

近頃、著名な企業が立て続けにサイバー攻撃を受け、システム障害で注文や出荷がストップする事態が起きている（写真：Graphs / PIXTA）

【写真】「侵入経路を完全にふさぐのは難しいため、入られた後の被害を最小化することが重要」と語る根岸征史氏

サイバーセキュリティの脅威が増大し、完全に侵入を防ぐことは難しくなっている。攻撃側は防御側の最も弱いところを狙えばいいのに対し、防御側は全方位を守らなければならないという、不利な構造があるからだ。加えて、近年は侵入経路の多様化や攻撃スピードの加速も進んでいる。

攻撃優位が続く中、企業はどのように自社の重要な資産を守るべきか。最新の攻撃動向と、侵入を前提とした上で被害を最小化するための対策について、セキュリティ専門家であるインターネットイニシアティブ（IIJ）の根岸征史氏に聞いた。

なぜ高度な対策をしても攻撃を防ぎきれないのか

――サイバー攻撃による侵入を防ぐのが難しくなっている理由を教えてください。

最近の動向として基本的な対策がおろそかになっていることがあります。情報漏洩やランサムウェアなどの事件の原因として上位に、「ソフトウェアの脆弱性」「アクセス制御のミス」、認証情報に関連した「ID・パスワードの脆弱性」の3つが挙げられます。



以前は、外部からの侵入を防ぐ「境界防御」が重視されましたが、完全に侵入を防ぐのは難しいとの認識から、「侵入を前提」とした対策が提唱されてきました。

その過程で、企業はゼロトラストやEDR（エンドポイントでの検知と対応）、XDR（拡張された検知と対応）などの高度なセキュリティ対策に注力しています。

一方、脆弱性の管理や認証情報管理、アクセス制御といった基本的な部分で漏れやほころびが生じていて、結局は攻撃を防げない。リソースを割き基本対策を徹底できる大企業などは防げても、対策がおろそかな企業は相変わらず被害に遭うのです。

――IT環境の複雑化は、攻撃対象の多様化につながっていますか。

IT環境やソフトウェアの変化は非常に激しく、それにより攻撃に至るまでの侵入経路が著しく多様化しています。

VPNなどのエッジデバイスの脆弱性を悪用した侵入、フィッシングによる認証情報詐取、情報窃取型マルウェアなどがあり、さらにソフトウェアのサプライチェーン攻撃も無視できません。現状、多くの企業がオープンソースを含む多様なソフトウェアを組み合わせて使用しており、自分たちが把握していない脆弱性を抱え込んでいるケースが増えています。

以前は「基本を徹底すればいい」とされてきましたが、IT環境がクラウドサービスやリモートワークを含め複雑化し、「基本」を隅々まで徹底すること自体が難しくなっています。

攻撃スピードの加速と「侵入前提」の防御策

――攻撃側のスピードも年々加速しています。その要因は？

ゼロデイ脆弱性（パッチが出る前に悪用される脆弱性）がここ3、4年で増えています。これは防御より攻撃側のほうが、スピードが速いことを裏付けています。

理由の1つは、AI技術の活用などで、攻撃側が脆弱性を集中的に見つけ出すのに力を入れていることです。また、パッチ公開から防御側がそれを当てるまでの間に攻撃される例も増えています。

以前なら、脆弱性が見つかっても「次の定期的な修復」で対応すれば間に合うとの感覚がありましたが、今や1週間後でも危うい状況です。

とくに外部に露出しているデバイスの脆弱性は、アメリカのCISA（サイバーセキュリティ・社会基盤安全保障庁）が翌日までの対応を求める緊急指令を出すほど、スピード感が求められています。

守る側の体制がこの高速化に対応できておらず、企業はスピード勝負に負けているのです。

攻撃されて被害が拡大する組織とそうでない組織の違い

――侵入を前提としたうえで、被害を最小化するために取り組むべき基本的な対策は。

侵入経路を完全にふさぐのは難しいため、「入られた後の被害を最小化すること」が重要です。



根岸征史（ねぎし・まさふみ）インターネットイニシアティブ ネットワークサービス事業本部 セキュリティ本部 セキュリティ情報統括室長／国内大手電気メーカーのSEを経て、外資系ベンダ等でネットワーク構築、セキュリティ監査、セキュリティコンサルティングなどに従事。IIJ Technologyに入社後は、セキュリティサービスの責任者として、セキュリティ診断など数多くの案件を担当。現在はIIJのセキュリティインシデント対応チームで主にセキュリティ情報の収集、分析、対応にあたる（写真は本人提供）

これは昔からある基本的な対策の徹底に他なりません。有効な対策として、アクセス制御を厳格に行い、ネットワークのセグメンテーション（分離）を徹底することが挙げられます。

ある総合医療センターのランサムウェア被害の事例を見ると、外部の給食事業者のサーバーと電子カルテのサーバーが同じセグメントにあり、しかもパスワードが共通だったため被害が拡大しました。

一方、パスワードが異なり、電子カルテシステムが別セグメントにあった病院は被害を免れています。ネットワークの分かれ目やアクセス権のコントロールが、被害の大きさを分けたのです。

また、被害が拡大する背景には、特権的な管理者権限が奪われ、配下の大量のマシンに攻撃が横展開される典型的な経路があります。

管理者権限がなぜ簡単に奪われたのかという根本的な原因に目を向け、権限分離や最小権限の原則などが徹底できているかの再確認が必要です。これらも何十年も前から言われている対策ですが、徹底が難しいのです。

――被害を最小化するために、ASMやゼロトラストのような最新技術を導入する際の留意点は。

ASM（Attack Surface Management）は、外部に露出している攻撃経路を管理する上で有効です。しかし、外部ばかりに目が向くと、海外子会社や業務委託先など、内部や連携先からの侵入経路を見落としがちです。ASMの活用では、内部経路や連携先まで含め網羅できているかを意識すべきです。

ゼロトラストは、外部・内部の区別なく、すべてを信用せず認証・認可、アクセスコントロールを行う考え方で、侵入後の被害最小化には有効です。ゼロトラストを徹底できれば大きな効果が見込めますが、多くの組織は従来の境界防御とゼロトラストを併用する「過渡期」にあり、ゼロトラストを導入したからといって「これですべて安心」とはなりません。

従来のシステムとの兼ね合いで穴がないか、自社の環境に合った対策の徹底ができているかの確認が求められます。

だます手口が巧妙化、今すぐ行うべき「人」への対策

――「人」をだますソーシャルエンジニアリングの脅威について、最近の動向や事例を教えてください。

ソーシャルエンジニアリングは人をだますテクニック全般を指し、フィッシングなど幅広くあります。とくに注意すべきは、AI技術を使った手口の巧妙化です。昨年頃から、ディープフェイクを使ったビデオ通話や音声通話による詐欺が確認されています。実在する担当者の声をディープフェイクで作成し、それで装った電話にだまされる事例が海外で発生しています。

新しい手口として、「クリックフィックス（ClickFix）」と呼ばれる、ユーザー自身に不正なコードをコピー＆ペーストさせる手口がはやっています。画面に「問題が発生したので直ちに対処してください」などと表示し、助けるふりをして不正コードを実行させます。

これは技術的に難しいことをしておらず、ユーザーの操作を介するため検知が難しいという厄介な特徴があります。

――従業員教育や訓練の面で、今すぐ取り組むべきことはありますか。

ソーシャルエンジニアリング対策は、従業員の誰か1人でもだまされると侵入を許してしまうため、人への対策は重要です。

企業は、最新の手口や事例を社内で共有し、「誰もがだまされる可能性がある」との危機感を共有すべきです。

重要なのは、「だまされた人を責める文化を作らないこと」です。不審なことがあっても、「ささいなことだから」と自己判断したり、怒られることを恐れて隠したりせず、「ささいなことでもどんどん報告しよう」という文化を組織に醸成することが、初動対応スピードに大きく影響します。

インシデント対応の訓練も不可欠です。ランサムウェア対策では、バックアップからの復旧訓練を怠ったため、システムを戻せなかった事例が報告されています。訓練は、標的型メール訓練だけでなく、フィッシングサイトへの対応、偽の電話への対応訓練など、実践的なものを行うべきです。

インシデント対応の手順や窓口を整備し、初動対応をいかに素早く確実に行えるか、繰り返し訓練を通じ身につけることが被害最小化の鍵となります。

――最後に、現代のサイバーセキュリティ対策を進める上で、企業は何からアプローチすべきでしょうか。

最新の動向をキャッチアップしつつ、重要なシステムを守るための基本的な対策の徹底に立ち返ることです。ゼロトラストや新しい技術に惑わされず、土台からしっかりと対策を固めるべきです。

自社にとって何が大事な情報で、守るべきものは何か、優先順位はどうかを改めて考え、リスク管理の基本に立ち返ることが重要です。他社の動向や流行に流されず、自社の環境や業務に合った対策の徹底ができているかを継続的に見直します。

高度な対策を導入しても、基本的なパスワード管理や権限管理、訓練の徹底などがおろそかになっていたため被害が拡大するケースは少なくありません。当たり前のことこそ、継続してやり続ける。それが、企業をサイバーリスクから守る最も重要な戦略です。

