロトラストでは重み付けが行われる。

「例えば、信頼レベル10が最大だとすると、IDもパスワードもあっているけれど、IPアドレスやアクセス時間が怪しい場合、信頼レベルを7に落とす、といったことをやるわけです。その上で、『これは経営データなので、信頼レベルが10でないとアクセスさせない』とか『これはイントラネットの中の話なので、信頼レベル5だったらアクセスしても良い』といった制御をしていくのがゼロトラストです。怪しさをアルゴリズムで捉えるから、ゼロトラストは非常に安全だと言われるわけです」(西尾氏)

西尾氏は、ゼロトラストを導入する上では、ガバナンスが重要だと強調する。ここで言うガバナンスとは、サイバー攻撃につながる可能性があるIT資産を特定するために、組織内の全IT資産とそれらを利用するユーザーをIDレベルで追跡可能な体制をとることを指す。

  • サイバーセキュリティの大前提はガバナンス

    サイバーセキュリティの大前提はガバナンス

「IT資産台帳のない会社にゼロトラストを導入しても意味がないです。アルゴリズムは単なるアルゴリズムで、インプットがないとアウトプットは出せません。インプットはユーザーID単位のイベントログです。アカウントに紐付けて、これまでの行動をデータとして残し、そこから外れる行動をアルゴリズムで判定して、アウトプットとして“怪しさ”を出すわけです。だから、ガバナンスを整えていないと、セキュリティにいくら投資しても回収できません。これを私は声を大にして申し上げたいです」(西尾氏)