企業を実際にサイバー攻撃してみたら…? 実例から学ぶ中堅・中小のセキュリティ対策
ナノオプト・メディアがサイバーセキュリティ専門イベント「Security Days Fall 2024」を大阪・東京・名古屋で開催。本記事では、同イベントのさくら情報システムによる講演「今さら聞けない、 中堅・中小企業のセキュリティ対策の基本と進め方」をレポートする。 【もっと写真を見る】
ナノオプト・メディアは、サイバーセキュリティの専門イベント「Security Days Fall 2024」を大阪・東京・名古屋で開催。本記事では同イベントから、さくら情報システムによる講演「今さら聞けない、 中堅・中小企業のセキュリティ対策の基本と進め方」をレポートする。 さくら情報システムが中堅・中小企業300社以上に対して実施したアンケート調査では、セキュリティにおける悩みとして「対策方法がわからない」、そして「予算が取れない」が上位を占めたという。 講演では、実例からみる「セキュリティ対策のポイント」、「経営層を説得する方法」に加えて、こうした悩みを持つ中堅・中小企業を“実際に攻撃してみた”結果について披露された。 攻撃者のターゲットを大企業から中堅・中小企業に さくら情報システムは、SMBC(三井住友銀行)グループでセキュリティ業務を担う、金融系に強みを持つSIer企業だ。登壇した同社 プラットフォーム事業本部 営業部 部長の竹井宏真氏は、元プロフットサル選手という経歴を持つ。「ゴールキーパーは『ゴールマウス(ゴール前面のエリア)に鍵をかける』のが仕事だが、これはセキュリティ業務と本質的に似ている」と会場を和ませた。 竹井氏は、IPAが毎年公開する「情報セキュリティ10大脅威」に触れた。その中で、2019年に4位で初選出され、2023年から2年連続で2位に位置づけられているのが「サプライチェーンの弱点を悪用した攻撃」である。 これは標的とする企業を直接狙うのではなく、その取引先や委託先に当たるサプライチェーンを狙う攻撃であり、そのほとんどが中堅・中小企業だ。「攻撃者は、大企業のセキュリティ対策が進むにつれ、サプライチェーンの一翼である脆弱な中堅・中小企業を狙うようになった。個人的な肌感でも、大企業が取引先のセキュリティを気にするようになっている」と竹井氏。 実際に、警察庁「サイバー空間をめぐる脅威の情勢等」で公表されている最新のランサムウェア被害報告において、最も多い(64%)のが中小企業である。竹井氏は「中堅・中小企業は、まず攻撃手法を知ることから始めるべき」と語る。 フットサルにおいても敵の攻め方が分からないと守れない。「あらかじめ敵の戦術や狙う場所を知って、初めて対策が立てられる。昔、5000人の観客の前で、スカウティング(偵察)を怠ったばかりに怒涛の連続失点をしてしまったのは切ない思い出」と竹井氏。 攻撃手法の基本として紹介されたのが「サイバーキルチェーン」だ。サイバー空間における攻撃者の行動を各プロセスに分ける考え方で、「偵察」「武器化」「配送」「攻撃実行」「インストール」「遠隔操作」「目的の実行」の7つに分けられる。竹井氏は、攻撃者を“泥棒”に見立て、それぞれ「ターゲットの下見」「金庫を破壊する道具の用意」「侵入」「お金の奪取」「お金の持ち出し」と考えれば分かりやすいと説明する。 ただし、所詮これは机上の話。同社は“実際に中小企業を攻撃する”ことで、中堅・中小企業にサイバーキルチェーンを実感してもらう機会があったという。 実際に中堅企業を攻撃してみたその結果は? さくら情報システムは、中堅・中小企業に対して脆弱性診断サービスを提供している。ある日、それらの企業の一社から相談されたのは、「業務に支障をきたさない範囲で実際に攻撃してもらい、リスクを確認したい」という依頼だった。 さっそく同社は、サイバーキルチェーンの入口にあたる攻撃を仕掛けてみた。攻撃手法は「物理セキュリティ」「外部公開情報からの調査」「脆弱性の調査」の3つを採用した。 まずは、物理セキュリティの突破である。具体的には、社員証を持たない部外者がオフィスビルに潜入して、4階にある執務室に入れるかを試みた。結果は侵入に成功した。入口の警備員をくぐり抜け、ICカードで入退室管理されている執務室にも“共連れ”で入室できてしまったのだ。このような警備体制では、のぞき見からの情報漏えいやUSBメモリを使ったマルウェアの持ち込みなど、実被害につながる攻撃が起きるおそれがある。 続いては、外部公開情報からの調査だ。インターネットからアクセス可能なIT資産や脆弱性を見つけられる「ASM(Attack Surface Management)ツール」を用いた。対象企業では、情報システム部門が、自社の保有するIPアドレスやドメインを漏れなく管理しているはずだった。 しかし、ASMツールでスキャンした結果は管理外のドメインが発見された。広報部が3年前に立ち上げたキャンペーンサイトのドメインがそのまま放置されており、こうした管理の漏れがあると、パッチが適用されず攻撃のターゲットになってしまう可能性がある。 最後は、脆弱性の調査だ。ポートスキャンおよび脆弱性スキャンのツールを用いて、サーバーの稼働状況や脆弱性の有無を確認した。対象企業では、サイバー攻撃の対象となりやすいVPN機器をサーバーメンテナンス用に保有していた。 このVPN装置に対して、ポート・脆弱性スキャンを実行した結果は残念ながら、不要なポートの開放や脆弱性が発見された。外部からアクセスできる状態である上に、ファームウェアのアップデートもなされておらず、危険な脆弱性を抱えたまま利用されていることが判明したという。 今回の講演で披露されたのは、複数企業に攻撃した結果である。これらの企業は杜撰なセキュリティ対策が浮き彫りになったが、逆にこの結果を経営層にアピールして、セキュリティ対策を進めるきっかけにしているという。 中堅・中小企業のセキュリティ対策のポイントと予算の通し方 最後に解説されたのは、冒頭のアンケートでも指摘されていた中堅・中小企業の悩み、すなわち「セキュリティ対策を進める上のポイント」と「経営層への説得の方法」だ。 竹井氏は、「セキュリティ対策を考える際には、“ツールや技術”から入ることが多い。確かに重要ではあるが、技術面だけに特化すると抜け漏れの可能性が生じる」と説明。実際に顧客が体験したというエピソードを2つ紹介した。 ひとつ目は、「対策が部分最適に偏り、見落としが生じた」ケースだ。とある企業では、PC全台にウィルス対策ソフトとEDRを導入。しかし、ウェブサイトがSQLインジェクション攻撃を受けて、情報漏えいにつながってしまったという。一部分ばかりに気を取られ、網羅的なセキュリティリスクの洗い出しを怠っていた事例だ。 2つ目は、「人的や組織的な面で、有事の備えが不十分だった」ケース。PCのセキュリティ対策だけで被害後の運用を想定しておらず、未知のウィルス経由でシステムに侵入された結果、素早い対処ができなかった。インシデント対応の手順整備や訓練などをしていれば、すぐに対応できたかもしれない。 これらの事例も踏まえて、「技術」「物理」「組織・人」の3つの領域でバランスよくセキュリティ対策を取ることが重要だと、竹井氏は強調する。特に、技術での対策は部分最適に陥りやすい。全体最適を目指すには、技術・物理の対策にも影響する、“組織・人”における対策に重点を置くべきだが、「多くの中堅・中小企業が意識していない」(竹井氏)領域であるという。 組織・人のセキュリティ対策の根幹になるのが、「セキュリティポリシー」の策定だ。まず、企業が対外的に宣言すべきセキュリティの「基本方針」を定め、その上で「対策基準や規定」を決め、それを具現化する「実施手順(ガイドラインやマニュアル)」を作成する流れをとる。セキュリティポリシーがあることで、組織や従業員、顧客の各視点でやるべきことが明確になる。 もうひとつの中堅・中小企業における大きな悩みが、予算の確保、つまり“どう経営層を説得するか”だ。 ここで竹井氏は参加者に対してクイズを出す。ある企業の社長がセキュリティインシデントの報道を見て、情シス担当者に「うちは大丈夫か?」と曖昧な質問を投げる。担当者は、インシデントの対策を考えて社長に報告。しかし、社長は「意味が分からん」とご立腹の様子。なぜ社長は怒ったのだろうか。 これも実際にあった話だという。社長によくよく聞いてみると、セキュリティ対策の“ビジネスへの影響度合い”が分からなかったのだという。「常にビジネス目線で考える経営層との“視点の違い”だ。社長はビジネス上のリスクをどう排除できるかを知りたかった。しかし現場では“手段”に着目しがちで、同じ目線には立ちづらい」と竹井氏。 そのため、セキュリティ対策の提案は、「ビジネスの成果」を特定するところから始めるのが重要だという。例えばビジネス成果が「新製品による利益の増大」であれば、そこから「製造ラインの停止」というビジネスリスクを考え、それに応じた「工場が止まらないこと」というセキュリティ成果を導く。その上で、守るべき資産やそれに対する脅威を想定して、そこで初めて対策の“手段”を検討する。 上述の「うちは大丈夫か?」と社長に聞かれた情シス担当者は、その場でビジネス成果やビジネスリスクを確認しておけば、怒られることはなかったかもしれない。 文● 福澤陽介/TECH.ASCII.jp
