グローバルに事業を展開する企業にとって、いまやITセキュリティのリスクの高まりはビジネスの拡大と表裏一体をなしています。ひとたび大きなセキュリティインシデントが発生すれば、自社に致命的な損害を与える可能性も大いにありえます。
こうした局面にあって、経営者はどのようにセキュリティに向き合っていくべきなのか。多くの外資系企業でコンサルティングおよびセキュリティ関連サービスに従事し、世界の最新動向に精通する日本TCSの三好 一久が、シリーズで解説します。
第1回:不確実性の中で問われる真の戦略性、トレンド頼みの限界
ハイライト
- 事業継続に直結するセキュリティ事案が「なぜ」増えているのかを理解し、先読みして対策を考えなければならない。
- サイバー攻撃の換金性の高まり、ランサムウェアを提供するRaaSの出現、さらにそれらがAIと組み合わさることで、無差別かつ無慈悲な攻撃が行われている。
- 対策の実効性を突き詰めるには、攻撃側の視点も持ちながら、徹底的に資産と脆弱性を管理する必要がある。
IN THIS ARTICLE
サイバー攻撃が変えた日常
前回のコラムでは、主にわれわれが置かれた状況について概要を書いた。多少ホラーストーリーだったかもしれないが、とても多くの方々から共感を頂き、今この発信をすることに意義を感じた。
私としては日々奮闘する経営者に伝えたいトピックはさまざまあるが、前回に引き続き今少し本質的な部分を押さえておきたく、今回は“われわれが相手にしているもの“について、掘り下げて考えてみたい。
サイバー攻撃は年々激化している。セキュリティに携わる人でなくても、多くの人が何となくそれは肌で感じているだろう。裏でそれを守る人たちがいる、というサイバーセキュリティの職業についても、ひと昔前より広く認知されるようになってきた。
一般の人にとっては、以前それはたまにニュースで見かけるだけの世界のものであったが、しかし最近はニュースで報道されているKADOKAWAのインシデントに見られるように、身近なものがサイバー攻撃によって台無しにされてしまうという状況を日常の中でリアルに体験するようになってきた。
それは裏を返すならば、サービスやインフラを提供する企業側からすると、まさに事業継続に直結する事態が現実になってきているということでもある。
自社で何か起きたとしてもこれまではしょせん、“情報漏洩で監督当局に怒られる”、程度のものだったのが、今や、事業の柱が一瞬で壊滅しうるものとして、セキュリティはセキュリティ担当者だけの話ではなくなった。
本当の意味での責任の所在のレイヤーが上がり、その予防対策もインシデント対応も明確な経営マターとして経営トップ(CEO)を巻き込んだ判断を迫られる領域になっている。
前回のコラムで書いた内容を引用するのであれば、戦場で商売をするのだからそれは当たり前とも言えるし、責任の所在が本来あるべき所に収まっていくのは良いことである。長年セキュリティに携わる私としてそれはうれしくもあり、頼もしいことだ。
さて、そのような潮流の変化の中に今われわれはいるわけだが、その原因として、近年攻撃者側がどのように変化しているのか正しく理解できているだろうか。普段から整理できている人はそれほど多くはないと思う。「降ってくるミサイル(サイバー攻撃)が増えています」、「被弾して破滅的な被害を受けている企業が増えています」、というのはあくまで結果であり現状でしかなく、それだけを見て右往左往しているようでは、経営者として場当たり的としか言いようがないし、真っ先に自社がやられる可能性も極めて高い。
経営者やセキュリティの専門家であるなら、これからどうなっていくのか、少しでも先読みして対策を考えていきたいものである。対策にも時間がかかる、だからこそ、なぜこのような現状に至っているのか原因を深く理解することは、計画的で無駄のない投資と対策を行う上で、損はない。
悪意と手段を増幅するメカニズム
① サイバー攻撃の換金性が高まっている
ランサムウェアというものについては、この記事を読む人であれば多少どのようなものかは知っているであろうが、あえて説明することを許して欲しい。ランサムウェアとは、サイバー攻撃を通じて身代金を要求する攻撃ソフトウェア(マルウェア)であり、攻撃対象の企業が持つサーバーといったIT資産に対し、悪意のある暗号化などを仕掛けることで行われる。被害者がランサムウェアの指示に従って要求されたお金を振り込むと暗号化が解除される、という仕組みである。
技術的な点はさておき、ここで肝心なところは、攻撃を通じて、攻撃者と被害者の間で直接的な金銭の授受を成立させているという点である。これにより、企業などの被害者にとって価値のある資産に対する攻撃が、攻撃者にとって直接的に金銭的価値を持つようになった。
それまでのサイバー攻撃は相手に損害を与えることはできても、攻撃者にとって直接的なメリットを享受しづらかった。しかし、今やサイバー攻撃は簡単に金を生む。それは個人であれ、組織であれ、国であれ関係ない。
これは知的好奇心や怨恨などを発端としたものとはモチベーションの質も大きさも全く異なる。また、同時に、機密情報や個人情報は多く持たないものの、システム停止が事業停止に直結してしまう企業は数えきれないぐらいいるのだ。攻撃者にとって狙える企業の母数も爆発的に増えた。
② 誰でも攻撃者になりうる
次に、RaaS(Ransomware as a Service)の出現である。ランサムウェアは技術がないと作れない。だから、金銭の取得はあくまで攻撃を成立させるに足る技術力に依存したものであった。しかしながら、ランサムウェアを提供する組織がサービスとして技術を広く提供するようになった。
そうなることで、技術を持たない一般人が、“欲望だけで”ランサムウェアを他者に依頼し仕掛けることができるようになった。資格も能力も持たなくても、誰でもミサイルを撃ち込む指示ができてしまうのである。しかも、攻撃対象の資産価値が高いことが分かっていれば、身代金のリターンがあるのだから、ミサイル購入の原価を差し引いてももうけが出る。
ここで一つ問いたい。今や無数の企業がランサムウェアの被害に遭っているが、果たしてそれは全て外部からの攻撃なのであろうか?内部の社員がRaaS提供者に依頼して誘導したものでないと言い切れるか?社員は価値のあるシステムを知っている。セキュリティの緩いところを知っていて、悪意や欲望があれば、自社をおとしめて金銭を得ることは今やたやすい。しかもそれは極めてばれにくいし、こちらとしても追及しづらい。経営者はそのような可能性も含めて自社の置かれている立場を理解しなければならない。
いずれにせよ、換金性が高く、大多数の企業を狙えて、誰でも参加できるということで、既にここには巨大な市場が出来上がっている。そして市場が成熟すればするほど分業化が進むのは自明の理であり、今後技術提供側はますますプロフェッショナル化し、悪意の発生源とは切り離されて距離ができる。
当然、動機を推察することも難しくなるし、今後はより攻撃対象の資産価値を知りうる身近な人物や国内の反社会的組織(いわゆる従来のやくざなど)から狙われる可能性も高くなると考えられる。そしてこれは同時に、私たちの対策がセキュリティクリアランスなど、人そのものに焦点を当てたものに広がらざるを得ないことも意味する。
③ 標的型攻撃から無差別攻撃へ
一方、攻撃自体のアプローチ的な側面を語るならば、標的型攻撃という言葉が生まれて久しいが、それも今や死語になりつつあると思っている。標的型攻撃というのは、そこに攻撃者がいて、ターゲットを決め、こちらを狙ってくる。
そこには人の意思があり、標的にされるだけの理由があった。だからこそ、若干マイナーな企業からすると、“うちなんかを狙っても仕方ないよね、狙われるだけの情報もないし、狙われないよね” などという半ば自社を卑下した安心感を生み出していた。
実際私も製造業をはじめ、客先で数えきれないぐらいそのような言葉を聞いてきた。しかしながら、前述のランサムウェアの出現に牽引されるように攻撃者が増えたこと、そして高度で洗練された攻撃ツールやAIが発達してきたことで、多数の人が安易に、そしてAIが広範囲に、自動的に攻撃をすることが可能になった。果たしてそうなると、個々の攻撃者ではなく、攻撃側全体を集団として見た時に、そもそも標的型攻撃のように“狙う/狙わない”なんてことを、相手、ましてやAIは考えているのだろうか。否である。AIのアプローチや物量に焦点を当てた際、そんな人間チックな側面はない。そこにもはや意志はなく、手あたり次第、機械的に、入れるところに入ってくる。ある意味においてセキュリティ弱者には幸運であった都合の良さはもう存在しないのである。
また、残念なことではあるが、日本のセキュリティ業界では、最前線の専門家でも未だこの辺りの変化に気づけていない人が多く、過去の標的型攻撃のコンセプトにとらわれたまま、特定の攻撃者や攻撃キャンペーンを軸に対策を組み立てようとする企業が非常に多い。技術的なアプローチの研究や国防分野を除き、それは今や“経営的に”優先度が高い事項ではない。
④ AIによる有機的かつ読みづらい攻撃
たくさんの悪意が、豊富なツールとAIによるスピードを得た結果どうなるか?無数の偵察活動が行われ、あらゆる攻撃アプローチが、無差別に行われる。自律的に、入れるところから入り、入れるところまで入る。
それは、あたかも植物がブロックの隙間から侵入してくるように、徹底的に、ただただ隙間から入ってくる。AIというと無機質に思える側面があるが、サイバー攻撃の裏で使われる多数のAIを集合体と捉えると、その侵入の仕方は、極めて有機的で植物の根がはびこるようなものであると私は思っている。そこに人間的な意図はなく、抜かれた情報は分析され、再活用される。さしずめ情報は養分であり、それを得て再学習を繰り返し、さらに攻撃も変化していくだろう。
攻撃のアプローチがすべてAIによって行われるとしたらどうなるか?考えたことがあるだろうか。AIによる次の手の決定プロセスは人間にとってブラックボックスである。当然、人間的な善悪や固定観念では予測しえなかったアプローチで攻撃が行われると考えた方が良い。
例えば、あるところではシステムがシャットダウンされ、あるところでは情報が改ざんされ、あるところでは乗っ取られ、あるところでは新たなシステムが勝手に立てられ、それらが組み合わされ、より想像もしえなかった結果をもたらす。「なぜ」そういうことをされるのか、人間には理解ができない。だからこれからの防御側は、相手の意図を勝手に都合よく推察してはいけない。実際に最近私が体験した非常に高度な攻撃によるインシデント対応においても、攻撃者がなぜそのような行為に至ったのか全く理解できない状況もあったりする。このような傾向は今後ますます加速していくと思われる。
“努力している感”のワナ
私は前職のSynack(クラウドソースセキュリティテストのサービスをグローバル展開する米国企業)でも、多数のリアルなハッカーと攻撃者の立場でバグバウンティ※を推進してきたこともあり、多少なりとも攻撃側の視点が身に付いていると思っており、最近さまざまな企業のCxO、セキュリティ担当者に伝えていることがある。どの企業のセキュリティ部署も担当者も取り組みには責任がある。組織の中では目標を立てて取り組まなければならないし、成果も経営層にアピールしなければならない。
だから実際、責任感を持って毎日必死に頑張っている。しかしながら、言葉を選ばずに言うと、皆のその真摯な努力も攻撃者からすると「そんなの知ったこっちゃない」の一言に尽きる。
そもそも攻撃者としては、こちらの取り組みはブラックボックスであり、知りえない話なのである。入れるところから入るしかないし、防御が堅く効率の悪いところからわざわざ入るよりも、弱く入りやすいところから効率的に入る。私もセキュリティ担当者として皆の努力を踏みにじるようなことは言いたくないが、防御側には努力のバイアス -私はそれを“努力している感”のワナと呼んでいる- が強烈に存在する。しかし、現実の攻撃は一切こちらの意図とは無関係で、無慈悲である。言わずもがなAIなんてものはさらに無慈悲である。
だからこそ、セキュリティに携わる者は、常に自分たちの努力が攻撃の実態に沿っているのか?正しく効果を発揮しているのか?自分たちの労力に惑わされずに、実効性を突き詰めて欲しい。
その際着目すべきことは、攻撃を植物と捉えた時に、入れるブロックの隙間を徹底的に潰すことと、攻撃者にとって脅して金になる(=事業停止やブランド破壊に陥る)システムや機密情報を正確に理解し、優先付けて徹底的に守ることである。
※企業が脆弱性を発見した善意の報告者に報奨金を支払う仕組み。いわゆるホワイトハッカーにとって報奨金型のペネトレーションテスト(侵入テスト)などを通じて収入を得る仕組みでもあり、多数の参加者による競争原理と多様性を生かすことができるため、通常のテストよりも高い効果が期待できる。
相手の本質を知り、実効性を突き詰める
内側からの視点だけで独りよがりの対策に陥っていては決して実効性は得られない。そうならないためには、まず実際に外から眺めた際、どのような資産が見えているのかを知ることがとても重要であり、その最初のステップとしてアタックサーフェス(攻撃の対象となる領域)の管理は極めて意義がある。その上で、隙間から入られないように徹底的に資産と脆弱性を管理する必要がある。
これに関連して、一昨年前ぐらいから継続的脅威エクスポージャー管理(CTEM)という言葉、考え方が生まれたが、セキュリティの専門家であれば、キーワードとして知っている方もそれなりに増えているだろう。
だが、なぜそのような考え方が必要であるのか?ひいては “そのような考え方が、なぜ今、この時世に生まれたのか?” もうお分かりだろうか。それは上記に伝えるように、これから対峙しなければならないわれわれの相手が植物の根のようなものになってきているからである。それが想像できれば、CTEMという “継続的にさらして大丈夫なものを目指す” コンセプトが生まれた背景、そしてそれが現実的な解としてとても有効なアプローチであることが納得いただけるはずである。
このように、われわれがこれから何と戦わなければならないのか、その本質を整理することで、今後の対策の方向性も見えてくる。
これからは、攻撃側は技術を持たない者も巻き込み、より増殖していく。相手の動機を読むことは難しく、意味をなさなくなるし、防御側の勝手な努力のバイアスに陥ってはならない。
自分たちが本当に守るべきものを見極めた上で、内部の悪意であれ、AIによる無差別攻撃であれ、耐えうる対策を堅実に続けることが求められる。
三好 一久(みよし かずひさ)
イリノイ大学アーバナシャンペーン校卒。サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積み、KPMG、デロイトにて上流コンサルティングを経験。その後、マカフィーにてコンサルティング部隊の立ち上げ、CISO(Chief Information Security Officer)を務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年10月、日本TCSに入社し、CISOを務めながら、サイバーセキュリティ部門を率いている。
関連情報
お問合せ
お問合せ