【Trend Micro DIRECTION 2018】セキュリティリスク管理の方程式で被害を抑える
2018年11月16日金曜日、東京タワーからほど近いザ・プリンスパークタワー東京を会場として、「Trend Micro DIRECTION 東京」が開催された。このイベントは、トレンドマイクロ株式会社主催で毎年行われるセキュリティカンファレンスである。
トレンドマイクロの行っているセキュリティリサーチからわかる最新のサイバー犯罪傾向や国内外の被害事例、現在そして将来に向けてのセキュリティビジョンについてとその周辺技術や対策の数々が語られた。
本記事では、“これからの時代のセキュリティ”について、基調講演の模様と関連するセッションの様子をお届けする。
この記事の目次
セキュリティへの関心の高さが伺える盛況ぶり
イベント会場は、6つの専門セッション会場と、協賛企業による展示会場があった。どこも人であふれ、戸口には入場を待つ人の行列ができていた。世間のセキュリティへの関心の高さをそのまま表したような来場者の多さである。
「Trend Micro DIRECTION 東京」は、第一部として、トレンドマイクロ株式会社取締役副社長の大三川 彰彦氏の開催挨拶に始まり、トヨタ自動車株式会社の寺澤 知昭氏による特別講演、トレンドマイクロ株式会社代表取締役社長兼CEOエバ・チェン氏による基調講演が行われた。
特別講演 ~セキュリティもトヨタ式~
(寺澤 知昭氏(トヨタ自動車株式会社))
トヨタ式セキュリティ対策の考え方
スピーカーの寺澤 知昭氏は2012年からトヨタの情報セキュリティに携わってきた人物だ。今回は、トヨタの企業活動を支えるセキュリティ対策の考え方について語った。
「前年度比で、トヨタの受けたサイバー攻撃検知件数は3倍以上」と、年々厳しくなっているサイバー攻撃の実情を述べ、犯罪の巧妙化や多様化につれてセキュリティの製品やソリューションも多様化していて自社に適切なものを選ぶのが難しくなっている現状を伝えた。まずは、自社のセキュリティ要件の明確化が重要だという。
スマートフォンの活用やリモート会議の普及による働き方の変遷、サイバー攻撃の高度化といった社会の変化に合わせてセキュリティ対策をより高度な次元へ引き上げるとして、トヨタは金融機関並みのの強固なセキュリティ対策レベルへとシフトした。
2015年にアメリカで発行され昨年同国内で義務化されたサイバーセキュリティガイドラインのNISTフレームワークを採用しているという。(関連記事:「【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?」「使える!情シス三段用語辞典71:NIST SP800-171」)
フレームワークに従って、攻撃検知から復旧までのフェーズごとにルールや体制や必要システムを設定し、セキュリティ要件を「見える化」している。
セキュリティコストを抑える工夫
これまでにトヨタグループ全体でセキュリティ施策を展開してきたが、現在は仕入れ先などサプライチェーン全体にまでその裾野を広げようとしているという。対策が共通化できると、全体のコスト削減にもつながるという。
「ご参考情報ですが」と前うって、セキュリティ製品選定時のちょっとしたTipsも披露した。単純な性能評価や機能有無の○×評価だけでなく、たとえばウイルス誤検知でも具体的に何のアプリケーションを誤検知したかなどの内容を吟味して、実際の業務形態や運用に合ったものを選ぶとよいという。
トヨタでは、製品選定の際、誤検知で業務使用アプリを検出した製品AとOS標準アプリを検出した製品Bのうち、業務アプリ配布前にチェックを行えば誤検知が起こらないことから、運用ルールを追加してAの製品を選定することで、不要なアラートを除外できたという。誤検知・過検知に振り回されないように製品選定時から考慮しておくことがよいとのことだ。
All Toyota Security Guideline「ATSG」の紹介
トヨタでは2005年にウイルス被害が発生したことを発端に、トヨタ独自のセキュリティガイドライン「ATSG(All Toyota Security Guideline)」を制定し定期点検を開始した。
高度化していくサイバー犯罪対応のため、3年ごとに実事例をふまえてガイドラインを見直し改善を続けているという。最新版には
・NIST「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」
・経産省「サイバーセキュリティ経営ガイドライン」
・JPCERT「CSIRTマニュアル」
・IPA「情報セキュリティ10大脅威」
など、外部団体や省庁・企業発行の文献を盛り込んでいる。
社員教育でメール詐欺対応の練習も
トヨタでは、全社員への教育活動やセキュリティ行動に関する啓蒙も定期的に行っている。社員には、抜き打ちテストのように標的型メールが送られてくることがある。本物の外部攻撃ではなくあくまでも研修用のメールで、実際に標的型メールを受け取った際に安全に対処できるかの練習のためだ。
2012年には半数近くの社員が開封してしまったそうだが、2016年には6.1%まで減ったという。
しかし、そこで満足しないのがトヨタ式。
その時点の対象メールは、その頃多かった不自然な日本語で書かれたものや、外国アドレスのものだった。しかし近年は、より巧妙な日本語を使い日本企業向けにローカライズされた内容のメールが出回っている。2017年からはメール本文をブラッシュアップして正しい日本語を使ったメールで内容もより巧妙なものに変え、引き続きテストを実行し続けているという。実践的な訓練で危機感を維持することも重要と語った。
結論:「適切なフェーズで適切な対応」が効果を生む
最後にトレンドマイクロへのサービス充実化や最新ソリューション提供の期待を述べて寺澤氏のゲスト公演は終わった。
寺澤氏の言、そしてトヨタのセキュリティ対応の根底にあるのは「適切なフェーズで適切な対応をすることが効果を生む」という姿勢だった。
セキュリティ課題に対して、手を抜けば業務が危機にさらされるが、突き詰めれば際限なく手間やコストがかかってしまう。効果的かつ安全に対応することが重要だ。その最も効率的なアプローチが「適切なフェーズで適切な対応」をするということだ。
トレンドマイクロ基調講演:エバ・チェン氏
続いてトレンドマイクロ社代表取締役社長兼CEOエバ・チェン氏が登壇し、笑顔で「ありがとうございました!」と日本語で挨拶をして会場を沸かせた。
つながる世界を安全にする、ひとつのビジョン
基調講演のテーマは、「Securing the Connected World~つながる世界を安全にする、ひとつのビジョン~」。今年はトレンドマイクロの設立30周年記念の年であり、その謝意を述べて講演が始まった。
(エバ・チェン氏(トレンドマイクロ株式会社))
今も増え続けていく脅威
講演タイトルにある通り「つながる世界」というのが今回のキーワードとなる。まずチェン氏は社会が抱えるセキュリティ課題について言及した。
トレンドマイクロの調査によると、組織の端末内に脆弱性や未知のマルウェアを内包している割合は69%もある。新しく開発されているランサムウェアも未だ多く、2017年は1ヶ月に27種ものランサムウェアが発見されたそうだ。IoTデバイスの悪用に対する対策も急務だ。
近年流行りの機械学習や仮想通貨など、「わたしたちにとって便利なものは犯罪者にとっても便利」。それらはサイバー犯罪に利用され、結果として脅威の検出をより難しいものにしている。
広がっていくIoT技術の裏で、IoTデバイスへの攻撃またはその攻撃利用、今後汎用的なPCではなくIoTの専用端末が増加することで防御対象端末の種類が多様化することなど、今後新たなセキュリティ課題が増大していくとチェン氏は語った。
様々なモノがつながる超スマート社会、ソサエティ5.0
講演タイトルの「つながる世界」とは、日本政府の提唱する「Society5.0」がベースにある。「Society5.0」とは、サイバー空間と物理的空間の融合により、今まで埋もれていた細かい個々のニーズに対し、地域・年齢などの格差なくきめ細かく対応できるような新たな経済社会のことである。例えば、ドローンや介護ロボットの高性能化によって人手の足りない地域の労働力を補ったり、AIとビッグデータ分析の連携でさまざまなシチュエーションで人間に最適な情報提供をしたりすることが可能となる社会だ。
チェン氏はこれを「Value Creation(価値創造)」と語った。現在の、システムごとにサイロ化された情報分析から、多種システムの連携へと社会全体が変わることにより、今まで見えなかった新たな価値の創造につながるからだ。同時に、環境全体にわたる「意味のある可視化」が必要となる、と語った。
「この新しい社会では部分ごとのセキュリティではなく、全体が安全に守られなければならない。」トレンドマイクロでは、AIを用いたビッグデータ分析をすでに採用し、同社の各ソリューションの強化を実現しているという。
セキュリティリスク管理の方程式
どんなに防御をかためても、攻撃を100%防ぐことはできない。ただし、攻撃を受ける前の予防、受けた際の検知、解析、対処といったライフサイクルごとに対応するセキュリティ製品群の連携を行うことによって被害を抑えることができる。同社のセキュリティシステムは“製品”ではなく“ソリューション”だと語った。
そして、同社が提唱するセキュリティリスク管理の方程式についての紹介があった。
(エバ・チェン氏講演スライドより)
セキュリティリスク管理は、3つの要素から成り立つということを表している。第一項は、セキュリティの対象となるシステムの形態や情報社会のトレンドなど、インフラストラクチャーの変遷についていき対応すること。第二項は、システムユーザーの行動に起因するリスクを考慮すること。第三項は、多様な脅威に対する保護の提供。特に第二項について、ユーザーを置き去りにせず、確認やミスなどもひっくるめて保護を考えることが必須であると強調した。
そして、Society5.0の時代には、高スキル人材の不足を補うための人材教育、社会全体としてサイバー攻撃に対応するための情報共有、洗練された手口に対する技術的対策が重要であると語った。
“層”で守るセキュリティ戦略
トレンドマイクロの取り組みとして、グローバル企業~中小企業~消費者までの幅広いセキュリティニーズに応えるためパートナー企業同士の連携を行っている。
インフラレベルからサービスレベルまで、どの層にもそれぞれのセキュリティサービスを用意し、顧客にとって最適なセキュリティを選択することができるようにしているとのこと。
これからのセキュリティは「可視化」
トレンドマイクロは今後、セキュリティシステムでのインテリジェンス中心の考え方からより可視性を重視する方向にシフトするという。数々の製品連携を行うセキュリティサービスにおいて、すべてを一元的に見ることのできる“上からの視点”で全体を見渡せることが重要との考えだ。講演タイトルの「One Vision」とは、この可視化された運用のことを指していた。
また、同社の運営する「Zero Day Initiative」という未知の脆弱性の研究を行うコミュニティついて紹介し、ゼロデイ攻撃対策研究についての熱意を伝えた。
IT+OTシステムの課題解決に乗り出す
チェン氏は「これからITとOTの融合が起こる」と語った。ここでいうOTとはOperational Technology、ITに対し産業分野での制御技術のことを指す。今まではOTは基本的にオンプレミスシステムでネットワークからさえも切り離されて運用されることが多かった。しかし、Society5.0の社会では、ITとOTがネットワークでつながれていくこととなる。そこでのセキュリティ課題も見えてきたという。
今まで別分野であったITとOTの技術交流が進んでおらずセキュリティへの対策が進んでいないこと、可視性のなさなどが大きな課題でさらにシステムとして生産性の追求も求められる中、ひとたび脅威にさらされれば企業にとってまさに致命的な大打撃となる。産業分野では、生産工程こそが一番大事な部分だ。
そこで、トレンドマイクロは、システムのゾーン分けを行うセキュリティ対策を提唱する。工場内の製作のフィールド、制御部分、モニタリング部分などのゾーンを分け、それぞれに優先度設定と最適な対応ツールを適用することで「最適なフェーズで最適な対応」を行うことをソリューションとして提供するという。
すでに、産業システムのネットワーク製品を提供するMOXA社と協力し、新たな社会のセキュリティソリューションの共同開発に乗り出しているということだ。
事例セッションから~つながる時代のセキュリティ
「つながる世界」の脅威の具体的事例
エバ・チェン氏の講演のあと、複数の会場でセッションが行われた。次に、セッションの一つを紹介する。
ここで紹介するセッションは、トレンドマイクロの染谷 征良氏によるサイバーセキュリティ事例紹介だ。
(スピーカーの染谷 征良氏(トレンドマイクロ株式会社))
国内で42%の法人がセキュリティインシデント被害に
衝撃的な数字だが、トレンドマイクロの2018年度版調査によると、国内の法人組織のうち42.3%が何らかのセキュリティインシデントにより被害を受けた経験があるそうだ。情報漏えいが多く33%を占めているという。
また、被害組織での年間被害額の平均は2億円を超えるという。中小企業においても、1億円を超えた被害がでているとのことだ。
近年セキュリティ事案の深刻な被害の報道が減っている印象だが、実際の被害は減っているわけではない、と染谷氏は語った。
かさむインシデントコストとその内情
インシデントコストとは、セキュリティインシデントが起きた際に、復旧にかかる費用や顧客へのお詫びの品、コールセンター増員など追加でかかるコストのことだ。セキュリティインシデントの際はさまざまな削りにくいコストがそれなりにかかってくる。
トレンドマイクロの調査では、これらのコストの分析も行っているという。
サイバー攻撃の場合は、攻撃を受けた後に営業を継続するための追加費用と、システム復旧コストが多くなるという。また内部犯行の場合はお詫びなどの費用が多くなり、犯人が内部からデータ削除などの行為をしやすいためかデータ復旧コストがかさむ傾向があるといったことがわかったという。
近年世界的に増えている!ビジネスメール詐欺
2018年、日本語で書かれたビジネス詐欺メールが出回っていることが確認された。
企業の最高責任者の名前を騙り、支払い処理について弁護士とのやりとりがあったようなことをにおわせた内容で、企業の経理担当者が受信者と想定されているメールだ。
そのような内容のメールは世界各地で確認され、世界的にビジネスメール詐欺活動が行われていると語った。
ビジネスメール詐欺被害額は2017年以降うなぎのぼりで、一件当たりの被害額は2000万円ほどという。海外では数十億円単位の被害も出ており、被害が深刻化している。
法人向けフィッシング詐欺も増えている
ビジネス相手を装った、法人向けのフィッシング詐欺も被害が大きいという。ここ数年アメリカで流行していた詐欺手口がようやく日本へ来たというのが実情とみられる。
フィッシング詐欺の具体的な被害内容は、メールアカウントの乗っ取り、そのアカウントから大量メール送信が行われる、また個人情報の抜き取りなどだ。
その原因はクラウド化、ペーパーレスが流行の一因か
これらの詐欺が日本で顕在化してきた理由として、クラウドメールサービスの普及があると氏は語った。2ファクタ認証ではなく、IDとパスワードのみでの認証で運用している例がまだ多く、乗っ取り被害にあいやすいという。
また、見積書や発注書など、過去紙ベースでやりとりしていた書類も、現在はPDF形式でメール送信する運用が多くなっている。サイバー犯罪もそこにつけいって隙を狙っているというわけだ。
ランサムウェア被害も高止まり
ランサムウェアの被害も収束しているわけではない。日本でランサムウェアの被害が深刻化してきた2016年頃と比較すると、2018年に確認された被害件数は、10億件から4000万件へと激減している。ただし実際に感染している端末数は高止まりして減少していない傾向だという。
沈静化しているようにみえても攻撃は続いており、標的を企業に狙いをシフトしているのではと推測されるとのこと。
ランサムウェアの新規発見個数も減っておらず、次々と最新のものが出てきているという。
仮想通貨普及の裏で
そして2018年は、「コインマイナー」といわれる仮想通貨マイニングを不正に行うマルウェアの検出台数が急増していることが特徴的だという。企業の所持するサーバーはシャットダウン頻度が少ないため、特に狙われているという可能性があるという。「我々に便利なものは、犯罪者にとっても便利。」と、染谷氏もチェン氏と同じ言葉を語った。
判別しづらい脅威を見極める3つのポイント
サイバー攻撃にWindows標準搭載のコマンドなどを使われると、監視側から見て、通常運用との区別が困難だ。そういった区別がしづらい攻撃を見極めるため、同社では大きく3つの挙動を併せて監視しているという。
・ファイル転送
・リモート実行
・痕跡消去
この3つの挙動は、1つだけでは犯罪とは無縁のものもあるが、2点以上を行うプロセスは、犯罪に絡んでいることが多く、3つとも行うことが確認された場合はほぼ確実に侵入されているという。
そのように、セキュリティ対策として、一部を見るのではなく全体を俯瞰した監視が必要だと語った。攻撃はピンポイントの点として見えるが、「線」でとらえて見ていく必要があるという。
「つながる社会」のセキュリティ対策は、「つながる」こと
これらのリスクに、どう対処すればよいか。染谷氏は「つながり」が大切だという。
個人情報の法規制や、サイバー犯罪の手口は年々変化している。それについていくことは必須条件だ。また会社として稟議の運用があったおかげで詐欺を防ぐことができた事例もあり、業務プロセスの盲点を探しておくことなど、会社と社員個人、セキュリティ専門家、サプライチェーンなどとのつながりが重要だという。そういった縦横のつながりで、課題を解決していくことが有効だとのことだ。
IoT時代に必要なセキュリティとは、セキュリティに従事している人々がつながって情報共有をしていったり、学びを得たりということができることと結論の弁があった。
まとめ
新しい脅威に置きざりにされない!
“これからの時代のセキュリティ“の要素をまとめると、
・IoT時代は、端末の種類が増えるという意味でセキュリティ対策がより煩雑になっていく
・システム/データ連携が密になっていくスマート社会では、セキュリティも連携が必要
・サイバー犯罪がどんどん進化しているため、対策も更新し続ける
となる。
セキュリティカンファレンスということで、最新の事例やその他パートナー企業のセキュリティ製品紹介もあったが、クラウドやIoT、AIの活躍する時代のセキュリティは以前よりずっと厳しいものになることが感じられた。
また、手口がより巧妙に進化していることがわかり、リテラシーにある程度自信がある人や組織にとっても、危険性は増していると感じた。今後はセキュリティ情報を個々人が積極的に取り入れていくことが必要かもしれない。
セキュリティ担当者だけでなく従業員も経理担当者も経営層も、みな自分が狙われているという意識を持ち、意識を高めていきたい。
【執筆:編集Gp 星野 美緒】