サイバー攻撃が高度化・激化し、事後のインシデントレスポンスもセキュリティ対策における重要な取り組みの1つとなっている。インシデントレスポンスは、セキュリティ技術だけでなく経営的・組織的な対応も必要なことから、プロフェッショナルの知見を得ることが重要だ。インシデントレスポンスサービスを提供するKPMG FAS、 Google Cloud 、セキュアワークスからキーパーソンを招き、どのような対策・対応を採ればよいか、どのような技術や体制が必要か、経営者は何に備えるべきか、プロフェッショナルの視点で語ってもらった。
インシデント対応のプロフェッショナルが見るセキュリティトレンド
伊藤氏今回の座談会に参加していただいたのは、万が一のインシデントレスポンスを強力に支援し、迅速な解決や対策の強化へ導いてくれる3社の皆さんです。
遠藤氏KPMG FASは、プロフェッショナルファームであるKPMGのグループ組織として、国内外の企業のM&Aや事業再生、経営戦略の策定・実行、グループ経営/ガバナンス体制構築などをサポートしています。私が所属するフォレンジック部門では、主に不正調査やサイバーインシデント対応などを担っています。経営戦略や財務・会計などに長けていますので、技術支援だけでない事後のプレスリリースや取引先対応など、弁護士資格を持つメンバー等と共に対外的対応を含む幅広い支援を行えるところが強みの1つです。
内山氏私たちは Google Cloud が扱う法人向けセキュリティソリューションを管轄し、脅威インテリジェンス、SIEMやインシデントレスポンス、レメディエーションなどを含めた総合的なセキュリティソリューションを提供しています。2022年に米 Mandiant を統合し、強力な脅威インテリジェンスとインシデント対応能力を獲得しました。私たちは、 Mandiant 創業者の「最前線で攻撃に対峙して攻撃者を知り、それを防御態勢強化に生かす」ことが重要という考えを引き継ぎ、それを強みとしています。
河村氏セキュアワークスは、セキュリティ専業ベンダーとして20年以上の歴史があります。世界中に展開しているXDRを通じた日々のイベントデータに基づく、インシデントレスポンス部門による豊富な経験・知見、レッドチーム部門による実践的な攻撃の知見、総合的な知識と経験に基づいたセキュリティマネジメントの実現に向けたコンサルティング、20年以上の経験を有する脅威リサーチ部門という、4つの専門的なチームによる強力なセキュリティコンサルティングを強みとしています。グローバル・24時間365日体制で調査・報告・復旧まで一括した支援を提供します。
SentinelOne Japan株式会社
執行役社長
伊藤俊明氏
伊藤氏近ごろ経験したり注目したりしているセキュリティインシデントのトレンドについて教えてください。
河村氏私が注目しているのは、ランサムウェアの変化ですね。以前は、ファイルを暗号化して身代金を要求するという“目立つ”攻撃が中心でした。しかし最近はステルス性の高い攻撃が出現しています。データを暗号化せずに窃取し、公開することを示唆して身代金を要求するという手口です。
また、Microsoft 365のようなクラウドサービスのセキュリティにも注意が必要です。アカウントの権限を奪取すれば貴重なデータが盗り放題と、効率性がよいためです。多要素認証(MFA)をバイパスするような攻撃もありますから油断できません。
内山氏攻撃の高度化は見逃せません。攻撃者がベンダー/メーカーよりも深くソリューションを理解して、非常に高度な攻撃を仕掛ける事例が登場しています。あるセキュリティアプライアンスのゼロデイ攻撃では、パッチを当てても効果がないということさえありました。
遠藤氏海外子会社のセキュリティインシデントに注意したいですね。遠隔地でガバナンスが行き届いていないということもあって、被害状況の把握が難しくなりがちです。加えて現地当局への報告や情報公開、プレスリリースなどに悩む企業も増えています。また、当グループの監査法人では、監査人として顧客がサイバー攻撃を受けることを懸念しています。近年は被害や復旧にかかる金額が大きくなり、会計に影響してしまうようになったためです。
河村氏ビジネスメール詐欺(BEC)を受けて、取引の半年分にあたる金銭を振り込んでしまったという例もありますからね。
内山氏社長のふりをして電話で指示し、銀行で限度額まで借りさせて、数億円を振り込ませた例もありましたね。最近は生成AIを活用した音声合成も駆使されていますし、リアルタイム動画を生成してビデオ会議を悪用するケースも登場するとにらんでいます。
ヒューマンエラーを防ぐための経営戦略・体制強化・テクノロジー
伊藤氏さまざまなインシデントは、どうやって防げばよいのでしょうか。どのような対策が必要でしょうか。
セキュアワークス株式会社
セキュリティコンサルティング統括事業本部
インシデント対応事業部 事業部長
河村拓哉氏
河村氏インシデントを検知する技術・ソリューションの活用が非常に大事です。たとえば、ビジネスメール詐欺ならば不正なメール転送ルールの自動検知など、テクノロジーでいかにサポートできるかという点が重要となります。しかし、それだけでは十分ではなく、やはり最終的には“人”、つまりヒューマンエラーへの対処・対応が不可欠です。そのため、従業員の継続的なトレーニングも併せて行う必要があります。
遠藤氏被害企業では「対策が中途半端になっていた」「これからやろうと思っていた」というヒューマンエラーのようなケースが散見されます。例えば古いOSが稼働しているなど、本来はすぐに対処すべきところが見逃されていることも多いのです。これは、企業の中にあるITを把握できていないことが原因の1つです。特に日本のIT部門は立場が弱く、ITを適切に統括できていないという組織的な問題もあると思います。
内山氏セキュリティは経営課題として捉え、責任のオーナーシップを見直すべきだと考えています。例えばセキュリティパッチのように、平時にセキュリティ対策を定着させることは最優先でやらなければならない対策です。それらの責任がセキュリティ部門ではなくシステムやデータを扱う事業部にあるとすれば、自分ごととしてセキュリティを考えられるようになります。経営層がそうしたステアリングを握ることが必要なのです。結果、経営層がリスク管理の観点からサイバー攻撃を事前に想定し、平時から適切なセキュリティ体制を構築することが重要であると言えます。
伊藤氏インシデントレスポンスについて、企業はどんな課題や悩みを抱えているのでしょうか。
株式会社KPMG FAS
執行役員パートナー
遠藤正樹氏
遠藤氏セキュリティ担当ではなくIT担当者が対応する組織が多いように思います。担当者が精神的・体力的に疲弊し、通常のIT運用に影響を及ぼすばかりか、ついには体調を崩して休職してしまうというケースすらあります。
河村氏インシデントレスポンスのスキルを持った技術者は少なく、担当者が追い詰められてしまうこともありますね。外部リソースを適切に活用できる準備が整っていないのも原因だと思います。
また、直接的に攻撃を受けた従業員やIT担当者を組織が過度に責めてしまうこともあります。協力してインシデント対応にあたる体制・プロセスを構築することが重要です。
内山氏技術的な対策について難しいことはありません。適切なEDRの導入は前提として、あとは境界防御やパッチ管理、監視といった基本的な対策を講じていれば、容易に侵入されたり攻撃を横展開されたりしない状態を作ることができます。
高度なセキュリティ人材が必要ですが、確保は難しいことが問題です。どこまで内製すべきか、どこからアウトソーシングすべきかという見極めが必要です。信頼できるパートナーと協力体制を構築し、全社的な訓練を実施して組織力を高めます。さらに経営者がリーダーシップを発揮することが、インシデントレスポンスの成功につながります。企業がリスク管理の一環として、平時からインシデントレスポンスの体制を強化することが、緊急時に迅速で的確な対応ができる鍵となります。
遠藤氏信頼できるセキュリティパートナーが複数いると心強いですね。最近はインシデントが増えており、依頼を受けてもリソース不足で対応しきれないというケースもあるためです。
伊藤氏経営視点での組織的な対応も課題の1つですね。
遠藤氏情報統制は大きな課題です。営業担当者が得意先から強く聞かれて、間違った情報を伝えてしまうこともあります。
内山氏業務が止まってしまうので、現場も誠心誠意対応してできるかぎりの情報を提供しようとするのです。緘口令を敷いて、何をどこまで公表すべきか一元管理しなければなりません。
迅速なインシデントレスポンスに欠かせない技術と体制
伊藤氏インシデントレスポンスはどのように実施するのでしょうか、またどのような技術やツールが必要ですか。
河村氏エンドポイント単位の調査、つまり“点”のアプローチだけでは不十分であるため、組織全体を“面”として捉えた調査が必要です。その観点から、XDRは面をカバーする上で重要な技術だと考えています。一方で、SentinelOneのEDRはエンドポイント単位の調査において、タイムラインの分かりやすい分析や直感的なUIが特徴であり、我々のような専門家だけでなく、一般の運用者でも使いやすいと評価しています。また、レジストリなどの保全作業を遠隔から簡単にできるので、非常にスピーディーに対応ができます。
内山氏アンチウイルスツールのようなEPPしかない環境で、細かな調査を行うのは難しいですね。調査のためのツールも、リモートアクセスに対応していることが望ましいです。国内でも数十拠点を有する企業などで、すべてを1つ1つ回るのは困難ですから。
遠藤氏EDRの導入されていないインシデントレスポンスは、非常にやっかいですね。システム構成図やドキュメントから1つ1つ情報を精査していかなければならないため、手間も時間もかかります。あるユーザーではEDRは導入しているものの、そのEDRがレガシーOSに対応していないため、部分的にしかEDRが導入されてなく、セキュリティリスクが高いと感じました。
SentinelOne Japan株式会社
技術統括
富田隆一氏
富田氏面で調査するという点で、カバレッジは重要ですね。最近はクラウド管理のEDRが増えていますが、閉域網に対応できないことが課題の1つとなっています。SentinelOneはマルチプラットフォーム対応のうえ、閉域網にも対応できるなどカバレッジが広いことが高く評価されるポイントです。
河村氏当社のセキュリティアナリストもSentinelOneに助けられています。UIがわかりやすく、プロフェッショナルにも使いやすいのです。一分一秒が重要な状況ですから、リモート操作にも対応し、必要な情報をすばやく集めて分析できるSentinelOneは、非常に優秀なインシデントレスポンスツールとも言えます。
内山氏SentinelOneが提供する緊急対応に利用できる調査向けのライセンスは、影響を最小限に抑えるために大きな力を発揮しますね。調査に必要だとしてもユーザーの購入が必要なツールの場合、それだけで対応が遅れてしまいます。緊急事態をすばやく乗り切ることができ、その後の対策を強化するのにも役立ちますから、頼もしいソリューションだと考えています。
伊藤氏SentinelOneはログの管理・保全が特長の1つですが、どれくらいの期間で保持しておくべきでしょうか。
遠藤氏インシデントを早期に検知できた場合には、“事象発生時点”から1か月分程度の情報を分析すればある程度の調査は実施可能です。ただし、検知能力が低い場合は事象発覚のかなり前から侵入・攻撃を受けている可能性があるため、少なくとも数か月分、理想的には12か月分のログが保全されていることが望ましいです。
グーグル・クラウド・ジャパン合同会社
Google Cloud Security 事業本部 本部長
内山純一郎氏
内山氏当社でも12か月を推奨しており、 Google Cloud 環境では少なくとも1年保管しておくことを標準としています。SIEM 機能などを提供する Google Security Operations では、12か月のホットデータ保持がデフォルトですが、中には3年間は保管しているユーザーもいます。
河村氏ログの種類にもよりますが、やはり12か月は目安の1つですね。ステルス型のランサムウェアについて述べましたが、当該デバイスはリストアしてしまったもののEDRにログが保管されていたことで発覚・分析できたという例もありました。
富田氏ログデータはアーカイブ、つまりコールドデータとして保管しておいてもよいのでしょうか。
内山氏分析できるようにするまでに時間がかかってしまうのが問題です。分析までに2か月かかってしまったという例もあります。
河村氏すぐに調査するためのログと考えれば、ホットデータでなければ十分と言えません。コストが高額になってしまうというのであれば、必要なポイントを絞ることも検討できます。
内山氏とはいえ網羅性は重要ですから、よく考えたいところですね。
遠藤氏平時のログ分析も、インシデントの検知には欠かせない作業の1つです。NISC(内閣サイバーセキュリティセンター)が今年の8月に「イベントログと脅威検知のためのベストプラクティス(Best practice for event logging and threat detection)」という国際文書に署名していますので、参考にしてほしいですね。
インシデントに強い企業になるための施策と体制作り
伊藤氏セキュリティ対策・インシデントレスポンスを強化したい企業に向けて、アドバイスをおねがいします。
内山氏経営者は、セキュリティをリスク管理の問題、経営課題として捉えてください。さまざまな状況のリスクシナリオを想定し、サイバー攻撃をそれらの1つとして位置づけることが重要です。ビジネスインパクトの問題なのです。
EDRは非常に優秀なセキュリティツールであり、導入しなければならない最低限のセキュリティ対策です。さらに、その先のリスク管理を経営者がどう考えていくかも重要です。意志決定スピードを上げるために、リーダーシップを発揮してほしいですね。
遠藤氏自社にできるところから着手することが望ましいですね。優先順位を付けて、段階的な対応が必要です。そのうえでプロフェッショナルの助けが必要とあれば、外部ベンダーを積極的に活用したいところです。
河村氏的確なインシデントレスポンスには、日ごろの準備が欠かせません。多要素認証やID管理、特権管理などの基本的な対応は必須として、EDRやバックアップなどでセキュリティを強化することが必要です。ある調査によれば、ランサムウェアインシデント1回の対応で2,300万円の費用がかかると言われています。機会損失まで含めれば、先行投資して起こさない努力をしたほうがよいのではないでしょうか。
伊藤氏SentinelOneは優秀なツールという自負がありますが、それだけで100%のセキュリティ対策・インシデント対応ができるわけではありません。だからこそ、今回参加していただいたようなセキュリティプロフェッショナルとのパートナーシップが、ユーザーにとっても非常に重要なのです。
当社は、各パートナーと協力体制を敷いて、ユーザーのインシデントレスポンス強化を支援していきます。読者のみなさんにも彼らのようなプロフェッショナルのサービスを上手に活用しながら、SentinelOneを使いこなし、インシデントに強い組織を作ってほしいですね。
関連リンク
関連記事