サイバー攻撃の手口が日々巧妙化し、従来のセキュリティ対策では太刀打ちできない事案が相次ぐなか、企業はどのようなソリューションを優先すべきなのか。
9月9日~11日に開催されたオンラインイベント「TECH+フォーラム セキュリティ 2025 Sep. 自社にとっての最適解を探る」では、セキュリティ分野の第一線で活躍する5名の専門家によるパネルディスカッションが行われ、今まさに検討すべきセキュリティソリューションについて議論が交わされた。
登壇者
・EGセキュアソリューションズ 取締役 CTO
独立行政法人情報処理推進機構(IPA)非常勤研究員
技術士(情報工学部門)
徳丸浩氏
・NTTセキュリティ・ジャパン プロフェッショナルサービス部
北河拓士氏
・インターネットイニシアティブ セキュリティ情報統括室 室長
根岸征史氏
・SBテクノロジー プリンシパルセキュリティリサーチャー
辻伸弘氏
・セキュリティインコ(piyolog運営者)
piyokango氏
-
(左から)SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティインコ(piyolog運営者)のpiyokango氏、EGセキュアソリューションズ 取締役 CTO/独立行政法人情報処理推進機構(IPA)非常勤研究員/技術士(情報工学部門)の徳丸浩氏
-
(左から)NTTセキュリティ・ジャパン プロフェッショナルサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏
改ざん検知システム:見直されるべき確実性の高いソリューション
徳丸氏は、古典的とも言える「改ざん検知システム」を挙げた。これは、サーバ上のファイルの新規作成・変更・削除を監視し、変更があった場合に管理者に通知するソリューションだ。
徳丸氏は「1990年代から存在する歴史の長いソリューション」としながらも、その有効性は今なお高いと強調する。特に、同氏が長年追跡しているECサイトからのクレジットカード情報漏えい事案では「100%改ざんを伴う」と指摘。攻撃の仕掛けが設置されてから発覚するまでの平均日数は約1000日にも及ぶという。「改ざん検知システムを導入していれば、1日もかからずに発見できるはず」と述べ、対策がなされていない現状に警鐘を鳴らした。
ただし、正常なコンテンツ更新と悪意のある改ざんを区別する運用面の課題があり、これが導入の障壁となっているのが現状だ。徳丸氏によると、LinuxカーネルのAPI(inotify)を利用してリアルタイムかつ低負荷で検知できるものや、変更されたファイルを自動で正常な状態に復元する機能を備えたものもあるという。成功事例が表に出にくいという課題はあるものの、徳丸氏は「これほど検知漏れがなく、確実性の高いソリューションは他にない」と、その再評価を強く促した。
パスワードマネージャー:企業導入が遅れる日本の現状
北河氏は、多くの個人が利用し始めている「パスワードマネージャー」の企業向け導入を推奨した。その利点を「使い回し対策」と「フィッシング対策」の2点に集約する。強力でユニークなパスワードを自動生成・保存するだけでなく、登録した正規ドメインと完全に一致しない限りパスワードが自動入力されないため、巧妙なフィッシングサイトを判別する有効な手段となる。
多くの人が利用するブラウザのパスワード保存機能との違いも明確に指摘された。ブラウザに保存されたパスワードは、ログイン中のユーザーであれば比較的容易に複号できてしまうため、「インフォスティーラー」と呼ばれるマルウェアに感染すると、保存された全パスワードが窃取される危険性がある。一方で、専用のパスワードマネージャーは、マスターパスワードから生成される強固な暗号化キーで保護されており、総当たり攻撃などにも高い耐性を持つ設計になっている。
日本で企業向け導入が進まない理由について、北河氏は日本法人や大手代理店による販売体制が整っていない点を挙げた。シングルサインオン(SSO)が理想的な解決策ではあるものの、全てのシステムが対応しているわけではなく、コストも高額になりがちだ。それに対し、パスワードマネージャーは初期導入費用や運用コストが低いため、費用対効果が非常に高い。「現実的なソリューションとして、企業規模を問わず導入を推奨する」と、同氏はその価値を強調した。
脆弱性管理:限界を迎えつつある従来手法
根岸氏は、「脆弱性管理」という分野そのものが抱える深刻な課題を提示した。脆弱性の報告件数は年々増加の一途をたどり、2025年は年間4万件を超えるペースで推移しているという。限られたリソースのなかで、企業は悪用される可能性が高い脆弱性を優先して対応するトリアージを迫られている。
しかし、管理を徹底していても、ゼロデイ攻撃やNデイ攻撃のスピードに防御側が追いつけないケースが増えている。このような状況では、たとえパッチを適用しても「すでに侵害されていないか」という前提で調査を行う必要があり、従来の脆弱性管理の枠組みだけでは対応しきれない。根岸氏は「脆弱性管理によって攻撃を未然に防ぐこと自体が“無理ゲー”になりつつある」と、厳しい認識を示した。
これは脆弱性管理が不要だという意味ではない。むしろ、その重要性は増している。しかし、CVSSスコアに依存した旧来の優先度付けが機能しづらくなっている今、KEV(Known Exploited Vulnerabilities catalog)の活用やベンダーが提供する新しいアプローチを取り入れるなど、管理手法そのものを見直す過渡期にあると指摘。「決定打がない状況だが、あきらめてしまえばやられ放題になる。今一度、自社の脆弱性管理の在り方を真剣に考えるべき」と、議論を提起した。
ASM:期待と課題を併せ持つ新しい概念
辻氏は、アタックサーフェスマネジメント(ASM)について語った。「資産管理と脆弱性管理を組み合わせた比較的新しい概念」と位置付けながら、検討時の注意点を3つ挙げた。
第一に対象領域の明確化だ。ASMというと、インターネットに公開されたサーバやネットワーク機器に目が向きがちだが、それでは不十分だと辻氏は指摘。「VPN経由で侵入されたら内部は脆弱だった、という事例は多い。内部ネットワーク、クラウド、さらには支店やサプライヤー経由の攻撃も想定し、管理対象を広く捉えるべき」と述べた。
第二に盲点の認識だ。どんなソリューションも万能ではなく、「これ1つで全てが見える」というものはない。例えば、SIMカードが挿入されたPCが直接インターネット経由で侵害され、社内に持ち込まれるケースやソーシャルエンジニアリングによる攻撃は、一般的なASMの範囲外だ。
第三に可視化で終わらないマネジメントだ。ASMツールを導入して自社の問題点が可視化されても、それだけで終わってしまっては意味がない。辻氏は「病気であることが分かっただけで治療しなければ意味がないのと同じ。脆弱性の優先度付けや対策の実行計画まで含めて初めてマネジメントと言える」と語った。
EDR:全組織への普及を目指すべき基盤技術
piyokango氏は、EDR(Endpoint Detection and Response)の重要性を訴えた。「なぜやられたか分かっていないケースがまだまだ多い」という現状認識から、個人情報保護委員会の報告書を例に挙げ、多くの事案で攻撃手法が「使われたと考えられる」という推測にとどまっていることを指摘した。
最近の攻撃者はマルウェアを使わず、正規の認証情報やツールを悪用して内部で侵害範囲を拡大するため、従来の対策では検知も追跡も困難になっている。piyokango氏は、「EDRがなければ、侵入後の詳細な活動が分からず、根本的な原因究明や適切な再発防止策が立てられない」と語る。さらに、個別の事案の原因が曖昧なままでは、社会全体で共有されるべき教訓も得られず、同じ手口による被害が繰り返されるという悪循環に陥ってしまう。
EDRの課題は、導入・運用のハードルが高いことだ。特にリソースの限られる中小企業にとっては、コストや人材の面で導入が難しい。しかし、piyokango氏は「大手企業だけでなく、全ての組織で導入を検討してほしい」と強調。ソリューションを提供するベンダー側にも、普及を後押しするような仕組みづくりへの期待を寄せた。
基本に立ち返り、「可視化の先」を見据える
5人の専門家が挙げたソリューションや分野は多岐にわたったが、その議論を通じていくつかの共通したテーマが浮かび上がった。
1つは、改ざん検知や資産管理といった「基本の重要性」だ。新しい技術やバズワードに目を奪われがちだが、古くから言われ続けてきた基本的な対策が、今なお有効であり、かつ疎かになっている現実がある。
また、全ての提言に共通していたのは、「導入して終わりではない」という視点だ。どのソリューションも、自社の環境に合わせて適切に設定し、アラートを分析・対処する運用が伴って初めて真価を発揮する。
そして、「可視化のその先」を見据えることの必要性だ。脆弱性管理、ASM、EDRは、いずれも自社のリスクや脅威を可視化するツールだが、見えた問題をどう評価し、優先順位を付け、対策を実行に移すかというマネジメントのプロセスがなければ、宝の持ち腐れとなってしまう。
今回のパネルディスカッションは、企業がセキュリティソリューションを選定するうえで、流行りの言葉に流されることなく、自社の現状と課題を直視し、本質的な対策とは何かを深く考えることの重要性を改めて示すものとなった。
Windows 10の拡張セキュリティ更新プログラムで問題発生、国内ユーザーにも影響か
