デジタルテクノロジーの活用はビジネスの競争力を高める一方で、サイバーインシデントの増大という新たなリスクを顕在化させている。企業を狙うサイバー攻撃は巧妙化・複雑化の一途をたどり、2025年には大手飲料メーカーや通販大手企業など、名だたる企業がランサムウェア被害を受けた。 受注・出荷業務の停止、個人情報流出のリスク、全国規模での供給網への影響など、企業活動の根幹を揺るがす深刻な事態を引き起こしている。

こうしたサイバー攻撃による被害は、企業ブランドの毀損や取引停止につながる可能性が高く、最悪の場合は倒産に至るケースもある。

本稿では、ランサムウェアをはじめとするサイバーインシデントの動向とトレンド、その対応策として注目が高まっているSOC(Security Operation Center)サービスの重要性、及びSOCサービスの選定ポイントについて、前編後編の2回にわたって確認していく。

  • (写真)左から デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ長 馬渡 邦明氏、同社 サイバーセキュリティソリューション事業部長 下里 和可奈氏

    左から デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ長 馬渡 邦明氏
    同社 サイバーセキュリティソリューション事業部長 下里 和可奈氏

ランサムウェアの被害は年々拡大、巧妙化・複雑化を続けるサイバー攻撃の脅威

あらゆる業界でDXやハイブリッドワークへの取り組みが進み、モバイル機器やクラウドサービスの業務利用が当たり前のものとなった現在、サイバーセキュリティ対策の領域にも大きな変化が訪れている。

サイバー攻撃はますます巧妙化・複雑化しているため、アンチウイルスやファイアウォールといった従来型のセキュリティ製品で社内ネットワークを守るだけでは、もはや十分な安全性を確保できない。EDR(エンドポイント検知・対応)やIDS(侵入検知システム)など、複数のセキュリティ製品を組み合わせた「多層防御」の体制を整えても、対応しきれない攻撃が増えている。こうした状況では、サイバー攻撃の予兆をリアルタイムで検知できる監視・運用体制と、万が一感染した場合に被害を最小限に抑える仕組みを構築することが早急な課題となっているのだ。

特に昨今では、企業・組織のシステムに侵入して機密データを暗号化し、データの復旧と引き換えに金銭を要求するランサムウェアを用いたサイバー攻撃が横行。警察庁が公表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害件数は2022年から増加傾向にあり、その後も高水準で推移している。

  • (図)ランサムウェアの被害件数が洪水順で推移している

「困った人を助け、困った人を生み出さず、世界中のデータトラブルを解決する」という企業理念のもと、データリカバリー事業・フォレンジクス事業、サイバーセキュリティ事業を展開し、年間5万件以上、累積58万件以上のデータインシデント対応を行ってきたデジタルデータソリューションにおいても、ランサムウェアに関連する相談は増加傾向にあるという。

同社のフォレンジクス事業部 法人セールスグループ長を務める馬渡 邦明氏は、ランサムウェアの最新傾向について次のように語る。

  • (写真)デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ長 馬渡 邦明氏

    デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ長 馬渡 邦明氏

「攻撃手法や攻撃対象も含めて、多様化している印象があります。VPNの脆弱性を突いたアプローチはもちろん、ダークウェブで公開されている認証情報、もしくはWebサーバーの設定ミスなどで意図せずに外部公開されてしまっている認証情報などを用いて侵入する手口、さらにはフィッシングメールで情報を搾取する手口も増えてきています。ランサムウェアをサービスとして提供する「RaaS」が横行したことで、特定の企業を狙い撃ちした標的型攻撃だけでなく、入手した認証情報を起点とした無差別型の攻撃も増加しています。その結果、被害は大企業にとどまらず、中小企業にも広がっていると感じています」(馬渡氏)

  • (図)VPNの脆弱性を突いた攻撃や、不正に公開されておいる認証情報を悪用するケースが多く見られる

実際、IPA(情報処理推進機構)が公表した「情報セキュリティ10大脅威」でも、ランサムウェアによる被害が5年連続で1位を維持しており、その攻撃範囲はエンタープライズ企業から中小企業にまで及んでいる。また、中小企業を含むサプライチェーンや委託先の脆弱性を狙った攻撃が2位に定着するなど、サイバー攻撃のターゲットが拡大している傾向が伺える。

  • (図)「ランサムウェアによる被害」が5年連続1位を維持し、大手企業から中小企業まで重大な脅威となっている​

入口対策・内部対策・出口対策——多層防御だけでは、すべてのサイバー攻撃への対応は困難

こうした状況のなか、企業のセキュリティ対策への意識も変化しつつある。

サイバー攻撃の対象となる領域は年々広がっている。企業のネットワークへの入口、業務用PCやサーバーといった内部の端末、ネットワークから外部への出口に加え、クラウド環境やVPN・リモートデスクトップなど社外から社内へアクセスする経路まで、企業が守るべき範囲は非常に多岐にわたる。こうした入口・内部・出口の各ポイントで対策を行い、複数のセキュリティ製品を組み合わせた「多層防御」の体制を整えることが、今や大前提となっている。

  • (図)企業が取り組むべきセキュリティ対策「多層防御」​

デジタルデータソリューション サイバーセキュリティソリューション事業部長の下里 和可奈氏は、各種規制やセキュリティガイドラインへの対応や、取引先や親会社からの要請により、セキュリティ対策を見直す流れが生まれていると現状を分析する。

「近年ではランサムウェアに感染した企業のニュースが報じられることも多くなり、各種規制や業界ごとのセキュリティガイドラインに対応するため、自主的にセキュリティ対策の強化に取り組む企業も増えていますが、サプライチェーンを狙った攻撃が増加していることもあり、取引先や親会社などからの要請で見直しを図るケースも多いと感じています」(下里氏)

  • (写真)デジタルデータソリューション株式会社 サイバーセキュリティソリューション事業部長 下里 和可奈氏

    デジタルデータソリューション株式会社 サイバーセキュリティソリューション事業部長 下里 和可奈氏

「これまでは、マルウェア感染した場合には自社内で解決を図っていたケースもあったのですが、ランサムウェアなど情報を搾取するサイバー攻撃が増加したことで、個人情報保護委員会への報告はもちろん、関係取引先・監査法人への原因説明と再発防止策の提示など、多方面への説明責任を問われるようになってきています」(下里氏)

ランサムウェアをはじめ、サイバー攻撃の巧妙化が進むなかで、入口対策・内部対策・出口対策を組み合わせた多層防御の対策だけでは、安全性を担保できなくなってきていると下里氏。製品だけに頼ったセキュリティ体制からの脱却を図る必要があると警鐘を鳴らす。

「当社の調査によると、ランサムウェアに感染した企業の多くはアンチウイルスやファイアウォール、UTMといった入口対策に偏重し、内部対策、出口対策といった侵入後の対応策が不十分であったという傾向が伺えます。VPNの脆弱性を悪用した攻撃や導入したセキュリティ製品の穴を突いた攻撃、さらに侵入後にセキュリティ製品を無効化する攻撃も増えてきており、製品ありきのセキュリティ対策には限界が生じています。このため、単にセキュリティ製品を導入するのではなく、各製品から攻撃の予兆を検知する監視・運用体制を構築することが重要となります」(下里氏)

  • (図)ランサムウェアに感染した企業の多くは、入口対策に偏り、内部・出口対策が不十分である​

実際に起こったランサムウェアの被害事例から見える、セキュリティ監視・運用体制構築の重要性

実際、ランサムウェアの被害事例では、侵入時の検知・対応が疎かになっていたことで被害が拡大したというケースは少なくない。インシデントレスポンスの最前線でランサムウェア被害の解決に携わってきた馬渡氏は、当社がフォレンジック調査・ダークウェブ(情報漏えい)調査に携わった2つの事例から監視・運用体制の必要性を説明する。

「ある製造業では、長期休暇中にランサムウェアに感染し、100万件以上の顧客データや会計データといった機密情報がダークウェブ上に公開されていることが確認できました。約1カ月間にわたり業務が停止しただけでなく、決算時期と重なったことで監査法人から高精度な説明結果を求められるなど、多くの被害が生じています。この会社では、VPNのアップデートも定期的に行っていましたが、オンラインでのリアルタイム更新ではなかったため、脆弱性情報が公開されてからの数日間でVPNの脆弱性を悪用したランサムウェアの侵入を許してしまいました」(馬渡氏)

  • (図)製造会社がランサムウェア被害を受け、100万件以上の機密データが漏えいし、ダークウェブに公開された​

「また、業務委託先のシステムがランサムウェアに感染し、そこからVPN経由で横展開してPC/サーバーを暗号化されたという食品関連企業の事例もあります。こちらはセキュリティ対策が不十分な業務委託先を狙ったサプライチェーン攻撃の一例で、委託元で導入していたセキュリティ製品も無効化され、被害が拡大。バックアップデータも含めて全データが暗号化され、約1カ月間の業務停止を余儀なくされました。これら2つの被害事例からは、セキュリティ製品を導入していても、監視・運用体制を確立できていないと被害に遭う可能性が高くなることが伺えます」(馬渡氏)

  • (図)業務委託先経由の侵入で全データが暗号化され、約1ヶ月間業務停止​

とはいえ、多層防御を構成するセキュリティ製品から出るすべてのログを監視し、攻撃の予兆を検知するのは容易なミッションではない。IT人材不足が深刻化する昨今、自社のIT部門だけでログの監視やセキュリティパッチの適用といった対応を行うことは難しく、外部ベンダーの利用も視野に入れる必要がある。そこで注目されているのが「SOC(Security Operation Center)」サービスとなる。

リアルタイムの監視・運用を可能とするSOCサービスが、ランサムウェア対策のラストピースとなる

サイバーセキュリティの専門チームが企業のネットワークやデバイスを監視し、サイバー攻撃の検出・分析、さらには対応策を提示するSOCサービスは、リアルタイムの防御を実現し、巧妙化したサイバー攻撃に対する迅速な対応を可能にする。

ランサムウェア攻撃が増加を続ける現在、数多くのセキュリティベンダーがSOCサービスを提供しているが、対応時間や、監視システムの品質、監視可能な製品・サービスはさまざまだ。サイバー攻撃被害が多発している昨今の状況を踏まえると、SOCサービスにおける脅威の検知・通知だけでなく、万が一攻撃を検知した後、フォレンジック調査などのインシデント対応を迅速に行える体制も不可欠である。

デジタルデータソリューションは、ランサムウェアや不正アクセスなど、累計2万件以上のサイバー攻撃被害の調査・事後対応を専門としてきた。こうしたインシデント対応の経験を活かし、同社は大企業・官公庁向けのSIEM SOCサービス「D-SOC」を提供している。

世界的に高い評価を得ているSIEMシステム「IBM Security® QRadar® SIEM」を採用し、経験豊富なエンジニアが24時間365日リアルタイムで導入企業の全システム・デバイスを監視。ランサムウェアをはじめ、巧妙化したサイバー攻撃の予兆を検知し、インシデントレベルに応じて対処・報告を行う。

  • (写真)SOCラボの様子

    SOCラボの様子

「D-SOC」は、PC・サーバー・ネットワーク・クラウドを包括的に監視し、相関分析で高精度の検知を実現するSIEM SOCサービスだが、スモールスタートで特定の領域から導入し、段階的に適用範囲を拡大していくことも可能だ。

同サービスの特徴は、セキュリティ監視・検知を行うアナリストと、サイバー攻撃の被害調査を行うフォレンジックエンジニア、データ復旧エンジニアが同一ラボ内で稼働している点だ。監視・検知からインシデント対応までがワンフロアで完結するため、万が一攻撃を検知した場合でも、100名体制の専門部隊による迅速な対応が可能となっている。

  • (図)D-SOCは100名体制の専門部隊による事後対応をパッケージで提供

後編となる第2回では、SOCサービスの役割や導入効果、自社に最適なサービスを見つけ出すためのポイントについて、サイバーインシデント対応の専門家の視点から解説する。監視体制の構築方法やインシデント発生時の対応体制など、実践的な観点から、これからの時代に求められるセキュリティ対策のあり方を探っていく。

関連リンク

D-SOC 公式サイト
デジタルデータソリューション株式会社 公式サイト

[PR]提供:デジタルデータソリューション