ニュース

IPA、JPCERT/CC、経団連セキュリティ懇親会座長、日本マイクロソフトCSAがセキュリティを語る

~マイクロソフトセキュリティフォーラム有識者パネルディスカッション

 日本マイクロソフトは14日、2月1日から3月18日までの「サイバーセキュリティ月間」の一環として、ウェスティンホテル東京で「マイクロソフトセキュリティフォーラム」を開催。「ビジネスを加速するサイバーセキュリティ戦略」のタイトルでパネルディスカッションが行われた。

 出席したのは、株式会社日立製作所上席研究員(ICT政策)で、日本経済団体連合会(経団連)のサイバーセキュリティに関する懇談会の座長を3年に渡って務める梶浦敏範氏、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)分析センター長の椎木孝斉氏、独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンター情報セキュリティ技術ラボラトリー調査役の松坂志氏。この15日に第13回「情報セキュリティ文化賞」を受賞した日本マイクロソフト株式会社技術統括室チーフセキュリティアドバイザーの高橋正和氏が司会を務めた。

株式会社日立製作所上席研究員(ICT政策)の梶浦敏範氏
一般社団法人JPCERTコーディネーションセンター経営企画室分析センター長の椎木孝斉氏
独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー調査役の松坂志氏
日本マイクロソフト技術統括室チーフセキュリティアドバイザーの高橋正和氏

 IPAの松坂氏は、セキュリティ有識者100名の投票で制定した個人向けと組織向けの「情報セキュリティ10大脅威 2017」のランキングを発表。2位に入ったランサムウェア被害は、「企業にとって非常にダメージが大きい」とした。さらに組織向けランキングで1位となった標的型攻撃について「2012年から継続して3位以内にランクインしている」という。

 標的型攻撃メールの情報提供件数は、「企業から情報が提供された不審メールのうち、標的型と見なしたもの」の数となっているため、総数はそれほど多くない。しかし、直接の業務担当者であれば開かざるを得ないような悪質かつ巧妙なメールも多い。添付ファイル名を長くすることで拡張子を見えにくくする手法も使われているという。

サイバー情報共有イニシアティブ(J-CSIP)に寄せられた標的型メールの情報提供件数
求職を装ったメールに添付された履歴書。人事担当は開かざるを得ない
製品の故障に関するクレームのメール。担当者は開かないわけに行かない
本文で転送先に明示しない転送依頼メール。送信先を気にする良心につけ込みZIPを開かせる

 一方、JPCERT/CCによる2016年4~12月のインシデント対応は、報告件数が9ヶ月で1万1859件で、1日あたり約30件、調整が必要な案件数は7636件で、1日あたり約20件となった。国内に関連するものだけでも多くインシデントが起きていることが分かる。カテゴリー別には、スキャンが最多の44.8%。ウェブサイトの改ざんが21.5%、フィッシングが15.2%で続く。標的型攻撃は0.4%と少ない。

 これまでJPCERT/CCが対応した日本が標的の攻撃事例では、2015年後半から大規模な攻撃があった「Emdivi」など、さまざまなマルウェアがあった。JPCERT/CCでは攻撃グループを推測しているが、「複数の攻撃グループが数年にわたって執拗に日本の組織を狙い続けている」(椎木氏)という。「2016年に入り、攻撃が落ち着いていると思っていた時期もあったが、そうではなかった。少し前に新しい動きも出ており、引き続き対応を続けている」という。

 インシデントへの対応については、外部組織からの連絡と自組織での発見が、ほぼ拮抗している。この数字は米FireEyeによるグローバルを対象とした2016年調査のもので、2015年の同調査では、「ほぼ3:7」(椎木氏)だったとのこと。椎木氏は「肌感覚からすると、3:7かそれ以上で、外部連絡でインシデント対応が始まるケースが日本ではまだまだ多い」とした。日本マイクロソフトの高橋氏は、「米NISTのセキュリティフレームワーク実装が企業で進んでおり、アメリカのクラウドベンダーや政府機関では、侵入されたものを見つける動きが出ていることの表れではないか」との見解を示した。

 標的型攻撃に関するJPCERT/CCからの連絡件数は11組織で、2015年からは大幅減となった。これについて椎木氏は、「2015年は極端に多かったが、それでも少ない。攻撃が少なくなっている、あるいは自組織での発見能力が高くなったとの良い兆候かもしれないが、標的型攻撃がより見つけにくいものになり、潜んでしまっている状況を懸念している」とした。

 一般的な標的型攻撃では、巧妙なメールによりPCが一次感染をした後、C2サーバーに接続して攻撃者から指令を受け取り、さらにさまざまなツールをダウンロード。Windowsのコマンドなども駆使して、自身が感染した端末やネットワークの情報を収集する。その後、ドメインネットワークのアドミンなど権限の高いアカウント情報を接収して、ネットワークに感染を拡大、すべて掌握する必要な権限を入手したら、目的としている情報を持ち出す。それを終えると、攻撃の痕跡を消すだけでなく、潜伏用の専用のマルウェアやルートキットが仕込まれるという。「活性度が低く、週、月一度のみの通信など非常にやっかいなもの」(椎木氏)とのことだ。

 梶浦氏は、「経団連では、主に重要インフラにおけるサイバーセキュリティに関して議論を進めている。3年前の議論を始めた動機は、単なる情報流出にとどまらず、例えば、ダムが破壊されるなど、重要インフラが攻撃で止まれば、経済社会に甚大な影響が及ぶこと」とした。そして「関西国際空港やアクアラインを作った国交省も、ICT活用に舵を切っている。インフラとしてのIoTの進展など、ICTの活用で世界に先駆けた「超スマート社会」の実現を目指す“Society 5.0”を背景に、サイバーセキュリティへの関心は高まっている。こういう意味から経済成長から安全保障までサイバーセキュリティに関わっている」とした。

 経団連のサイバーセキュリティに関する懇談会では、「30社の重要インフラを含む意識高い企業に集まってもらい、重要インフラへの攻撃を防ぎ、被害をいかに最小限にするかを焦点にして議論を進めている」とのことだ。

 議論を進めるこの3年には、年金機構からの情報漏えいや、ウクライナでの大規模停電、バングラディシュ中央銀行からの数十億ドルの不正送金といったサイバーセキュリティ事案があった。政府では重要インフラとして13分野を指定しているが、「ひもとくと、すべて民間がフロントに立っている。政府で声を上げてもダメで、重要インフラの関係企業に対しては、経営者が(サイバーセキュリティを)意識として持って欲しいとのメッセージを出した」とのことだ。

 マイクロソフトの高橋氏は、「塀で囲ってインターネットとイントラネットを分けるという、これまでのセキュリティ対策アーキテクチャが崩れてしまった」として、「より高性能を、との足し算だけでなく、世界でのセキュリティでもトレンドなっているのが多層防御の考え方」とした。

 IPAの標的型攻撃に対するシステム設計ガイドでも、こうした考え方に基づいている。松坂氏は「ある程度感染は仕方ない、侵入されてからが勝負。外の壁を高くする、侵入されにくくするのは重要だが、それでも侵入してきたものに多くのリソースを割くべき」とした。

 高橋氏は「侵入前提との言葉が、侵入されても対処すればいいと一部で誤解をされている。事案発生から何日前に侵入されているかの中央値が240日で、その間をいかに減らすかがテーマになる」とした。

 松坂氏は、米国の国家安全保障局などの政府機関が企業や学術機関と協力してインターネットセキュリティの標準化に取り組む団体であるCIS(Center for internet security)が、情報セキュリティ対策の基礎を記した文書「The CIS Critical Security Controls for Effective Cyber Defense」に触れた。ここでは対策が20項目にまとめられているが、このうち最低限の考え方をCISがさらにまとめたものが、「The Cyber Hygiene Campaign」となる。ここでは、対策が5つの項目にまとめられている。その最初が「Count」で、何を守るかを知るところから始めることを指している。

 「棚卸しできていない在庫データは信用できないのと同じで、ハードとソフトのインベントリができておらず、PCの1台1台を認識できなければ、セキュリティ対策もできない。これができてはじめて、対策が軌道に乗る」(高橋氏)とした。

 JPCERT/CCの椎木氏は、ウイルス対策では、初期化するという対策が当初取られていた。しかし、標的型攻撃を前提に考えると、そういう対策は有効でなく、攻撃そのものからもいろいろなことを知り、再度攻撃に備えることが重要」とし、後からでも調査できるログなどの証跡を残すことを推奨している」という。「侵害の典型はドメインコントローラーが侵害されることなので、外部のファイアウォールやプロキシだけでなく、そうしたログは残しておくべき」だという。

 企業でのインシデント対策では、ログを取っていても、その見方が分からない、データが多すぎて最新のものが記録されていない、といった場合もあるという。マイクロソフトの高橋氏は「正常なログをとらえてないと、いきなりログを見ても異常な箇所が分からない。普段からログを把握し、自分たちが必要なログがきちんと取れているか、シナリオを持って見る必要がある」とした。

 一方、梶原氏は、人材の重要性を説いた。「重要インフラに携わる企業では、(セキュリティ技術者に)キャリアアップやステップアップの道を作り、予算も充当しなければならない。企業を外から見て、株主取引先からサイバーセキュリティをやって、人材も投入しているという世界が必要。その世界に入る若い技術者を育てることが、ビジネスを加速する戦略になる。こうすれば株価が上がる、取引先が増えることにつながらないと投資もできないが、社会全体で人材を育て活用し、社会の安全安心を高めていくという議論をしている」と述べた。

 そして、「フィンテックやIoTの流れは情報系でなく基幹系になっており、経営基盤に直接関わるものになり、経常利益や売り上げに影響するようになる。今後は、そういう視点で話すことができ、トップからの指示を的確に伝えて現場を動かせるような人材が必要になる」とし、さらに「企業内でサイバーセキュリティの位置付けを挙げていけることも重要」と語った。