SAAJ近畿支部第194回定例研究会報告 (報告者:大谷英徳)

by .

会員番号 2782 大谷英徳(近畿支部)

1.テーマ  『セキュリティアドバイザーから見るサイバーセキュリティの裏側』
2.講師    株式会社Blue Planet-works セキュリティアドバイザー
          鴫原 祐輔(しぎはら ゆうすけ) 様
3.開催日時  2022年3月18日(金) 18:30~20:30
4.開催場所  Zoomによるオンライン開催

5.講演概要

講師の鴫原様がサイバーセキュリティ分野で長年コンサルタントとして活動してこられた経験を踏まえ、最新のサイバーセキュリティ動向の振り返りやセキュリティソリューションの有効性についてご説明いただくとともに、元CIA CISOから聞いた情報セキュリティにおける6つのベストプラクティスについてもお話しいただいた。
なお、今回は新型コロナ感染予防の観点から、Zoomによるオンライン開催となった。

(1)イニシャルアクセスブローカーについて

イニシャルアクセスブローカー(IAB)とは、サイバー攻撃において攻撃対象のネットワーク又はシステムに侵入するための経路を確立して、その権利を他の攻撃者へ販売するバイヤーで、特にランサムウエア―被害においてIABが大きく関与している。これらの被害にあう企業に共通してみられるのが、AttackSurfaceを意識していないことである。AttackSurfaceとはサイバー攻撃を受ける可能性がある攻撃点のことであり、このAttackSurfaceの数を減らしていくことがセキュリティ対策で重要である。実はAttackSurfaceにつながる情報は、合法的手段に限定しても短時間で外部からでも多く得ることが可能である。したがって、自組織が意図せずに公開していた情報やシステムを把握し、見落とされていた設定不備や脆弱性への対応が必要である。これにはセキュリティベンダーの推奨する提案を鵜吞みにせず、自組織の脆弱性に合致した対策を構築すること。加えてテクノロジー対策のみに特化するのでなく、従業員がセキュリティガードを下げてしまうような行動等を起こすことが無いよう人への対策も重要である。

(2)Emotet について

一度テイクダウンしたEmotetが2021年11月頃から新しい運営組織の元で活動を再開し、以前より攻撃がレベルアップし感染が広まっていることから注意喚起を含め情報を共有する。主なレベルアップの内容は、迷惑メールフィルターの信頼度スコアの低減回避や、添付ファイルがアンチウィルスソフトをすり抜ける仕組みを具備している。またEmotetの感染拡大で生じた問題として、攻撃メールの着弾だけで感染の有無は特定できず、感染源が容易に特定できないこと、また発見し駆除できたとしても、Emotetが呼び込んだ別の脅威が残っており、当該端末の「初期化」が必要となる。これら非常に危険性の高いマルウエアであるため十分な注意が必要である。

(3)セキュリティソリューションの動向と実例紹介

現行の防御技術について①中核技術は過去の情報に依存するため過去の情報が活用できない脅威に対しては無力である。②アンチウイルスは歴史あるセキュリティツールであるが故に検出を回避する対抗技術がすでに多数存在している。といった課題が存在する。この現状を踏まえ、事前対策から事後対策へシフトする動きがあるが、事業継続性が保証されない、24時間365日監視等の体制が必要、検知・調査・復旧のそれぞれの専門人材配置 などの問題がこの分野で先行する欧米にて指摘されている。そこで最近は従来の「すべてを『許可』して例外で『拒否』する」守り方から、「すべてを『拒否』して例外で『許可』する」守り方への転換が提唱されている。ここで述べた「許可」も「No Trust」の考え方に基づき必要最小限の動作のみに限定することで、仮に侵入されたとしても侵入者の行動に制限がかけられ攻撃を無効化させるといった防御概念である。最近ではさらに踏み込んで「Zero Trust」と呼んでいる。
事例として全日空のZero Trustへの取り組みを以下に紹介する。同社はセキュリティ対策の柱として多量のマイレージ会員情報の保護、重要インフラ事業者の責務としてシステムの常時安定稼働とし、エンドポイント(端末とサーバ)に対してZero Trustの考え方を導入した。Zero Trustの導入の効果としてシステムの監視やOSのアップデート、新たな脅威に対する対策へのコストが大幅に削減され、効率的なセキュリティ態勢の構築につながっている。

(4)Robert Bigman氏の教え

 Robert Bigman氏は元CIAのCISOとして在任中実践していた6つのベストプラクティスの紹介。
1.ネットワーク、OS、アプリケーションをゴールドイメージで固定。ゴールドイメ
ージとはベースとなる環境を決めること。
2.強固な二要素認証でログイン強化
3.アカウント権限の分離を確実に実施。管理者とユーザの明確化や不要アカウントの削除など
4.ネットワークレベルの分離を実施。マイクロセグメント化でシステム間の通信を制御すること。
5.カーネルとメモリ保護の対策。
6.脆弱性検知とパッチマネージメントの自動実行

6.所感

講師の鴫原先生は2004年からシステム、ネットワークの最適化事業、セキュリティアドバイザーとして活躍されており、現在は(株)Blue Planet-worksのセキュリティアドバイザーを努められるなどその道の専門家である。講演内容は自身の経験も踏まえた具体的な事例を紹介されるなど非常に解り易く説明いただいた。サイバーセキュリティは今まさに全世界的に喫緊のリスクであり、すべての事業者が取り組むべき課題ではある。そのためには自組織のシステムの脆弱性の状況を正しく把握し、どのような脅威にさらされるかを理解したうえで自組織の状況に合致した対策を講じる。いわば基本事項をしっかりと押さえて対策していくことが重要と改めて認識した。

以上