近年のサイバー攻撃の現状と対策を知る「Security Innovation Conference」講演レポートPR 〜DX・AI時代のセキュリティ対策〜
IT・情報セキュリティ
目次
企業におけるDXへの取り組みが進み、ChatGPTに代表されるAIの活用が話題になる昨今、ビジネスにおける情報資産の価値はますます高まり、それを守るセキュリティ対策の重要性も増しています。
2023年12月14日に開催されたカンファレンス「Security Innovation Conference 〜DX・AI時代のセキュリティ対策〜」では、有識者や業界のリーディングカンパニーを迎え、DX・AI時代に自社の情報資産を守りながら最新技術を活用して競争力を強化するために知っておくべき「セキュリティの最新動向」や「システム導入・運用時にセキュリティ面で注意すること」、「セキュリティ体制のあり方」、「実際の取り組み事例」などを紹介しました。
ランサムに至る病、そして
SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻伸弘氏は、ランサムウェアの攻撃者を数年間観察し、傾向と変化を見続けてきた経験から「攻撃者の現状」「対処方法」を紹介しました。
ランサムウェア攻撃に代表される、身代金を要求するサイバー攻撃の主な手口は、3つに分類されるといいます。また、ランサムウェア攻撃者の近年の傾向として、「ランサム攻撃を行うためのインフラの提供者」や「ランサムウェア攻撃の対象となり得る侵入口を探し回って仕入れるブローカー」と「それらを利用し攻撃を実行するアフィリエイト」など、分業・専業化が進んでいることも解説しました。
辻氏は、ランサムウェア対策の第一歩と心構えとして、以下のように述べました。 「まず自社が有するソフトウェアや機器などのIT資産の実態を踏まえ、攻撃者は何を考えどう攻撃してくるか、攻撃者が欲しい情報はどこにあるのかを知り、正しく怖がったうえで、自分たちにできる現実解を選択していくことがいま、企業には求められている」
拡大するサイバー犯罪から身を守るために組織が取るべき方法
株式会社日本HP エンタープライズ営業統括 営業戦略部 プログラムマネージャー 大津山隆氏は、サイバー犯罪への対策として、組織が取り組むべきエンドポイントセキュリティについて紹介しました。
同社は20年以上にわたって、エンドポイントセキュリティに取り組んでおり、製品設計〜流通時〜廃棄時まで、PC等の製品ライフサイクル全体におけるサイバーリスクを管理することで、経済安全保障の観点から注目されているサプライチェーンセキュリティ対策に力を入れているといいます。
大津山氏は近年のサイバーセキュリティについて、「サイバー犯罪はエコシステム化しており、資金やノウハウがなくとも高度な攻撃が実行できるようになっている。攻撃を完全に防ぐことはできないという前提で対策を考えなければいけない」と解説しました。
同社のソフトウェアソリューションでは、マルウェアやウイルスに感染した際に、アプリケーションをあらかじめ隔離し、封じ込めておくことでPCを保護できるといいます。また、同社のPCは最新のサイバーレジリエンスのガイドラインに準拠しているため、専門家がいない組織でも数年先のサイバー攻撃を見据えた一定レベルの安全を確保できると紹介しました。
IPA10大脅威の選考会メンバーの視点から見る 経営者が理解すべき、セキュリティ対策の原理・原則とは?
IPA10大脅威の選考会メンバーである、タニウム合同会社 Chief IT Architect、CISSP、公認情報システム監査人 楢原盛史氏は、サイバー攻撃のプロセスを紹介したうえで、先進的な組織が取り組むセキュリティ対策を解説しました。
大手企業の組織には非管理端末(PCやサーバー)が約20%存在しており、また、OS/アプリに脆弱性をもつPCは約40%あるといいます。攻撃者が、非管理かつ脆弱性をもった端末にアクセスし、管理者権限を管理しているアクティブディレクトリを奪うまでに要する時間は1時間程度だといわれます。そのため、先進的な組織では、守るべきIT資産の特定とソフトウェアの脆弱性を是正する「サイバー・ハイジーン」が、最優先で取り組むべきセキュリティ対策の原理・原則として取り組まれていると説明しました。
タニウムのソリューションでは、各PCに1つのソフトウェアをインストールするだけで、複数の端末のリアルタイムかつ網羅的な可視化と制御ができるため、IT管理者の業務工数の大幅な削減が期待できると紹介しました。
情報セキュリティ10大脅威から見る企業が取り組むべきセキュリティ対策とは
HENNGE株式会社 Business Development Section Manager 圓一樹氏は、「組織における情報セキュリティ10大脅威(※1)」のTOP3がマルウェア関連の被害であることに言及し、企業の取り組むべき対策を紹介しました。
警視庁が公表する「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について(※2)」によると、ランサムウェアに感染する経路は、①VPN機器、②リモートデスクトップ、③メールが大半であるという結果がでています。
圓氏は、この感染経路の対策として有効なのが、多要素認証等によるゼロトラストモデルへの移行と不審なメールへの対策だといいます。
同社の「HENNGE One」は、様々なクラウドサービスを利用する際に、必要なセキュリティ対策をオールインワンで提供。ゼロトラストモデルのセキュリティ対策を提供している他、メールセキュリティ対策も備えているといいます。
※1 出典:IPA情報セキュリティ10大脅威2023
※2 出典:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について(警視庁)
情報資産をどう守る?
サイボウズのセキュリティ対策と担当者に求められる能力とは
サイボウズ株式会社 セキュリティ室の松本純氏は、同室の活動内容とセキュリティ担当者として必要な能力について講演しました。
松本氏が所属するセキュリティ室のCy-SIRTでは、「セキュリティに関する専門知識に基づき各事業部で行うセキュリティ施策を支援する」という目標のもと、①インシデント対応支援、②セキュリティ情報収集、③外部機関との連携、④セキュリティ教育、⑤セキュリティ相談会議運営、⑥セキュリティマネジメントの6つのミッションを担っているといいます。
こうした日々のセキュリティ業務の取り組みを踏まえ、セキュリティ担当者に必要なものについて次のように述べました。
「まず大切なのは、事業内容/リスクの理解。そのためには、社内・社外とコミュニケーションを取る必要がある。また、技術や法律への理解も必要で、それらは日々アップデートされるため、継続的な情報収集や学習も重要となる。しかし、1人で勉強するのは大変で、コミュニティ活動へ参加すれば効率よく情報収集できるうえ、同じ課題や悩みを持つ仲間と切磋琢磨できる」
不正利用対策と信頼性向上がビジネスを成長させる「デジタル本人確認」
株式会社TRUSTDOCK 代表取締役CEO 千葉孝浩氏は、法規制への対応や、身分証明書偽造等の対策となる本人確認の手法として、需要がますます高まる「eKYC(デジタル本人確認)」について紹介しました。
千葉氏は法規制に基づく身元確認が必要な手続・取引を一覧で紹介。eKYC・デジタルIDのプラットフォームを提供しているTRUSTDOCKでは、マイナンバーカードのICチップに搭載された電子証明書や身分証専用カメラ、反社チェックなど多数のAPI連携も可能で、様々な法規制に対応していると述べました。
進化論から考えるDXとセキュリティの実現
~企業が進化するための考え方と、そこに必要なセキュリティとは~
富士通株式会社 グローバルマーケティング本部 マネージャー 斎藤建氏は、注意すべきサイバー攻撃例を基に、「ゼロトラスト化」による対策の重要性を解説しました。
斎藤氏によると、近ごろ、SNS等で容姿端麗な人物から届いたメッセージによってマルウェアに感染する「ハニートラップ攻撃」が急増しているといいます。また、古くから用いられるランサムウェア攻撃のほか、攻撃者しか知らない脆弱性を狙う「高度なサイバー攻撃」についても、引き続き注意が必要です。
一般に利用されるサービスは膨大なプログラムで構成されており、攻撃者は、そのプログラムに潜在する様々な脆弱性を狙い、侵入を試みてくるため完全に防ぐことは困難です。そのため、たとえ侵入されても被害の拡大を防止する「ゼロトラスト化」による対策が重要です。
富士通では、脆弱性につながる情報を収集して分析し、各社が攻撃者から狙いにくい状態を維持するために必要な改善案の提示からセキュリティ構築・運用まで一気通貫で実施できるといいます。
同部署の小林芳行氏は、世の中にどのような脅威があるのか、自社にどのようなセキュリティリスクがあるのかについて分析・評価する「セキュリティリスクレイティングサービス SecurityScorecard」、日常のセキュリティ相談からインシデント対応支援まで行う「アドバイザリサービス」など、総合的なセキュリティ対策をサポートする富士通サービスについて紹介しました。
日清食品グループがDX推進の前提とするサイバーセキュリティ対策
日清食品ホールディングス 執行役員CIO グループ情報責任者 成田敏博氏は、独自の生成AIサービス「NISSIN AI-chat powered by GPT-4」の活用をはじめ全社的なDXに取り組む同社において、現在進めているサイバーセキュリティ対策の取り組みを紹介しました。
同社では、経済産業省が掲げる「サイバーセキュリティ経営ガイドライン」に沿って、自社の現状を整理し、2025年度に向けた5ヶ年の中期セキュリティ対応計画を策定。対応施策の優先度や到達レベルの計画を定めて、段階的に対応を進めているといいます。
なかでも特に重視しているのがランサムウェア対策であり、1ステップ目で外部侵入の即時検知と被害発生前の「封じ込め」を行い、2ステップ目で各組織におけるセキュリティリスクや対策の状況を可視化し、継続して評価・管理をするといった2段階の対策を実施しています。
さらに成田氏は、セキュリティ強化には従業員の意識を高めていく取り組みも重要だといいます。同社では、eラーニングの受講、標的型攻撃メール訓練、新卒やエグゼクティブなど対象者別の特別研修、その他様々な手法による注意喚起など、あらゆる切り口から実効性のある形で啓発活動を実施していると説明しました。
その他、東京海上日動火災保険株式会社による「日本企業が直面するサイバーリスクの実態とそのマネジメントについて」、デジタル・インフォメーション・テクノロジー株式会社 による「実害をゼロに近づけるサイバーセキュリティ対策とは」と題する講演が行われました。
カンファレンス総括
DXが進む昨今において、利便性が高まる半面、ランサムウェア攻撃や内部不正による情報漏洩、サプライチェーン攻撃などの様々な被害も増えており、企業におけるセキュリティ対策はますます重視されています。
日々高度化するセキュリティ攻撃に対応するには、自社が置かれている状況の把握とそれに対する適切な防御策が必要です。自社の情報資産を守りながら競争力を強化するためにも、最新技術を活用してみてはいかがでしょうか。