サイバー攻撃の巧妙化とともに生み出される新たな防御・対策ビジネス Part2

シスコシステムズは、セキュリティ専門家によって構成された脅威インテリジェンス リサーチ チーム「Cisco Talos」(以下、Talos)を有している。そのTalosのインシデント対応チームは、四半期ごとにインシデント対応の脅威レポートを発表している。その最新のレポートから、企業が講じるべき対策を見ていこう。

　Talosが発表した2024年第1四半期のインシデント対応の脅威レポートでは、ビジネスメール詐欺（BEC）が確認した脅威の中で最も多い結果となり、インシデント対応業務の約半数を占めたという。次いでランサムウェアが2位、コモディティローダーが3位となった。コモディティローダーとは悪意のあるソフトウェアを配布するために使用されるツールであり、2位のランサムウェアと密接に関連している脅威といえる。

「ビジネスメール詐欺は、日本でも急増しています。これまでは日本人が見ると不自然に感じる日本語のスパムメールが多くありましたが、生成系AIの登場によって日本人が読んでも違和感のない文面を作れるようになってきており、これまで以上に人の目では判断しにくい脅威になっています」と指摘するのは、シスコシステムズ セキュリティ事業 シニアSEマネージャー 中村光宏氏。

　こうしたビジネスメール詐欺に対するセキュリティ提案として、シスコシステムズではメールセキュリティソリューション「Cisco Secure Email」を提案している。Cisco Secure Emailでは包括的なメールへの保護を提供しており、例えば受信したメールのスパムチェックや、マルウェアの添付があった場合削除するといった一連の対応を実行する。またオプションで送信ドメイン認証技術「DMARC」（Domain-based Message Authentication, Reporting and Conformance）に対応している。

　DMARCについて、シスコシステムズ セキュリティ事業 パートナービジネス開発スペシャリスト 吉田勝彦氏は「これまでのEメールは性善説に基づいて運用されており、送信元が誰か、というのを基本的にノーチェックでやりとりしているためスパムメールが届いてしまいます。しかしDMARCはドメインや送信元、IPアドレスを基に送信元を定義し、信頼のおける送信元であることを確認できるプロトコルです。自分が正しい送信元であることを事前に宣言しておき、そこ以外からなりすましのメールが配信された場合は拒否してくださいというような『認証に成功したメールのみが配信される』という考え方を実現することで、メール分野の治安を維持します。Gmailなどをはじめとしたコンシューマーの分野も、このDMARCへの対応を求めており、DMARCを活用した認証はほぼ標準になっていくでしょう」と指摘する。

　Cisco Secure EmailはこのDMARCを組織のメール環境に適用する機能を有しており、今後標準になるドメイン認証にスムーズに対応できる。

　日本で多く見られた脅威として、コロナ禍で整備されたテレワーク環境に生じている脆弱性も指摘された。UTMに搭載されたVPN機能を活用し、拠点にアクセスする方法でテレワークを実施した企業がコロナ禍で急増したが、それ故にセキュリティ対策がしっかりとなされていないケースも少なくない。「IoTデバイスを管理するためのサーチエンジンがあるのですが、それを使うと特定メーカーのUTMが世界で何台使われていて、この弱点に当てはまる台数は何台あるといったような事柄を絞り込むことが可能です。攻撃者はこういった一般的な検索ツールを悪用し、攻撃の対象となり得るUTMへの侵入を試みます。警察庁が発表している『令和5年におけるサイバー空間をめぐる脅威の情勢等について』を見ると、ランサムウェアの感染経路として、VPN機器が63％を占めています。以前はメールを経由した侵入が多かったのですが、それをVPN機器が上回りトップとなっているのは、ご紹介したようなサーチエンジンにより脆弱性のある侵入経路が調べやすくなっていることが背景にあるでしょう」と吉田氏は指摘する。

　こうした脆弱性への対策として、一般的なのは逐次機器のバージョンアップを行うことだろう。一方で専任のシステム管理者が不在であるケースの多い中小企業などは対応が追いつかないことが多く、そこがセキュリティホールになり得る。そうした中小企業に対しては自動でバージョンアップを適用するクラウド管理型ソリューション「Cisco Meraki」シリーズがお薦めだという。またVPNを経由した侵入は、IDとパスワードが漏えいした結果行われるケースもある。シスコシステムズでは多要素認証とデバイス認証を組み合わせたアクセスセキュリティ「Cisco Duo」も提供しており、万が一IDやパスワードが盗まれた場合でも多要素認証によって不正ログインを防ぐことが可能になる。

「VPNを経由した攻撃は医療機関でも多くあります。医療機関のネットワークは外部から切り離されているため安全だと思われがちですが、医療機器をサポートするメーカーがVPNで接続するため、そこが狙われやすいのです。医療機関は人命を優先するため、ランサムウェア攻撃で身代金を要求する場合の成功率が高いことも、狙われやすい要因としてあるでしょう」と中村氏は指摘する。多様な人が出入りする教育機関や、DX推進により外部から侵入されやすくなった製造業も、攻撃者から狙われやすい業種として挙げられており、それぞれに適した対策が必要だ。

　ビジネスメール詐欺でも紹介したように、サイバー空間では国境を越えるのが容易だ。それ故にグローバルでは国家支援型のサイバー攻撃も増加傾向にあるという。犯罪目的ではなく政治的な目的を達成するために、他国の医療機関や鉄道といった重要インフラを狙った攻撃が増えているのだ。こうした国境を越える攻撃は日本がターゲットとなっているケースもあり、今後はより強固なセキュリティ対策が必要になるだろう。

「先日サンフランシスコでセキュリティ業界向けのカンファレンス『RSAカンファレンス』が実施されたのですが、当社はそこで『セキュリティクラウド構想』を打ち出し、単一のクラウドコンソールによって製品間の統合を行うプラットフォーム構築を進めていく方針を示しました。まだ統合はされていませんが、Cisco Security Cloud全体でイノベーションを推進していきます」と中村氏は展望を語った。こうした統合されたセキュリティを実現するに当たっては、もちろんAIの活用も前提としており、AIによって文脈を解釈して脅威を見抜くといった対策も進めていく。

DX推進などを契機に業務のデジタル化が進んだことで、ネットワーク機器やクラウドサービス、VPNなどを利用する企業が増えた。管理するべきIT資産が増加する一方、IT部門で把握しきれず、脆弱性が放置されたままのIT資産がサイバー攻撃の標的となってしまうケースは少なくない。サイバー攻撃から自社を守るためには、現状を俯瞰し“敵から見える自分を知る”ことが重要といえる。それを実現するのが、サイファーマが提供するデジタルリスク可視化プラットフォーム「DeTCT Starter」である。

　近年、我々の生活やビジネスシーンに浸透しつつあるAI。さまざまな場面でAIが活用されるようになってきたが、サイバーセキュリティの分野においても影響を与えていくようだ。2024年1月に英国国家サイバーセキュリティセンター（NCSC）が、今後2年間でAIがサイバー脅威にどのような影響を与えるかについて分析した評価レポート「The near-term impact of AI on the cyber threat」を公表している。

　NCSCはこのレポートで、AIは今後2年間でほぼ確実にサイバー攻撃の量を増加させるが、サイバー脅威に与える影響は均一的なものではないと評価した。サイバー攻撃者はすでにさまざまな場面でAIを使用しているが、特に偵察やフィッシングをはじめとするソーシャルエンジニアリングの能力を向上させ、防御側の検出を困難にするといった点で大きな影響を与えると指摘している。また、AIの支援によって未熟なサイバー攻撃者が不正アクセスや情報収集を容易に行えるようになるため、世界的なランサムウェアの脅威の拡大に寄与する可能性が高いと分析した。短期的には、AIを高度に活用したサイバー攻撃の実行は高い能力を持つ一部の国家アクターに限られるという見通しを示しつつも、2025年を目途により広い範囲でAIを用いたサイバー攻撃が広まると警鐘を鳴らしている。

　サイファーマ バイスプレジデント 館野裕介氏は「サイバー攻撃を防御する側にとって、攻撃者の偵察やソーシャルエンジニアリングの能力の向上は、特に注意すべき点となります。攻撃者はサイバー攻撃を行う前段階で、攻撃の手がかりを探すための偵察活動を実施します。攻撃者に脆弱性を突かれないためには、攻撃者と同じ視点で、自分たちが敵からどのように見えているのかを知って対策を図っていく必要があります。自社が抱えるIT資産の現状を把握し、今まで気付けていなかった脆弱性を明らかにすることで、適切な対処を施せるようになります。攻撃を受ける危険性を減らしていけるでしょう」と説明する。

　サイバー攻撃の対象となり得るIT資産や侵入経路を「Attack Surface」（攻撃対象領域）、中でもインターネット上に公開されているIT資産のことを「External Attack Surface」（外部攻撃対象領域）と呼ぶ。業務のデジタル化が進み、ネットワーク機器やクラウドサービス、VPNなどを利用する企業が増えたことで、External Attack Surfaceを狙った攻撃が拡大している。管理するべきIT資産の増加によって、IT部門で把握しきれていない外部公開IT資産が存在していたり、ソフトウェアのアップデートに対応できていない機器やシステムがあったりするなど、管理が行き届かず脆弱性が放置されたままとなり、サイバー攻撃の被害に遭うケースは少なくない。

　ほかにも、正規のIDとパスワードを利用して、正規のユーザーになりすまして不正侵入する攻撃も想定される。自社の社員のIDとパスワードがダークウェブなどアンダーグラウンドで取引されて流通している場合、漏えいしたIDとパスワードを把握して変更しない限り、正規のユーザーとしてシステムに不正に侵入されてしまうリスクがある。

　こうしたサイバーリスクから⾃社のIT資産を守るために、インターネット上に公開されているIT資産やシステムの把握とそれらに存在する脆弱性を管理する「External Attack Surface Management」（EASM）が重要視されている。「2023年5月29日に経済産業省が公表した『ASM導入ガイダンス※』の中でも、EASMは組織管理者の未把握の機器や意図しない設定ミスを攻撃者視点から発見することが可能で、脆弱性管理活動においてリスク低減の効果が期待できると示されています。もちろんサイバー空間における脅威情勢や自社のIT資産を取り巻く状況は常に変化しているため、一度きりで終わるのではなく、継続的なプロセスとして取り組んでいくことが大切です」と館野氏は話す。

※ガイダンスでは、EASMとAttack Surface（ASM）を同義として取り扱っている。

　前述したさまざまなサイバーリスクから企業の外部公開IT資産を継続的に守っていくためのEASMツールとして、サイファーマが提供しているのが「DeTCT Starter」だ。DeTCT Starterは、自社ドメインを登録するだけで、自社の外部公開IT資産とその潜在的な問題、攻撃に悪用される可能性のあるメールアドレスの有無などを調査し、その結果を提供するSaaSサービスである。

　DeTCT Starterは、ファイルサーバーやVPNサーバーをはじめ、組織がインターネット上に公開しているサーバーを特定し、その設定や構成情報などを提供する「アタックサーフェス調査」や、漏えいしている社員のメールアドレスやID／パスワードが把握できる「デジタルリスク調査」といった機能を備える。外部攻撃対象領域管理、データ侵害、SSL／TLS証明書の問題など表面化していない自社の問題点を自動で分析し、ダッシュボード上で可視化が可能だ。

「自社の外部公開IT資産の潜在的な脆弱性やリスクを簡単に把握できます。把握した問題に対して有効な対策や管理を行うことで、無駄なく効率的にセキュリティ対策を講じられるようになるでしょう」（館野氏）

　サイファーマ アライアンスマネージャー 谷田部 順氏は「DeTCT Starterは、組織ドメインを所有しているお客さまや外部公開IT資産を所持しているお客さまであれば、規模を問わず導入していただけます。安価な価格帯と組織ドメインを登録するだけで利用できるシンプルさによって、導入・運用のハードルが低いこともメリットです」と製品の魅力を語る。

　サイファーマは、2022年にダイワボウ情報システム（DIS）とディストリビューター契約を締結し、DeTCT Starterの日本国内販売における協業を開始している。「EASMは大企業のお客さまには浸透しているものの、中堅・中小企業のお客さまにはいまだに普及していないのが実情です。本来であれば、自社が攻撃者からどう狙われているのかという攻撃者の目線を持ち、脆弱性を把握しておく必要があります。DISさまと共に、EASMの普及を図っていくとともに、DeTCT Starterの販路拡大を目指して取り組みを進めていきます」と谷田部氏は意気込みを語った。

テクノロジーの発展とともに、サイバー攻撃の手法も進化している。攻撃者はありとあらゆる方法を用いてサイバー攻撃を仕掛けてくる。近年ではＡＩを活用したサイバー攻撃も展開されている。こうした巧妙化するサイバー攻撃に立ち向かっていくために、ＡＩを駆使した包括的な統合セキュリティソリューションを提供するのが、チェック・ポイント・ソフトウェア・テクノロジーズだ。

　サイバー攻撃は年々増加の一途をたどり、その手法も高度化している。チェック・ポイント・ソフトウェア・テクノロジーズによると、2023年はゼロデイ脆弱性を悪用したランサムウェア攻撃が増加したという。サイバー攻撃の主要な侵入経路としては、電子メールとWebが多く、電子メールは90％以上を占めた。ほかにも、ルーターやスイッチ、VPNなどエッジデバイスを対象とした侵入／流出が増えている。情報流出も深刻化しており、ダークウェブに情報が公開されてしまった日本企業の数は60社以上にも及んだ。

　自社を守っていかなければならない一方で、セキュリティを担当する人材の不足も問題となっている。加えて、高度化するサイバー攻撃に対応するため、数多くのセキュリティツールを導入している企業が多く、セキュリティ担当者の管理作業を煩雑化させているケースが見られる。脅威に合わせて、セキュリティツールを追加で導入していくという運用方法を行っている企業は少なくないが、今後も増え続けるであろう脅威に対して、従来通りの運用方法を継続するのは、担当者の業務負担などを考慮すると得策ではない。「セキュリティツールの管理が複雑になっている背景を受け、セキュリティ業界全体の流れとして、ソリューションを一つに統合するという動きが出てきています。自社のセキュリティを強固に保ちつつ、管理者の運用をシンプルにすることで業務負担の軽減につなげられます」と説明するのは、チェック・ポイント・ソフトウェア・テクノロジーズ サイバー・セキュリティ・オフィサー 卯城大士氏だ。

　こうした昨今のサイバーセキュリティのニーズに合わせて、同社では、ポイントソリューションを提供するのではなく、全てのシステム環境を統合的に保護するプラットフォーマーになることを新戦略として打ち出している。そしてそれを実現するために提供しているのが、統合セキュリティ管理プラットフォーム「Check Point Infinity Platform」だ。

「Check Point Infinity Platformのセキュリティの実効性を支えているのがAIです。脅威検知のほか、トラブルシューティングといった運用支援などさまざまな機能にAIを取り入れています」（卯城氏）

　Check Point Infinity Platformには、ネットワークを保護するAIベースの脅威防御機能である「Check Point Quantum」、防御優先のクラウドセキュリティ「Check Point CloudGuard」、エンドポイント／モバイル／電子メール＆コラボレーションツール／SaaSを含む包括的なワークスペースのセキュリティを実現する「Check Point Harmony」、マネージドセキュリティサービスやコンサルティング、XDR（Extended Detection and Response）機能を備えた「Check Point Infinity Core Services」などが含まれている。

　Check Point Infinity Platformには、脅威インテリジェンス「Infinity ThreatCloud AI」が活用されている。Infinity ThreatCloud AIは50以上のAIエンジンを含む90以上の脅威検知エンジンとビッグデータ脅威インテリジェンスを搭載しており、未知の攻撃やゼロデイフィッシング攻撃などのあらゆる脅威を阻止できる。

　Check Point Infinity Platformの製品群には、Infinity ThreatCloud AIを活用したさまざまなセキュリティ機能が搭載されている。例えば、「Check Point Harmony Endpoint」では、既知／未知を問わずフィッシングサイトをブロックする機能、「Check Point Harmony Email & Collaboration」では、ユーザーに届く前にフィッシングメールをブロックする機能、「Check Point Harmony Mobile」では、SMSやソーシャルメディアを経由するフィッシングをブロックする機能などがある。日常に潜むセキュリティリスクからユーザーを守り、セキュアな環境を提供する。「電子メールやWebにおける300のフィッシング指標をAIベースで分析し、未知のフィッシング攻撃をブロックしています。シグネチャーベースのテクノロジーに比べ、4倍より多くの攻撃をブロックできます」と卯城氏は話す。

　ほかにも、メールなどに添付された悪意のあるPDFファイルを特定してブロックする「Deep PDF」や、悪質な既知のIOCとの関連性をリアルタイムで分析してゼロデイ攻撃を防止する「ThreatCloud Graph」などAIを活用した機能が用意されている。

　Check Point Infinity Platformは、単一のポータルからポートフォリオ全体を管理できる。管理者にとって運用しやすいポイントの一つと言えるだろう。ネットワーク、クラウド、モバイル、エンドポイント、IoTデバイスを一元的に可視化することが可能だ。

　セキュリティ製品の独立調査機関であるMiercomが発表した「次世代ファイアウォール（NGFW）セキュリティ ベンチマーク 2024年版レポート」によると、ベンチマークテストにおいてゼロ+1デイマルウェア※のブロック率99.8％、そしてフィッシング防止率100％というスコアを達成したという結果が出ている。Check Point Infinity Platformの脅威防御性能によって、高いレベルのセキュリティ対策を講じることができる。

※ゼロ+1デイは、最初に検出されてから24時間以内の新しいマルウェアを指す。

　Check Point Infinity Platformに組み込まれたもう一つのAI機能が「Infinity AI Copilot」だ。生成AIの自然言語による対話能力を活用し、オペレーションやトラブルシューティングおよびインシデント対応といったセキュリティ上の分析などが行える。

「Infinity AI Copilotを利用することで、イベント分析やトラブルシューティングといったセキュリティ管理者のタスクに必要な時間を短縮し、作業を高速化できます。Infinity AI Copilotを起動して、日本語で『〇〇〇〇のトラブル情報を教えてください』や『このインシデントの内容を時系列で教えてください』などとプロンプトを投げかけるだけで、すぐに応答してくれます。セキュリティに関する運用経験が浅い担当者であっても、トラブル発生時の調査をスムーズに行うことが可能です」と卯城氏はアピールする。

　Infinity AI Copilotは現在プレビュー版を提供しており、ネットワークセキュリティとXDR／XPRから正式リリースをスタートし、2024年中にクラウド、エンドポイント、モバイルへの対応の拡大を予定している。

クラウドサービスの普及に伴って、ID/パスワードを狙ったサイバー攻撃の被害は年々増え続けている。そうした中で、クラウドサービスの安全な利用を促進する基盤として「Identity and Access Management」(IAM)が注目されている。企業で利用している社内アプリケーションやクラウドサービスなど、システムごとに設定された複数のIDの統合管理とアクセス権限の適切な管理を行うための仕組みだ。そんなIAMにAI技術を活用したソリューションを展開しているのが、RSA Securityだ。

　サイバー犯罪の検挙件数は増加の一途をたどり、いつ自社が被害に遭ってもおかしくない深刻な状況が続いている。昨今のサイバー攻撃の傾向について、RSA Security Chief Product and Technology Officer ジム テイラー氏は次のように話す。「サイバー攻撃は年々、増加傾向にあることは言うまでもありませんが、2024年は特に注意が必要です。今年は60カ国以上で国政選挙が相次いで行われます。それに伴い、ソーシャルメディアを使って誤った情報が拡散されたり、偽のWebサイトが出回ったり、選挙関係者を狙ったフィッシング詐欺といったサイバー攻撃が増えていくでしょう。それに加え、AIの技術が進化したことでビジネスメール詐欺をはじめとするディープフェイクを悪用した犯罪が増加するでしょう」

　近年、日本においてはテレワークの浸透やDXの推進などを契機に、クラウドサービスの導入が一気に加速した。クラウドサービスの普及は、業務効率化を後押しした一方で、サイバー攻撃を急増させた要因の一つにもなった。「クラウドサービスの増加に伴い、ID／パスワードを狙ったサイバー攻撃が増大しています。こうした被害を防ぐためには、クラウドサービス導入におけるID／パスワード認証や管理に対する適切な対応が求められます」（テイラー氏）

　そうした中で、注目されているのが、企業で利用している社内アプリケーションやクラウドサービスなど、システムごとに設定された複数のIDの統合管理とアクセス権限の適切な管理を行うための仕組み「Identity and Access Management」（IAM）だ。RSA Securityでは、セキュリティと利便性を兼ね備えたIAMソリューション「ID Plus」を提供している。

　同社は、2023年11月にダイワボウ情報システム（DIS）はディストリビューター契約を締結しており、日本国内における製品とサービスならびに顧客サポートに関する協業を開始している。

　ID Plusは、多要素認証（MFA）／シングルサインオン／ワンタイムパスワードなどに加え、リスク分析や管理の自動化を行い、あらゆる環境でのアプリケーション統合管理を実現するID管理プラットフォームだ。働くIT環境に合わせて、クラウド／オンプレミス／ハイブリッドのラインアップから選択し、ニーズの変化に合わせて柔軟な認証システムの導入や拡張が可能だ。ID認証強化や環境変化に伴う臨機応変な認証も、高いセキュリティを保持したままネットワーク・システム・データ保護ができる。

　ID Plusは、RSA独自のAI技術を活用したリスクベース認証機能「RSA Risk AI」やモバイル端末のセキュリティに特化した「RSA Mobile Lock」を追加で拡張することが可能だ。

　Risk AIはコンテキストベースの評価を行い、データ収集、デバイスマッチング、異常検知、行動分析などの技術とテクノロジーを活用して、アクセスの状況を総合的に判断する。「リアルタイムのリスクスコアリングによって異常を検出し、さまざまな脅威に対する情報を判断・評価します。『ステップアップの認証が必要なのかどうか』『セキュリティのポリシーをもっと強化するべきなのか』などの情報を簡単に知ることが可能です。また、Risk AIは学習し、その知識を将来のアクセスにも適用するため、より効果的なリスク管理を実現します」とRSA Security Japan APJ North Regional Director 八束啓文氏は説明する。

　RSA Mobile Lockは、モバイル端末における重大な脅威を自動検出し、安全が確認されるまでユーザーの認識機能を制限するソリューションだ。脅威発生時は、即座にユーザーとそのIT部門にアラートを発して、組織のシステムやデータへのアクセスを停止する役割を持つ。「脅威となるアクセスからモバイル端末・アプリを保護し、セキュリティ維持に努めることができます」（テイラー氏）

　同社では、プラグインでも非接続でも利用が可能な多機能認証装置（ハードウェアトークン）「DS100」も提供している。DS100は、FIDO認証とOTP認証の利点を組み合わせたパスワードレスな認証方法で、クラウドベースの認証機管理の効率化や、プッシュボタン式の簡単なOTP認証によるUX向上、高い費用対効果によるコスト削減を実現できる。

　グローバルで展開されている製品は、問い合わせなどのサポートに関して英語のみでの対応という場合も多い。その点については「日本語のデータシートの用意など、日本語での対応も行っています。UIに関しては、一部英語になっている箇所もありますが、こちらは順次日本語に対応していく予定となっています」とRSA Security Japan APJ North Marketing Manager 臼田正思氏は話す。

　サイバー攻撃者は今後も次々と新しい手法を開発し、サイバー犯罪に終わりはないともいわれている。「サイバーセキュリティの脅威は日々進化しており、セキュリティ対策を講じても、また新しい脅威が生まれるなど『いたちごっこ』のような状況は続いていくでしょう。さまざまなサイバー攻撃に対応するため、当社では製品の機能強化を常に行っており、今後も継続していきます。ID管理のセキュリティは、万全な対策を講じている企業さまから、これから強化していくという企業さままで、お客さまによってフェーズが異なる場合が多いでしょう。当社では、それぞれのお客さまのセキュリティレベルに合わせた製品を用意しており、幅広くカバーできると自負しております。DISさまとの協業もスタートしておりますので、気軽にご相談いただければと考えております」と臼田氏はアピールした。