DXの加速により、組織の利便性は飛躍的に向上した。しかし、その裏でアタックサーフェスは拡大し、サイバーリスクは複雑化の一途をたどっている。

12月15日~16日に開催されたウェビナー「TECH+セミナー セキュリティ2025 Dec. 総決算 堅牢なセキュリティ組織を武装する『サイバーレジリエンス』のすすめ」において、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏と、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授 佐々木弘志氏が、最新技術への投資以前に立ち返るべき原点について対談を行った。

パッチ適用までの期間は、攻撃可能な期間そのもの

セッションの冒頭、辻氏は「脆弱性対応=パッチ適用」という単純な図式に疑問を投げかけた。脆弱性が公開され、パッチがリリースされてから実際に適用されるまでのあいだには、どうしてもタイムラグが生じる。攻撃者はこの”隙間”を見逃さない。

「パッチ適用までの期間は、攻撃者にとっては『攻撃可能な期間』そのものです。パッチを当てれば終わりではなく、その空白期間にすでに侵入されていないか、攻撃の痕跡がないかを確認しなければ、本当の意味での対応とは言えません」(辻氏)

辻氏は具体的なデータとして、Verizonのレポートを提示した。これによると、悪用が認められた脆弱性のうち、リリースから30日以内に修正パッチを適用できていない割合は実に85%に上るという。リソースのある組織ですら、半数が修正を完了するまでに55日を要しているのが現実だ。

  • パッチが適用されるまでの期間

    パッチが適用されるまでの期間

さらに深刻なのは、攻撃発生までのスピードだ。Mandiantの調査(2021~2022年)によれば、悪用された脆弱性のうち62%がゼロデイ、残り38%がNデイであり、Nデイ脆弱性の約3割は1カ月以内に悪用が観測されている。

2023年のデータで見ると、1カ月以内の悪用割合はさらに高まっていることが分かる。我々がパッチ適用を迫られる期間は年々シビアになっているのだ。

  • 脆弱性が悪用されるまでの期間

    脆弱性が悪用されるまでの期間

※脆弱性が発見され、ベンダーが修正プログラムを公開した後、適用するまでの期間に存在する脆弱性

CVSSスコア依存からの脱却とKEVの活用

では、限られたリソースでどう戦えばよいのか。辻氏はCVSSの基本値だけに頼る優先順位付けからの脱却を提案する。

多くの組織では、CVSSスコアが「High」や「Critical」のものから順に対応を進める。しかし、スコアが高くても、実際に攻撃コードが存在せず、悪用が困難な脆弱性も存在する。逆にスコアが中程度でも、すでに攻撃手法が確立され、活発に悪用されているものもある。

辻氏は「再現できない、悪用されていない脆弱性にリソースを割いているあいだに、本当に危険な脆弱性が放置されてしまうことが最大のリスク」だと警鐘を鳴らしたうえで、判断軸に「悪用の有無」を加えることを推奨する。具体的には、米国CISAが公開しているKEV(Known Exploited Vulnerabilities)カタログの活用だ。

「KEVには、実際に悪用が確認された脆弱性のみがリストアップされています。CVEの発行数が年間数万件に及ぶのに対し、KEVに掲載されるのはそのごく一部(中央値83件)です。まずはここを最低ラインとして確認することで、リソースを本当に危険な箇所へ集中させることができます」(辻氏)

  • CVEの採番件数とKEVの記載数の比較

    CVEの採番件数とKEVの記載数の比較

佐々木氏もこれに同意し、「数に振り回されず、効果のあるものから対応するためには、KEVのような信頼できる指標を言い訳の効かない最低ラインとして活用すべき」と述べた。

大阪急性期医療センターの事例に見る、セグメンテーションの欠如

続いて議論のテーマは、ネットワーク設計の原点であるセグメンテーションへと移った。ここで辻氏が取り上げたのが、大阪急性期・総合医療センターのランサムウェア被害事例だ。

この事件では、給食提供事業者のサーバを経由して攻撃者が侵入し、最終的に電子カルテシステムを含む基幹システムが暗号化された。重要な点は、給食提供事業者は他の多くの施設にもサービスを提供していたにもかかわらず、大きな被害が出たのは同センターだけだったという事実だ。

「明暗を分けたのは、ネットワーク設計の違いでした。被害を受けた事例では、給食管理サーバと電子カルテサーバが同じネットワークセグメント上に存在していたのです。他の組織ではこれらが分離されていたため、攻撃は波及しませんでした」(辻氏)

新しいセキュリティソリューションを導入する前に、まずはネットワーク設計という”地盤”を見直すことが肝要だ。辻氏は「認証やEDRも重要だが、セグメンテーションこそが忘れられがちな原点であり、被害のインパクトを決定づける要因になる」と強調した。

「誰も管理していない」というOTセキュリティの課題

このセグメンテーションの問題は、佐々木氏の専門分野であるOTセキュリティにおいてさらに深刻さを増す。

佐々木氏は、教科書的なOTネットワーク図と現実の乖離を指摘する。理想的には階層化されているはずの工場ネットワークだが、実際には、同じネットワークセグメントに全ての機器がつながっているフラットな構造であることが多い。また、野良Wi-Fiルーターの存在や、NICにネットワークカードを2枚挿ししたサーバによって、ITとOTを分離しているつもりが、実は攻撃者にとって恰好の踏み台となっているケースが多く見られるという。

  • OTネットワーク図の理想と現実

    OTネットワーク図の理想と現実

「工場では『誰もセキュリティを管理していない』という状況が起きがちです。情報システム部は工場の現場を知らず、現場は『うちはうちでやる』とサイロ化し、ガバナンスが効きません。その結果、重要設備も、とりあえず導入したIoTカメラも、全てが同じフラットなネットワークに繋がってしまうことがあります」(佐々木氏)

サイバー攻撃によって工場が停止し、巨額の損失や供給網への波及が生じた事例は枚挙に暇がない。一度侵入を許せば、フラットなネットワークを通じて被害は瞬く間に拡大し、生産停止、売上損失、さらには株価への影響や政府からの融資が必要になる事態へと発展する。

そのため、佐々木氏は「予防と検知も重要だが、最近は『やられたときにどうするか』というレジリエンスの観点が欠かせない。システム全体が止まったとき、代替手段はあるのか。手動でビジネスを継続できるのか。いつ復旧できるのか。これらを事前にシミュレーションし、経営層と合意形成しておく必要がある」と語る。

「攻めのDX」を実現するための「守りのセグメンテーション」

では、工場におけるレジリエンスをどう高めるべきか。佐々木氏が提唱するのは、ビジネスへの影響度に基づいたセグメンテーションだ。

「全ての設備を同じ強度で守る必要はありません。例えば、重要設備と、現場改善用のIoTデバイスをネットワーク的に分離するのです。仮にIoTデバイスがマルウェアに感染しても、重要設備と切り離されていれば、工場全体の停止は防げます」(佐々木氏)

これは単なる守りの策ではない。影響範囲を限定できるという安心感があれば、現場は新しいIoT機器やクラウドサービスを積極的に導入できるようになる。つまり、適切なセグメンテーションは、攻めのデジタル化を推進するための基盤にもなり得るのだ。

  • ネットワークセグメンテーションのイメージ図

    ネットワークセグメンテーションのイメージ図

健康診断のように基本を見直すべし

対談の最後、辻氏は現在の状況を健康診断に例えて締めくくった。

「DXによって便利になる一方、攻撃者にとっても攻撃しやすい環境が整いつつあります。我々はAIなどの最新技術に目を奪われがちですが、今必要なのは、自組織のネットワーク構成はどうなっているか、本当に優先すべき脆弱性は何かという基本(原点)に立ち返ることです。健康診断の結果を知らなければ、適切な治療ができないのと同じです」(辻氏)

佐々木氏も、「IT部門、工場現場、経営層が『ビジネスリスク』という共通言語で対話し、サイロを超えて協力体制を築くことが、組織のレジリエンスを高める第一歩になる」と応じた。

本セミナーで辻氏と佐々木氏が示した解決策は、決して派手な魔法ではない。しかし、この泥臭いともいえる原点回帰こそが、不確実な時代のサイバーセキュリティにおいて組織のレジリエンスを築く最短ルートとなるはずだ。