2021年のサイバー攻撃動向から見る、DX推進に向けたセキュリティ対策とは

コロナ禍とDX推進に伴い変革すべき企業ネットワークのセキュリティ施策

基調講演に登壇したのは、独立行政法人情報処理推進機構(IPA) 非常勤研究員/EGセキュアソリューションズ株式会社 取締役 CTO 徳丸 浩 氏。今後のDX推進を見据えたセキュリティ施策の考え方について、昨今のセキュリティ課題を踏まえて説明した。

• 独立行政法人情報処理推進機構(IPA) 非常勤研究員
  EGセキュアソリューションズ 取締役 CTO
  徳丸 浩 氏

境界防御の有効性と限界

コロナ禍に伴い、リモートワークが急速に普及した。VPN＋オンプレミスでシステムを運用する企業も多い一方、経済産業省が老朽化するITシステムに対して問題提起した『2025年の崖』や昨今のDX推進の流れもあり、SaaSの利用も進む。徳丸氏によると、現状では『VPNによる社内ネットワークへの接続』、『クラウドサービスの活用』、『VDIの利用』がリモートワークの3大形態であるという。

リモートワーク環境への移行により、セキュリティ動向も変化している。IPAが公表している『情報セキュリティ10大脅威 2021』では、1位『ランサムウェアによる被害 』2位『標的型攻撃による機密情報の窃取』3位「テレワーク等のニューノーマルな働き方を狙った攻撃』がランクインした。

ランサムウェアが注目されるきっかけとなったのは、2017年に世界中で爆発的に流行した「WannaCry」だ。WannaCryは、445/TCPポートを利用して、人手を介さず組織内部だけでなくインターネット上のホストにも接続を試み感染を広げていく。ただ、日本企業の場合、通常はファイアウォールを設置しているため、多くはWannaCryをブロックできていた。これは、ファイアウォールが、外部からの脅威をブロックする信頼境界となっていたことを意味する。脅威は外部にある、という境界防御の考え方が根本にある。

一方、2021年11月に活動を再開したEmotetや標的型攻撃の主な起点はメールであり、境界防御の考え方が通用しないため注意が必要だ。リモートワークの普及に伴い、VPN装置の脆弱性を悪用して社内ネットワークに侵入する攻撃や、クラウドサービスの認証突破事例も多数発生するなど、境界防御の限界が顕在化してきている。

感染経路や利用規模に適したセキュリティソリューションの導入を

こうした背景のもと、徳丸氏は「外部から感染対象機器の脆弱性を突く能動的攻撃には、ファイアフォールでの対策や脆弱性への対処が有効だが、Emotetのようにメールが利用される攻撃はファイアフォールでは効果がない。さらに、Emotetはマクロの起動により感染するので脆弱性対処も有効とはいえない。感染経路によってマルウェア感染対策の原理は変わる」と、複合的な対策の必要性を訴える。

「根本対策＋セキュリティソリューション活用のバランスが大切。特に境界防御の限界や2025年の崖を考慮すると、クラウド型ソリューションの対策が注目される。エンドポイントでの対策も依然として必要。クラウド対応のEDR/EPP製品も増えてきている。

SaaSの安全な利用の勘所は、多要素認証・ID管理にある。IPアドレス制限は、クラウド利用の阻害要因になり、DX推進と矛盾してしまうため注意が必要。1人1IDという最小権限の原則の徹底が重要。利用規模が大きい場合などには、IDaaS、CASB、クラウドプロキシといったクラウド型セキュリティソリューションの活用も検討してほしい」(徳丸氏)

2021年のセキュリティ事象振り返りと2022年度に備えておくべきこととは

続いて、株式会社ラック サイバーセキュリティサービス統括部 デジタルペンテストサービス部 部長 仲上 竜太 氏が、2022年度に備えておくべきセキュリティ対策について、同社のセキュリティ監視・運用センター「JSOC(Japan Security Operation Center)」の分析を踏まえて解説した。

• 株式会社ラック
  サイバーセキュリティサービス統括部
  デジタルペンテストサービス部 部長
  仲上 竜太氏

適切な脆弱性対策の重要性

「JSOCの調査によると、2021年はSQLインジェクションによる情報漏えいインシデントが複数発生しており、引き続き警戒が必要だ。 さらにラックでは、コンテンツマネジメントシステム(CMS)「Movable Type」への悪質な攻撃に関しても注意喚起をおこなっている。仲上氏は「アップデートを怠ると任意のコマンド実行が可能となり、Movable Typeのサーバ上で悪意を持ったコントロールができるようになる。すでに公共学術機関などにおいてバックドア作成の被害や疑いが多数出ている」と説明する。同CMSをベースとした「PowerCMS」にも影響があるという。

※参照: https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

Microsoftのサーバソフトウェア「Exchange Server」を狙った攻撃も増加傾向にある。2021年2-3月に危険度の高い脆弱性が報告されて以来、同脆弱性を悪用した攻撃が報告されている。また、VPNやゲートウェイといったネットワーク機器においても、脆弱性が公表された瞬間から悪用されるケースが相次いでいる。こうした状況を受けて仲上氏は「業務に影響が出るためアップデートが難しい場合も多いと思うが、適切な脆弱性対処をしてほしい」と呼びかける。

デジタル利活用の恒久的な変化に合わせたセキュリティ対策が必要

コロナ禍やDX推進の流れがあるなか、テレワークが常態化し、クラウドサービス利用の増加、物理オフィスの縮小、ペーパレス化の推進など、この1年間で大きな変化が起こった。

これに伴い、サイバー攻撃の質も変化してきたと指摘する。「ランサムウェアによる金銭目的の攻撃が増加した。さらに、標的型攻撃との組み合わせで二重脅迫が起こるなど悪質化も進む。その背景として、高度なサイバー攻撃ツールに関連したマーケット・エコシステムの拡大がある」と説明し、EDRの導入や標的型攻撃対策など、全般的なセキュリティ対策の必要性を訴えた。

子会社や海外支店、取引先などサプライチェーンからの不正アクセスも増加傾向にあるという。なかには、サーバ運用委託先やサーバ管理ツールを悪用するサプライチェーン攻撃もある。これらに対しては、ガバナンスや体制の見直しが求められる。

昨今増加しているファイルレスマルウェアによる攻撃は、従来のウイルス対策ソフトウェアでは検出しにくいため、EDRを導入し、攻撃の通知・遮断といった対策を行うことが有効となる。

「従来のオフィス業務は、物理オフィス・物理ネットワークを前提として、境界防御型セキュリティで隔離された状態だった。しかし、リモートワークの普及で、PC・情報システム・データが分散。こうしたデジタル利活用の変化は恒久的であり、セキュリティ対策もこの流れに合わせて変化させていく必要がある」(仲上氏)

標的型ランサムウェア脅威対策の考察、ゼロトラスト・セキュリティアップデート

クラウド上で、ゼロトラストセキュリティによるサイバー攻撃対策を提供するアカマイ。同社の日本法人であるアカマイ・テクノロジーズ合同会社 シニアプロダクトマーケティングマネージャー 金子 春信 氏は、昨今のランサムウェア脅威を主とした企業が取り組むべきセキュリティの優先事項と対策について説明した。

• アカマイ・テクノロジーズ合同会社
  シニアプロダクトマーケティングマネージャー
  金子 春信 氏

実行段階へと移るゼロトラストセキュリティ

警察庁が公表している『サイバー空間をめぐる脅威の情勢等』の最新版(2021年9月9日発表)では、ランサムウェアによる国内被害の深刻化が指摘されている。ランサムウェアの感染経路を見ると、VPN機器やリモートデスクトップから侵入されるケースが多数報告されており、ニューノーマルな働き方が狙われていることがわかる。

※参照: https://www.npa.go.jp/publications/statistics/cybersecurity/index.html

こうしたなか、包括的なセキュリティ対策として注目を集めているのが、ゼロトラストセキュリティである。米・バイデン大統領は、『2021年5月に発表した国家のサイバーセキュリティ向上に関する大統領令』のなかで、政府機関システムなどへのゼロトラストアーキテクチャの導入を求めている。また、多くの日米民間企業においても、2020年に米国立標準技術研究所(NIST)が発行した『SP 800-207 Zero Trust Architecture』(SP 800-207)という文書の考え方が広く参照されている。原文は英語だが、金子氏はその設計概念の要点を日本語にして説明した。

SP 800-207には、「ゼロトラストアーキテクチャの7つの基本原則」として、下記のような点がまとめられている。

※参照: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/https://csrc.nist.gov/publications/detail/sp/800-207/final

ゼロトラストセキュリティ実現に向けたアカマイのアプローチ

金子氏は「従来、ユーザーとデバイスは、一度企業のネットワークに接続すると、そこから情報資産に広くアクセスできていた。しかし、ゼロトラストセキュリティでは、すべての情報資産をリソースとして認識し、ユーザーと資産の間にセキュリティポリシーの決定と実施を行うポイントを入れる。ここですべての通信を毎回検査する事で企業資産をサイバー攻撃から保護するのがゼロトラストセキュリティの要点だ」と説明。この通信に介在検査ポイントをID認識型プロキシとセキュアWebゲートウェイにより実現するのが、アカマイのゼロトラストセキュリティについて紹介した。

• NISTのゼロトラストアーキテクチャに当てはめたアカマイの取り組み
  （黄色部分がアカマイ提供範囲）

ゼロトラストネットワークアクセス製品であるEAA(Enterprise Application Access)では、アクセスコントロールの一元管理や社内アプリアクセスへの多要素認証などで、社内アプリケーションやクラウドアプリケーションへの安全なアクセスと適切なID管理を実現する。

一方、セキュアWebゲートウェイ製品であるETP(Enterprise Threat Protector)では、ユーザーが危険なサイトにアクセスしていないか等を確認して、不適切コンテンツへのアクセス防止を実現する。

• サーバーとクライアント双方をクラウド上から保護するアカマイのソリューション

※参照
EAA(Enterprise Application Access)製品ページ
AMFA(Akamai MFA)製品ページ
ETP(Enterprise Threat Protector)製品ページ

金子氏は、同ソリューションについて「ZTNA、SWGだけでなく脅威インテリジェンスやIDマネジメント機能なども統合しており、国内外で広く採用されている。フリートライアルも用意しているので、興味がある方は試してみていただければ」と話していた。

ラックが提供するアカマイソリューション

最後に登壇したのは、株式会社ラック インテグレーション推進事業部 ソリューション推進部 アドバンストソリューション推進グループ グループリーダー 初山 智徳 氏。同社が取り扱うアカマイ製品のサービス・ソリューションのラインナップを紹介した。

• 株式会社ラック
  インテグレーション推進事業部 ソリューション推進部
  アドバンストソリューション推進グループ グループリーダー
  初山 智徳 氏

ラックでは下記のように、Webパフォーマンスの向上、Webセキュリティ、エンタープライズセキュリティ、CIAMという4つの領域に対してさまざまなソリューションを用意している。実際には、これらを自社の課題に合わせて組み合わせて使うイメージだ。

特に、ゼロトラストアーキテクチャの運用においては、専門人材の確保、組織変更などの環境変化に合わせた適切な運用管理が課題となる。そこで、ラックではアカマイのEAA/ETP運用支援サービスなども提供している。

初山氏は「セキュリティ対策を考えるのはラックの仕事であり、お客様にはビジネスの成功に向けて本業に専念していただきたい。だからこそラックの提供するアカマイソリューションを活用してほしい」と語っていた。

[PR]提供：ラック