IT デューデリジェンスについての課題（第三回）

IT デューデリジェンスについての課題（第三回）カバー画像

石塚：前回の対談でも触れましたが、世界中で多くのサイバー事件が起こっています。その特徴的な側面として、一般的にサイバーセキュリティが最も強固だと思われているアメリカでさえサイバー攻撃の被害にあっていることが挙げられます。防衛産業を含めた国家レベルの組織もその攻撃の対象となっています。

また、日本でも全てが報道されてはいませんが、実は驚く程の情報漏洩事件が民間でも起きていて、いずれアメリカのように大規模な脅威にさらされる事は明白です。そのような事態に向け、より一層、日本のサイバーセキュリティ対策をグローバルレベルに持っていく必要があると考えています。

これまでは主に個人情報や知的財産などがサイバー攻撃のターゲットでしたが、最近はその対象も変化しています。海外では石油のインフラを狙った攻撃がありました。日本の場合だと水の安全などが課題になるかも知れません。サイバー攻撃により水道のシステムを乗っ取られることで、地域住民の健康を「身代金」にとられてしまうといった事態にもなりかねないのです。

日本のサイバーセキュリティ対策をグローバルレベルに持っていく必要があると思っています。

松本：日本もオリンピックなどで世界から注目され、かつ、新型コロナウイルスによる生活の変化を通じ多くの分野でデジタル化が大きく進んだ 2021 年でした。そして急速なデジタル化が進む日本企業にとって、サイバーセキュリティ対策として第三者による客観的なアセスメントである「OSINT リスクアセスメント」が有効であるという点を前回お話いただきました。

我々、この第三者という点が大変重要だと思っておりまして、本日は当社で脆弱性診断のサービスを担当しております宮坂が参加していますので、宮坂からも第三者による脆弱性診断の重要性といったところを説明してもらいます。

宮坂：現在主流の脆弱性の調査方法としては、一般的に「脆弱性診断」や「脆弱性検査」と呼ばれるものがあります。当社を含め国内の各社がサービスを提供していますが、これはチェック対象をチェック項目に沿って脆弱性の有無を確認していくものです。

一方、攻撃手法も常に進化しており、昨今ではランサムウェアを使った攻撃やネット詐欺など、「人間の行動や振る舞い」を狙った攻撃にシフトしてきています。
こうした中注目を浴びているのが、「ペネトレーションテスト」と呼ばれる検査方法です。「ペネトレーションテスト」は対象システムそのものへの侵入可否を調査します。

日本はこうしたサービスでもワールドワイドの潮流から見るとガラパゴス化していると思っています。顧客を大切にしすぎている面があり、良かれ悪かれ「顧客の都合」を中心にしてサービスが展開されてきました。
具体的には、ペネトレーションテストをやろうとすると、「業務が止まるのでいつ検査をするか教えて欲しい」、「このテストは社内調整が難しいのでやらないで欲しい」といった事を言われることもあります。したがって、都合の良い部分や時間帯での検査を実施して、本来攻撃者が狙ってくるポイントを検査シナリオから外してしまっていることもあると考えています。

松本：実際の攻撃者はそんな事を気にしてサイバー攻撃などしないわけで、実際そこにあるリスクとそれを評価するための検査内容に大きな乖離が生まれてしまっている訳ですね。

宮坂：一方アメリカをはじめ先進的な国々ではどうやっているかといいますと、実際の攻撃者の行動心理に近い形で「どこに危険性があるか」を可視化していきます。
具体的には、検査員が「出入り業者を装い、玄関から施設に侵入し、執務エリアに入って、PC に USB メモリを差してランサムウェアを仕込めるかどうか」といったところまで実際にやっています。もちろん成功するようにやりますので、相当の時間をかけて準備も入念に行います。

また、日本の企業からは内部ネットワークからの検査は行わずにインターネット経由のみしか想定されていないケースシナリオを要求されます。しかし、先ほどのように実際のサイバー攻撃の手法を見た場合、来客用会議室にあるネットワーク回線ですとか、執務室に置いてある共有 PC からのアクセスなどが攻撃の拠点となる事もあるわけで、こういった点も実際の脅威に備えるためのアセスメントとは乖離していると考えます。

こうした中注目を浴びているのが、「ペネトレーションテスト」と呼ばれるサイバー攻撃の検査方法です。「ペネトレーションテスト」は実際の侵入可否を確認する検査方法です。

残念ながら我が国では「検査をした」というエビデンスの獲得に重点が置かれていて、実際の脅威に備えるアセスメントといったところまで、追いついていないのではないかと考えてしまいます。

当社ではアメリカの国防総省でも採用されている Synack というサービスもご提供していますが、海外ベンダーが実施するペネトレーションテストに対しても、拒絶反応があります。
それはもちろん「海外のベンダーに情報セキュリティに関する依頼ができない」という企業ポリシーもあるかと思いますが、そこもまた、「攻撃者であるハッカーは全員日本人だけなのか？」という話にもなります。こうした検査の実態と実攻撃との乖離は、日本が超えていかなければならない壁だと感じています。

松本：テストシナリオそのものがとても脆弱なんですね。

宮坂：こうした背景の中で、当社としてもセキュリティベンダーとしてチャレンジをしていかなければならないと思い、より高度かつ多様なアセスメントをご用意しようと考えました。「日本の顧客は海外と違うね」という点で完結せずに、日本国内のお客様にもご採用いただきやすく、かつ高度なやり方で、という課題を解決する策として、今回「プラットフォーム診断」というメニューを提供することとしました。

従来の「ネットワーク診断」に加え、サーバーの内部を検査する「ホスト診断」、そしてクラウドサービスがセキュアかつ適切に設定できているかを監査する「クラウド診断」というものをご用意いたしました。
ネットワーク診断で外部との接点を、ホスト診断で境界内部を、さらに利用しているクラウドを監査することで、360 度をご確認いただける形にいたしました。こうしたアプローチであれば、国内のお客様も脆弱性診断というものに関してはそこまで拒絶反応がないため、ご採用いただきやすいサービスになっています。

ネットワークレイヤーのセキュリティ状況を 360°網羅的にチェック

石塚：今お話いただきましたサイバートラストさんのそういった取り組みというのは、非常に良い方法・正しい方法だと思います。我々が前回お話させていただいた OSINT による第三者的なリスク評価、そして今回の第三者的な脆弱性診断で、企業の情報セキュリティはサイバー攻撃に対して十分な保護が望めることになるのではないでしょうか。

先ほど宮坂さんからも言及がありましたが、日本だとペネトレーションテストというものが受け入れられづらい側面があるようです。攻撃志向という言葉になると拒絶反応が出るのは日本人のアレルギーみたいなものですね。

そして、今まで我々が話をしてきた「攻撃」という脅威とは全く異なる視点を持つのがダークウェブ上の脅威です。ダークウェブでは、ハッキングなどで盗まれた情報に加え、内部の人間が悪さをして持ち出したり、廃棄された IT 機器から抜き出されたりして得られた情報なども売買されています。そこで情報を入手してしまえば、攻撃をして情報を得ようがダークウェブから得ようが、結果として情報が悪意ある者に渡ったという事実は変わらないわけです。そしてその情報の中には、もちろん直接的にお金になるものもあれば、社内システムへのログイン情報やオフィスのネットワーク配線図、組織の情報など、新たな攻撃の起点となるための情報もあるかもしれないわけです。

「攻撃」という脅威とは全く異なる視点を持つのがダークウェブ上の脅威です。ダークウェブでは、ハッキングなどで盗まれた情報に加え、内部の人間が悪さをして持ち出したり、廃棄された IT 機器から抜き出されたりして得られた情報なども売買されています。

そのような脅威への対策として、すでにダークウェブ上で当該企業の情報がやり取りされているかどうかを調べる、という脅威検知の方法もあり、そうしたことを企業セキュリティ強化のトリガー・起点にしていくことがこれからのトレンドになると考えています。

松本：日本にマネージドのセキュリティサービスが生まれて 15 年ほどが経ちます。この分野ではどんどん新しい攻撃手法が生まれてくるのでサービスとして成熟するヒマがないと感じています。
これまで３回の対談を通じて「IT デューデリジェンス」というキーワードでお話させていただきました。企業の買収や合併などの際に、お互いの情報システムや情報資産をすり合わせなければならないタイミングというものは必ずあります。そのタイミングこそが、情報セキュリティ対策を継続・継承していくために重要なポイントとなります。第三者視点の脆弱性診断というものの価値を再考いただき、当社の新しいサービスを活用していただきたいと考えております。

石塚：その通りですね。IT デューデリジェンスをサービスとしてより強化していく為、サイバートラストさんとのコラボレーションによる第三者視点でのリスク評価、脆弱性診断を確立していければと思っています。