2020年はセキュリティ対策見直しのきっかけに
「プリペイド決済で不正アクセス」「不正アクセス被害で大量の情報流出か」──毎日のように個人情報の流出、不正アクセス、コンテンツの改ざんといったニュースが報道される現在。特に自社でコンテンツ、ウェブサイトを開設している企業にとって、これらの事件は他人事ではないはずだ。
コロナウイルスの影響で働き方が多様化した結果、情報システムの利用方法の変化や、インシデント発生時の連絡体制など、今まで当たり前に考えてきたセキュリティのあり方を改めて考え直すきっかけになったのではないだろうか。
VPNの脆弱性、Wi-Fiの覗き見から起こるセキュリティクライシス
セキュリティ対策の中で多くの会社が取り入れているのが「VPN(Virtual Private Network)接続」。専用のルーターを設置し、インターネット上に仮想の専用線を設定し関係者だけが利用できる専用のネットワークシステムだ。しかし、VPNも盤石ではない。
「VPNの脆弱性がそもそも問われています。VPNを使ってそこから侵入される事例が、コロナ禍において増えてきています」
そう語るのは、株式会社サイバーセキュリティクラウド 代表取締役社長 兼 CTOの渡辺洋司氏だ。同社は2020年3月には東証マザーズに上場を果たし、4月21日には時価総額1000億円を達成。「世界中の人々が安心安全に使えるサイバー空間を創造する」というビジョンのもと、Webアプリケーションの情報セキュリティサービスを、サブスクリプションで国内では導入社数・サイト数国内No.1※を獲得し、世界では70カ国/地域超、2500以上のクライアントに提供している。
VPNはもともと社外から社内のネットワークに安全に接続するための手段として用いられている。しかし、2019年後半ごろから遠隔操作による攻撃や、乗っ取りなどの被害報告が相次いだ。最近では、11月末に警視庁内の端末が1年以上前から不正アクセスを受けていたことが発覚。VPNのパスワードが第三者に利用された可能性があると報道されている。
もう一つ、気軽に利用できるだけに危険性が高いのが無料Wi-Fiだ。渡辺氏は改めて警鐘を鳴らす。
「外出先で無料Wi-Fiに繋げている人は多いと思いますが、Wi-Fiはそもそも覗き見されやすいシステムになっている。そこに、攻撃者が用意した、カフェや鉄道などに似せたアクセスポイント名を見つけ、うっかり使った場合、通信が丸見えになってしまう。漏洩していることすら気づかない場合もありますね」
サイバーセキュリティクラウド取締役CTO 渡辺洋司氏
電子マネー決済での不正出金、偽ショッピングサイト等 Webサイトでの被害も
コロナ禍で働き方に大きな変化が起き、社内だけでのやり取りから、点在する場所で社員がアクセスすることが多くなった。誰が見ているか聞いているかわからない、隣が誰か知らない環境での情報のやり取りが日常となりつつある。その結果、いつ何時でも攻撃されたり盗まれたりする可能性が高くなっているのだ。
「攻撃されると何が起きるか。データを書き換えられる、管理している個人情報を抜き取られてしまうだけではなく、サーバーを利用してさらに別のシステムを攻撃するケースもあります。自社の被害だけではなく他者への攻撃に加担する、加害者になることもありうるのです」
働き方の変化によるサイバー被害だけでなく、架空口座作成による銀行からの不正引き出しや証券会社サイトからの不正出金などWeb サイトに関わる被害事例も数多い。渡辺氏によると、「本物にそっくりなショッピングサイトによる購入操作を行わせることにより、クレジットカード情報を含む個人情報の窃取など、様々な方法で私たち個人の安心安全が脅かされることが増えている」という。
セキュリティ対策に欠かせない次世代のファイアーウォール「クラウド型WAF」
サイバーセキュリティクラウドは2019年10月1日から2020年9月30日までに公表された、不正アクセスに関する被害規模1000件以上100万人未満で中規模の個人情報漏洩事案について業界別に比較分析を行った。それによると、個人情報漏洩事案が最も多かったのは小売業界で全体の24%、次いでサービス・インフラ業界の22%、メーカー業界の18%。金融業界における漏洩事案は6%に留まった。 また、上場企業(グループを含む) が占める割合を計測したところ、事案が発生した企業のうち、約43%が上場企業において発生していることがわかったという。
さらに、個人情報漏洩事故が発生した際に要する日数に関する調査では、攻撃を受けてから発覚するまでに平均383日、さらに、サイバー攻撃が発覚してから公表するまでには平均69日、合計すると発生から公表まで平均452日もの日数を要している。
「発覚から公表まで時間がかかると、被害にあった法人や団体が個人情報流出による責任を負うだけではなく、さらなる信頼損失につながる恐れがあります」(渡辺氏)
そこで、今後のセキュリティ対策として考えたいのが次世代のFW(ファイアウォール)であるWAF(Web Application Firewall)だ。サイバーセキュリティクラウドが提供しているクラウド型WAFサービス「攻撃遮断くん」は、SQLインジェクションやクロスサイトスクリプティング(XSS)など、従来のFWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができる。
「攻撃遮断くん」は日本国内に拠点を構えた国産WAFベンダーが、日本でのセキュリティ情勢に合わせたサービス提供と運用。24時間365日の手厚いサポートや、国内トップクラスの脆弱性対応スピードといったメリットがあり、導入企業はベンチャーから大手企業まで1万2000サイト、継続率は98.9%の高さを誇っている。
「数十数百ものWebサイトを持っている場合、人で全てを監視するのは不可能です。AIやシステムの力を活用し、攻撃をブロックするルールの最適化やチェック体制を作っていくことが、企業規模を問わずサイト管理の前提になってきます」
パブリッククラウドで提供されている WAFを自動で運用することが可能なサービス「WafCharm」
組織の衛生管理を行い、トラブルを全社で共有できる健全で透明性のある組織づくりを
基本的なリスク防止策として、単純かつすぐ見破られるパスワードの設定にしない、公共の場所で重要なメールの送受信や会話は控える、自分が持ち込んだ端末以外は使わない、などが挙げられる。ではこれからの時代、企業がリスクを回避するために必要な心構えは何かを渡辺氏に聞くと、「会社全体で情報がオープンになること」が大事だと語る。
システム上でおかしいことがあった場合、全社的に共有し、それを受けて経営者がセキュリティインシデントにつながるものか否か、調査にしっかりと時間をかける。そして、インシデントとなった場合、誰がおうのか、何を知りたいのかを全社で共有する。現場で何が起きているのか、経営層までしっかり上がってくる透明性のある仕組みづくりが重要になるという。
さらに渡辺氏は、自分たちの事業において何が問題になるのか「棚卸し」をきちんとするべきだと指摘する。
「例えば個人情報を管理している場合、顧客のクレジット情報は含むのか、住所や氏名など、どこまで自分たちが管理するのか。優先度を決め、高いものから対策を立てていく。洗い出したのち、事業のリスク度合いと照らし合わせ、次にやるべきことを明確にするというのが非常に重要になるかと思います」
セキュリティを甘く見た結果、攻撃を受けると解決に向けた時間と労力がかかる上、顧客からの信用も失い、サービス自体が立ち行かなくなることなど、そのダメージは深刻だ。サービスを立ち上げる前、または拡大する前に、セキュリティ対策を念頭に置いておかないと、後で苦しめられる可能性がある。
サイバー空間の衛生管理(サイバーハイジーン)を支える資源管理と脆弱性管理サービス
企業を支える情報システムのサーバーや事業活動の中心となるWeb アプリケーションのサーバーには、「衛生管理」の概念が欠かせない。これを「サイバーハイジーン」と言う。
サイバーハイジーンとは、サイバーセキュリティ基本法に則った施策の方針で示されているもので、サイバー空間(サーバー、ネットワークなど)の衛生管理を徹底するものだ。サイバーハイジーンでは、企業内の端末を把握し、脆弱性の有無を可視化と対処を行う。常時サーバー空間の健康状態を把握し、異常があれば即座に発見、素早く対応することで企業内のサイバー空間を健全な状態に保つことができ、既知の脆弱性や新たな脆弱性に対して一定のレベルで備えることができる。
このような一連の業務を実現する考え方として、SOAR (Security Orchestration, Automation and Response) がある。SOAR は、セキュリティ・イベントへの対応に関して、予め決められた手順やプロセスに従い、判断・承認、対処などを自動的(Automation)に行い、インシデントに対する担当アサイン、ステータス管理、対応履歴・記録(Response) の全体制御(Orchestration)を行う。
サイバーセキュリティクラウドが2020年12月に完全子会社化した株式会社ソフテックでは、社会がサイバーハイジーンへと対応する動きが強まる以前から、一般に公表されている脆弱性情報を独自の調査、評価を行い、脆弱性データベースとして公開するサービスを提供してきた。さらに近年サイバーハイジーンへの要求の高まりやSOARの広がりを見越して、企業が持つサーバーやそのソフトウェアを管理し、それらに脆弱性があるかどうかをソフテック社の脆弱性データベースに照らし合わせ、発見、トリアージ、対処まで一連の対応を行うサービス「SIDfm」シリーズを提供している。
株式会社ソフテックが提供する「SIDfmVM」 概略図
コロナ収束後もおそらくリモートワークやテレワークによって様々な場所からの情報の行き来があり、Webサイトの重要性もさらに増していくだろう。デジタルトランスフォーメーション(DX)が加速する今だからこそ、セキュリティに対し、もう一度根本から見直す時期が来ているのかもしれない。
※出典:「クラウド型WAFサービス」に関する市場調査(2019年6月16日現在)<ESP総研 調べ>(2019年5月〜2019年6月 調査)
渡辺洋司◎株式会社サイバーセキュリティクラウド 代表取締役社長 兼 CTO
1975年生まれ。明治大学理工学部情報科学科を卒業。大手IT企業の研究開発のコンサルティングを手掛ける企業において、クラウドシステム、リアルタイム分散処理・異常検知の研究開発に携わる。2016年 株式会社サイバーセキュリティクラウド CTOに就任。2020年 株式会社ソフテック代表取締役社長に就任、2021年株式会社サイバーセキュリティクラウド 代表取締役社長 兼 CTO就任。
サイバーセキュリティクラウド社内にて。左はWebセキュリティ事業本部 WAF自動運用サービス部 部長の市川悠人氏
▶サイバーセキュリティクラウド
