5月上旬のWannaCry騒動は、サイバー攻撃の脅威をあらためて見せつけると同時に、企業のセキュリティ対策の課題や問題を浮き彫りにした。セキュリティの脅威が常態化する現在、企業はそれにどう立ち向かうべきか。セキュリティ分野で長い経験をもつラックの長谷川長一氏とJBCCの川口哲成氏に語り合っていただいた。
長谷川 長一氏
株式会社ラック
事業戦略推進室
理事
・・・・・・・・
川口 哲成氏
JBCC株式会社
セキュリティサービス事業部
セキュリティ推進本部
セキュリティアドバイザー
・・・・・・・・
WannaCryの「から騒ぎ」に思う
IS magazine(以下、IS) WannaCryについてどう見ていましたか。
長谷川 じつは先週まで(対談は6月23日)、何を騒いでいるのか、大した影響はないだろう、と思っていたのですが、今週になって、ホンダの狭山工場のPCが感染して車1000台以上が生産できなかったという報道が出て、少しトーンを変えなくてはならないな、と感じ始めています。とはいえ、日本で大きな被害はそれくらいで、報道や所轄官庁が「世界最大の猛威」などと騒いでいるのは、受け取り方が適切でないと思っています。この程度が世界最大だったら、これからもっとすごいのが出てきます。
感染が公表された、JR東日本の群馬県内の駅構内に設置されていたインターネット閲覧用のPC 1台も、日立製作所でメールの送受信が一時的にできなくなったのも、業務にはほとんど影響がなかったようです。そうした経緯を知るにつけ、何が重要で、本当に対応すべき内容は何かという尺度がわからなくなっているのではないか、と思います。尺度を見直す必要を感じますね。
川口 騒ぎすぎ、というのは同感です。この程度のサイバー攻撃で大騒ぎするのは、どこかおかしいと思えます。そんなに重大なマルウェアならば、攻撃の内容や感染に関する情報を国レベルのどこかで取りまとめて、一斉に公表すべきだったろうと思います。ところが、そうした情報に真っ先に触れうる立場にいるはずの中枢の人たちが肝心の情報をご存じない、入手し得ていない。その事態がまずおかしいですよ。
ただ、内閣官房がWannaCryの情報を事前に察知していち早く警戒の通達を出したのは、ずいぶん進歩したなと思います。少し前には考えられない対応の速さですね。その点は評価できるのではないかと思います。
長谷川 一連の経緯を見ると「から騒ぎ」という印象がぬぐえません。言葉は悪いですが、WannaCryにやられた企業は自滅に近いと思っています。
川口 3月に公開されたMS17-010の対応パッチを当てていれば済んだことですからね。
長谷川 それと、WannaCryはランサムウェアですから金銭目的の攻撃と考えられますが、それが本当の目的だったとしたら、攻撃としては失敗しています。身代金の振込先として指定されているビットコインの口座には、日本円に換算して1500万円程度しか振り込まれていません。全世界に広がった攻撃としては非常に小さな額でしょう。そのうえ口座はFBIの監視下にあり、犯人はコインを引き出せません。この点を見ても、から騒ぎの印象を強くしますね。
川口 WannaCryでは、CSIRTを設置しているくらいの企業でも被害があったのかなかったのか、その確認と証明に非常に時間がかかったようです。WannaCryはそうした仕組みの問題を浮き彫りにしたとも言えるでしょう。
知らない・実感がない・情報管理もない
IS 現在のユーザー企業のセキュリティ対策をどう見ていますか。セキュリティ対策として盲点があるでしょうか。
長谷川 一般企業の人は、サイバー攻撃の報道が少なくなるとサイバー攻撃が減ったと思うようですが、実際は標的型もランサムウェアも年々増えているようです。そして増えているにもかかわらず、たとえばランサムウェアについては、その名前すら知らないという人が非常に多い。IPA(情報処理推進機構)の今年1月発表の調査(2016年度セキュリティに対する意識調査)では、調査対象1万人のうち「名前も知らない」がじつに65%、「名前を聞いたことがある」を含めると84%という結果です。
また標的型攻撃のほうは、事件が起きるたびに「個人情報は流出しなかった」などと報じられますが、最近の攻撃者はじつはそこを狙っていません。昨年の富山大学への攻撃では水素同位体科学研究センターの機密情報がピンポイントで狙われています。つまり、攻撃の対象と守るべきもの理解が噛み合っていないんですね。その意味で、セキュリティに関する情報管理ができていないと思います。盲点と言えば、そこが盲点です。
川口 標的型攻撃にしてもランサムウェアにしても中身を知っている人はとても少ないですね。しかし中身を知っていなければ、情報の管理は難しいでしょう。おそらく、セキュリティの専門家から攻撃の実態を指摘されて、初めてその脅威に気づくのだろうと思います。
長谷川 お客様から「あ、こうなるのか」とよく言われますね。
川口 脅威に対する実感が伴っていないと、地に足の着いたセキュリティ対策を進めるのは難しいでしょう。実感が伴っていないと、何を脅威とし、何を守り、どう対策を講じるのかが、しょせん机上の空論で終わってしまいます。CSIRTを作るのならプライベートSOCもあわせて作り、プライベートSOCが収集する生の情報を見える化して、実感をもって対策を進める必要があります。
長谷川 それと盲点ということでは、「何かしら対策をしていればよい」というセキュリティ対策が多いことですね。一見、対策を講じているようだけど、本当に必要な対策になっていない。たとえば、ランサムウェア対策としてデータのバックアップが推奨されていますが、ネットワーク経由のストレージやクラウドへバックアップしているところは、ランサムウェアに感染すると全滅してしまうこともあります。つまり、ランサムウェアによって暗号化されたデータが、同期の設定によってそのままバックアップされ、バックアップ先も感染したことになってしまうのです。本来なら「3-2-1ルール」(*1)でバックアップを取るべきでしょうが、まったく普及していません。
・・・・・・・・
(*1) バックアップ先は3つ、その手段(メディア)は2つ以上、バックアップ先の1つはネットワークにつながらないオフサイトにする、というバックアップ取得の方法。
・・・・・・・・
攻撃を見つけない限り
対策のチャンスはない
IS 今指摘された問題については、どうお考えですか。
長谷川 標的型にしてもランサムウェアにしても攻撃は年々高度化していますが、取るべき基本的な対策は、以前とそれほど大きく変わっているわけではありません。つまり、基本的なセキュリティ対策を実施すればよいのですが、実際は実施されていないという問題があります。
日本の一般企業は、何か大きな事案があると一斉に対策に動きますが、その後何も起きないと見向きもせずに放っておいて、再び被害にあうことが多いように思います。企業が新たな対策を立てたときは攻撃者との距離はだいぶ開いていますが、企業が何もしない間に差を詰められていて、破られる寸前になっていることが多々あります。
川口 私どものお客様は中堅・中小企業が多いので、大企業と比べるとセキュリティの問題・課題をより多く抱えています。セキュリティの担当者がいないお客様も少なくありません。そのなかで大きな問題と感じているのが、セキュリティについて語れる人が非常に少ないということです。お客様のセキュリティ対策をより的確に実情に合ったものにするには、私どもご支援する側とお客様との間でコミュニケーションやキャッチボールが不可欠ですが、そこが今大きな壁で、そうしたことがセキュリティ対策の放置状態にもつながっていると思います。
長谷川 構造的な問題としては、現場任せになっていることでしょうね。セキュリティは経営問題と言われていますが、実際は現場主導であることがほとんどで、現場任せです。そしてその現場も、とくに公共機関で言えることですが、人事ローテーションなどによってセキュリティ担当者が2?3年で交代してしまいます。大学などでは学生・研究生がセキュリティ担当者になっていることが少なくありませんが、これも2?3年で交代してしまいます。そうなると、その企業・団体が抱えているセキュリティの問題・課題が継承されようもありません。
川口 それは大きな問題ですね。それだとセキュリティを推進する人材が育ちません。セキュリティ担当者を育てていく仕組みが必要ですね。
長谷川 お客様に知っていただきたいのは、攻撃を見つけない限り、防御・対策のチャンスはないということです。攻撃を見つける仕組み、攻撃されたあとにその痕跡を確認する仕組みがなければ、どんな対策も取れません。そうした仕組みがないのは、ビルに警備員や防犯カメラがないのと同じことだと思うのです。
それと、せっかく買った道具は適切に使いましょう、ということを申し上げたいですね。これについてはIPAもJPCERTも警告を発していますが、デフォルトの設定のままになっているセキュリティ機器がいかに多いか。要するに、セキュリティの状況に応じた適切な設定がなされていない、ということです。最近の標的型攻撃やランサムウェアで被害を受ける企業のほとんどが、運営管理が不十分でした。設定のチューニングを行わず、デフォルトのまま運用していた企業もあります。
道具の使い方をたたき込む、
そして演習・訓練
IS セキュリティ人材をどう育成しますか。
川口 セキュリティ担当者がまず第一に知っておかねばならないのは攻撃技術です。それを知るには、IDS/IPS(不正侵入検知/防御システム)がどう動き何を見ているのか、その仕組みを正しく理解し、攻撃の実態を知ることが必要です。そのうえで、IDS/IPSにも検知されない標的型攻撃やランサムウェアの特徴を知り、マルウェアの本当の脅威を理解すべきです。そこから先はマルウェア解析やリバースエンジニアリングといったアドバンスな道がありますが、とにかく攻撃がどういうものか、それが見えるようになることが重要です。そのためには、自社で使用しているセキュリティ機器の特性を十分に知っておくことが避けられません。
たとえばIDS/IPSで、8000種のシグネチャを検知する機能を備えていても、デフォルトでブロックできるのは4000種程度しかありません。残りの4000種は、アラートを上げるものの素通りです。そこでセキュリティ担当者は、その素通りする4000種のなかから危険なシグネチャをブロックする設定が必須になりますが、それにはIDS/IPSの理解が不可欠です。
長谷川 確かに、セキュリティ人材を育成するには、道具の使い方を徹底して教えないとダメだろうと思います。ただ当社では、道具を使えても仕事はできない、という考え方をしています。セキュリティの実務を本当にこなせるようになるには、教育ではなく、演習・訓練こそ重要という考え方です。演習・訓練は、「サイバー攻撃が起きた」「大規模災害が発生した」といったケースやシナリオを想定して、実戦さながらに攻撃者と防御者の二手に分かれて行います。
もちろん、そうしたことはOJTでも可能だろうという意見もあります。しかしOJTでは、経験したことへの対処はできますが、経験していない攻撃などには太刀打ちできません。また、OJTのもう1つの弱点は、失敗できないことです。OJTとはいえ、セキュリティの実務なので「失敗してもよい」とはなかなか言えないでしょう。演習・訓練のよい点は、セキュリティ担当者が経験していないことを経験でき、失敗できる場を作れるということです。
攻撃は防ぎきれない、
だからこそ対応の仕組み
IS 企業は今後、どのような考え方でセキュリティ対策を推進していくべきですか。
川口 一般的に言って、サイバー攻撃は今後どこまでも高度化し、悪質さを増していくでしょう。そしてその高度な攻撃を企業側でいくら防御しようとしても、とうてい阻止できるものではありません。攻撃側の技術の進歩が速く、防御側の技術がすぐに陳腐化してしまうからです。だから、企業が悪質な攻撃者に狙われたら防ぎきれるものではありません。
そう考えると、今後のセキュリティ対策としては、どのようなタイプの攻撃をどこまで受けているのかを知ることに重きを置くべきだろうと思います。そして、それの見える化に徹していく。見える化し攻撃の内容を把握したら、ただちに対抗策を講じていく。それが今後の最も効率的なセキュリティ対策だと考えています。検知のための技術は、陳腐化がそれほど速く進むものではありませんから、その点でも有利です。
長谷川 狙われたら防ぎきれない、というのはまったくそのとおりですね。国家レベルのセキュリティ対策を取れる企業などどこにもないわけですから、必ず攻撃を受け、被害・障害が起こることもある、と考えるべきです。今後のセキュリティ対策として、検知と見える化に重きを置く考え方にも賛成です。
そうしたなかでとくに重要になるのが、何か起きたときの対応の仕組みでしょう。それこそCSIRTにほかなりませんが、攻撃を受けたときに社員はどう動くか、システム部員は何をするか、経営層はどのような対処をするか、などをあらかじめ決めておく必要があります。事前に決めておかないと、いざというときに速やかな対応ができません。そのためには攻撃や被害を想定した演習・訓練が非常に有効で、有事の際に判断や行動ができるようにしておくことが大切です。
・・・・・・・・
