グローバルに事業を展開する企業にとって、いまやITセキュリティのリスクの高まりはビジネスの拡大と表裏一体をなしています。ひとたび大きなセキュリティインシデントが発生すれば、自社に致命的な損害を与える可能性も大いにありえます。
こうした局面にあって、経営者はどのようにセキュリティに向き合っていくべきなのか。多くの外資系企業でコンサルティングおよびセキュリティ関連サービスに従事し、世界の最新動向に精通する日本TCSの三好 一久が、シリーズで解説します。
第1回:不確実性の中で問われる真の戦略性、トレンド頼みの限界
第4回:セキュリティを難しくさせる3つのギャップと自信の回復
ハイライト
- 「本当の防御力」を得るには、「敵に対し実効性を持つこと」「自社が正しく動けること」「それらの実現状況を継続的に検証できていること」を突き詰めなければならない。
- 実効性を持つためには、具体的に攻撃の性質を分類・整理し、それに相対する備えが必要である。
- 「敵に対して実効性を持つこと」と「自社が正しく動けること」をテスト(検証)することは極めて重要であり、さらにそのテストにおいては網羅性の観点が非常に肝要である。
IN THIS ARTICLE
突き詰めることで理解する「本当の防御力」
さて、本連載最後の投稿である。前回から少し時間が経ってしまったことをお詫びしつつ、これまでの内容を簡単にまとめてみたい。
第1回では、セキュリティの世界では通常のビジネスにおける競争には存在しない、われわれに直接的に損害を与える敵がいるということ。そして強烈な非対称性と圧倒的不利な状況の中で戦い続けなければならない、そのために研ぎ澄まされた戦略が必要だということを述べた。
第2回では、われわれが相手にしている敵とはどんなものなのか、今後どうなっていくのか。そして防御側の努力ゆえに陥りやすいバイアスに捕らわれず、相手の本質を知り、実効性を突き詰めることが重要であると述べた。
第3回では、より具体的な取り組みの側面から考察するために、特に難易度の高いグローバルガバナンスというトピックを取り上げ、それがなぜ難しく、なぜ失敗するのか、失敗しないためには何を押さえないといけないのか、ガバナンスにおける責任分界などにも触れながら解説した。
第4回では、セキュリティを難しくさせる本質的な課題として、3つのギャップ、すなわち「攻撃する側と守る側のギャップ」「経営層と現場担当のギャップ」「売り手と買い手のギャップ」について解説し、特に経営と現場の共通言語として欠かせないセキュリティの経営指標(KPI)の重要性について述べた。
このように、これまでさまざまな観点からセキュリティにおいて重要と考えられる論点を整理してきたが、果たして「本当の防御力」とは何なのか。AIの台頭によって環境や攻撃量、手法も大きく変化してきている中で、どうすればわれわれはセキュリティについて「できている」と言えるのか。最も重要な点を最後に語っておきたい。
セキュリティ対策を考える上で必要な要素は、戦略、予算、技術、ガバナンス、スピード、アプローチ、プロセス、人材、情報・・・などなど、さまざまある。果たして、どれがどのように満たされていれば「できている」と言えるだろうか?これらを同時に満遍なく考えようとすると、とてもややこしい。
第3回のコラムで触れたが、私は、物事を考える際「複雑なものをさらに複雑にしてはいけない」と常々思っている。世にはびこる安易なリスクマネジメントフレームワークなどが最たる例であるが、多くの企業が実効性のよく分からない形式的な取り組みに振り回され、本当にやらないといけない事へのフォーカスを失っている。議論や取り組みを発散させずに、真のゴールに無駄なく最短でアプローチできる方法はないのだろうか?もっとシンプルな答えが欲しくはないか
この問いの答えを出すためには、発想を大きく変える必要がある。複雑に考えるのではなく、そもそもセキュリティにおいてわれわれが「得たいものは何なのか?」、「どうありたいのか?」、それを突き詰めて考えてみるとシンプルに以下のようにまとめられないだろうか。
すなわち、
①敵に対し実効性を持つこと
②自社が正しく動けること
③上記の実現状況を継続的に検証できていること
たった3行であるが、私はこれらがしっかりとできていれば、究極的にはインシデントも損害も発生しないと自信を持って言える。これ以上他に何が必要であろうか。そして施策を組み立てる際は、これらをゴールに、いわんや発想の起点に置くからこそ、最も無駄なく最短で求めたいものが実現できると考えている。
敵に対して実効性を持つこと
これを実現するためには、これまで私が述べてきた、われわれが置かれた環境や相手の性質を知り、防御側のバイアスに注意しなければならない、といった戦うための姿勢を重視する必要がある。しかし、より「実効性」に着目するならば、具体的に攻撃の性質を分類・整理し、それに相対する備えが不可欠である。
さて、読者の皆さんは攻撃について自ら分類・整理をしたことがあるだろうか?
MITRE ATT&CK®※1などはもはや技術者にとっての標準になっているが、スレットハンティング※2など現場の具体的な技術策を考えるならまだしも、経営と絡めて考えるには如何せん技術に寄りすぎており、使えない。そこで私の頭の中でのサイバー攻撃の分類を紹介したい。私にとってサイバー攻撃はシンプルに以下の4種類しかない。(他にもあるかもしれないが、主要なもの、私が日々見かける攻撃はこれらでほぼ分類できている。)
※1MITRE ATT&CK®:米国の非営利団体「MITRE」が運用する知識ベース。サイバー攻撃の戦術とテクニックをまとめたフレームワークで、攻撃者の行動を理解し、防御策を強化するために活用される。
※2スレットハンティング:導入済みの検知製品や既存の検知ルールでは捕捉されず、侵入されていても気づくことができない高度なサイバー攻撃を、システム上の痕跡や異常パターンなどから能動的に探知していく専門的な活動。
A)脆弱性を突くもの
B)権限を悪用するもの
C)通信経路を盗み見るもの
D)ユーザー自身を誘導、操作するもの
A)に分類されるタイプでは脆弱性、いわゆるセキュリティの穴や仕組みの不備が突かれる。脆弱性には製品のもの、自社開発アプリケーションのもの、システムの設定ミス、オペレーションの不備などさまざまあるが、これらは外部からの侵入、情報搾取、内部ネットワークにおける水平展開、権限昇格などあらゆる不正につながる。また、DDoS※3攻撃も広義には可用性に対する準備不足、脆弱性であると考えている。
※3第4回コラム参照
B)に分類されるタイプでは、主にフィッシングメールなどでアカウントを乗っ取った結果として、権限を悪用して不正を働く。アカウントの乗っ取り自体に問題があるように見えるが、本質としては、そのアカウントに紐づいた権限の悪用である。そのため、不正の範囲は、あくまで「乗っ取ったアカウントの権限の範囲内」に留まることがポイントである。
C)に分類されるタイプでは、通信の暗号化がされてない、あるいは弱い場合などにおいて、途中経路において通信内容を盗み見られたり、情報を搾取されたりするケースである。
D)に分類されるタイプでは、フィッシングメールや水飲み場攻撃、ソーシャルエンジニアリングなどが該当するが、ユーザーをだまして(誘導して)プログラムを仕込む、または、送金などをさせるケースである。
上記のうち、C)については、昨今通信インフラにおける暗号化は当たり前となっているため、脆弱性対策がしっかりしていれば、あまり問題になることはない。耐量子暗号(PQC)はいずれ課題になってくるだろうが、一般企業にとってはまだ喫緊の課題ではないし、どちらかというとその対策は製品ベンダーやインフラ提供者側の問題である。
また、D)については対象が人間であるため、直接的な対策が非常に難しい。教育をするにもAIを駆使された高度な誘導を前に限界もあるため、やはり対策としてはアカウントの権限を制限し、脆弱な運用を承認プロセスなどで強化していくしかない。
したがって、私は、防御側として最も対策すべき攻撃というのは、究極的には「脆弱性」と「権限」の悪用であると考えている。一見ものすごく乱暴で基礎的すぎるようにも見えるが、私がオフェンシブな世界でいわゆるホワイトハッカーと共に歩んできた経験と照らしても、攻撃側にとって「脆弱性が全くない」「アカウントを乗っ取っても、たいした権限がない」という状況で実際できることは本当に限られる。
ランサムウェアなども脆弱性を起点に仕込んだり、実行権限を得られたりしなければ機能しない。そして、今後AIも膨大な物量でこれらの不備を攻めてくるため、現実的な攻撃を前に実効性を確保したければ、基礎中の基礎であるが、隙間なくみっちりとした「脆弱性」管理とその対応スピード、厳密な「権限」の分離と制限が、全てを左右するといっても差し支えない。
よく見られる光景として、どんなに「検知」を頑張ったところで、それは攻撃が着弾した後の話であり、インシデントの母数は一向に減らないし、実効的とは言えない。
自社が正しく動けること
これについては、第3回でガバナンスの要点を、第4回でKPIの必要性を述べており、新たに解説することはあまりない。トップダウンで明確なイニシアチブ(権威)を設置し、現場のセキュリティ対策ならびに運用実態をメトリクスと共に可視化し、それをもって経営陣が能動的に正しく意思決定できれば、自社は正しく動く。ただし、これらの機能は売上やコスト、品質、離職率などと異なり、ビジネスと共に自然発生的に生まれることはほぼない。意識的にその仕組みが作れるかどうかが肝となる。
多くの読者にとって、某テレビ局の事例は記憶に新しいと思うが、昨今、企業で大きな不祥事が発生した結果として、経営者が株主に訴えられる、あるいは引責辞任した経営者が会社から訴えられる、といった事例をよく目にするようになってきた。
そして、経営者を追求する際の言葉として、“経営判断の体をなしていない”というフレーズが使われているのだが、これはセキュリティを語る上でも実に言い得て妙である。仮に、貴社のセキュリティ活動において、経営指標すらないのであれば、何をもって経営判断の体をなしていると説明できるのだろうか。
欧米の流れを見る限り、セキュリティにおいても今後ますます経営層が責められる立場になってくるのは間違いない。“セキュリティに対する危機意識はあったが現場に全て任せていました”では全く通用しない。経営者として何をどのように判断しているのか、その判断材料を適切に得ているのか否か、経営者自身、改めて考えたい。
実現状況を継続的に検証できていること
続いて、「敵に対して実効性を持つこと」と「自社が正しく動けること」の検証をすることについて解説したい。
まず、端的にセキュリティにおいて「テスト(検証)」は極めて重要である。なぜならば - 今回のコラムで一番覚えていただきたいことであるが ‐「防御は、それを破ろうとする意志をぶつけなければ、決して実践的にはなりえない」からである。そうすることでわれわれは防御側のバイアスから初めて抜けることができる。合気道における「受け」と「取り」と同じく、攻守が一体となって初めて成立すると私は考えている。
テストの重要性は他にもたくさんあるが、主な点を以下に挙げておきたい。
<セキュリティテストが重要な理由>
| 防御バイアスからの脱却 | 防御は、それを破ろうとする意志をぶつけなければ、実践的にはなりえない。 |
| コントロールの前提 | 脆弱性や権限の不備はあってはならない。ゼロトラスト※4などの成立もそれがない事が根本的な前提である。 |
| 気づきの提供 | テストをしない限り、穴があっても気付くことができない。 |
| 推測ではない自信の提供 | 「大丈夫だろう」ではなく、テストの結果「大丈夫だった」がわれわれに自信を与える。あらゆるコントロールの効果は、テストをしない限り「推測」でしかない。 |
| 説明責任に対する根拠 | 客観的にやれることは全てやった、と言えることで経営者が説明責任を果たせる。 |
| 新たな脆弱性への対応 | 製品の脆弱性は日々新たに見つかるため、定期的、継続的なチェックが必要。 |
| 新たな攻撃手法への対応 | 攻撃側の手法も変化するため、定期的、継続的な取り込みが必要。 |
※4ゼロトラスト:従来の境界型防御と異なり、組織のネットワーク内外を問わず、一旦あらゆるユーザーやデバイス、アプリケーションなどを信頼しない前提で、セキュリティ対策を行う考え方。
なお、テストにおいては、確認漏れがあっては意味がない。しかし、全てを網羅するにはどうすれば良いのか?網羅性の観点が非常に重要であるため、少し触れておきたい。基本的にセキュリティテストにおける網羅性というものには2つの考え方がある。
既知に対する網羅性
チェックリストなどによって、あらかじめ決められた検査項目に基づき既知の脆弱性などを検出する。これは基礎的な観点の漏れを防ぎ、既に世に知られているCVE※5などを網羅する上ではとても役に立つ。
また、複数の異なる観点のチェックリストを用いることでその網羅性を高めることができるが、あくまで既知の脆弱性に対するものであり、未知のものや自社アプリケーションに固有のロジックエラーなどについては、防ぐことが難しい。氷山で言うところの、水面に見えている一角とも言える。
※5CVE:Common Vulnerabilities and Exposuresの略。セキュリティ上の脆弱性を特定し、共有するために使われる、国際的に共通な識別子。
未知も含めた網羅性
私は、真の網羅性と呼んでいるが、これは未知の脆弱性、氷山の水面下の部分も含めて、自らが気付かないものについても第三者の力を借りることによって、「しらみつぶし」に網羅することを指す。そのために従来より専門的なペネトレーションテストなどが存在するが、近年ではそれだけでは足りず、多数の発想、多数の気付き、多様性をぶつけることが重要とされている。
既に欧米で普及しているバグバウンティ※6は正にそれをサービス化したものであるが、米国政府の戦略※7などにおいても、テストにおける攻撃者の観点、独立した目線、そして市民の協力などが重要であることが強調されている。なぜこの「しらみつぶし」のアプローチが重要かというと、今後はわれわれが思いもしない観点、角度からAIが圧倒的な物量で攻めてくるからである。やられる前に自ら徹底的にやってしまう、というのが今後のテストポイントである。
※6バグバウンティ:第2回コラム参照
※7出典「OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書」
また、前回のコラムにおいて、「セキュリティにおいて十分性の議論は特に難しい」と述べたが、本物の、しかも多数のホワイトハッカーによって、しらみつぶしにテストをするという行為は防御側にとって唯一、十分性を満たせる手法であると考えている。すなわち、現実的にそれ以上に実効性の高い取り組みが存在しないが故に、客観的にやれることは全てやった、という説明責任を果たすことができる。そのため欧米の経営者に人気がある。
セキュリティテストのガバナンス
セキュリティテストは、実効性を確保する意味で欠かせない取り組みである。だからこそ、ここでもう一つ大切な観点を提供しておきたい。それは、多くの企業において、セキュリティテストが現場の判断に任されており、経営的な重要性に関わらず、予算配分や頻度、手法も社内においてバラバラであるということだ。
なぜ、これだけ重要なことについて、統制が取れていないのか。例えば、国防分野などにおいて、このようなことは決して起こりえない。その取り組みには経営的な戦略性が欠かせないはずであり、ちょっとしたシステムの脆弱性を起点に極めて甚大な被害をもたらすような文脈において、現場の判断で勝手にやらせて良いものでは決してない。
組織として資産や事業、拠点などの重要性に応じて予算が配分され、その結果についても可視化されなければならない。言い換えると、「セキュリティテストのガバナンス」は極めて重要である。しかし、残念ながらそれを経営者が意識し、具体的に取り組めている国内企業を私はほとんど見たことがない。
新たな攻撃と共に歩む
さて、コラムの最後となるが、ここで皆さまの気付きになるよう、大きな問題提起をしておきたい。先日、食品業界における世界的ブランド企業の社員の方とディスカッションをする機会があった。そこで2023年にアメリカを中心に発生した、某国民的ビールの不買運動に関する話題が上った。
この不買運動そのものについて、ここで語るつもりは全くなく、類似の事例は、CMキャスティングの失敗、ロゴリニューアルの不評、など他にも枚挙にいとまがない。知らない方はぜひ各自で調べていただきたいが、要点としては、新たなマーケティング施策の結果、主要な購買層から大バッシングを受けてしまい、売上や株価に対して凄まじいと言える規模の影響を残した事例、とだけ言っておく。
そこでふと私が考えたことは、これを昨今問題になっているAIによるフェイクニュースとセットで見ると、どうしようもなくこれから現実的に起こりえるシナリオが成り立ってしまう、ということである。
すなわち、このブランディングの問題がAIによるフェイクニュースだったらどうなるのだろうか。既にWebや多くのプラットフォームにおいて、フェイクニュースが溢れてきており、本物との判別も難しくなってきている。ブランドイメージに致命的な影響を与えるようなフェイク動画、そしてフェイクの記者会見動画などが次々に出てきた時、しかもそれが反社会的な巨大な組織によって主導されたとき、貴社は迅速に対応できるだろうか?このようなシナリオへの想定、準備はできているだろうか?
非公開企業であれば被害は限定的かもしれないが、貴社を支える多くの株主が直接的に被害を受ける。経営層、そしてブランドを守る社員の方々にとっては自分たちの努力や実績と異なるところで、情報と株価が操作される。悔しい事この上ないだろう。
これは全く冗談ではなく、今後確実に起こりえるシナリオだと考えている。なぜならば、第2回のコラムで述べたように、昨今の攻撃者にとっての一番の焦点は換金性であり –折しもわが国では、証券口座の不正乗っ取り問題が花を咲かせている– 攻撃者にとって換金ツールは準備万端である。悪のビジネスとしてのピースは全てそろってしまっているのだ。
既に多くの芸能人、有名人などが、イメージを不正に利用され、プラットフォーマーに対して是正の声を上げているが、対応は全く追い付いていない。国の法整備も全く追い付いていない。企業は技術や環境の変化に対して、自ら理解と想定を深め、対策していくしかないのだ。
ちなみに、私にとってサイバー攻撃はシンプルに4種類しかない、と先ほど述べたばかりである。しかし、このAIによる企業向けフェイクニュース攻撃(および株価操作)はこの分類のどれにも全く当てはまらない。本物と見分けのつかないようなフェイク情報、フェイク動画を安易に安価に誰もが作れる技術は過去にはなかったのだ。技術革新と共に全く新たな攻撃概念、手法が今まさに誕生しようとしているのだと確信している。
以上をもって全5回の執筆を終えます。これまで多くの方々からコメントを頂いており感謝に堪えないが、もっとセキュリティについて知りたい、具体的な取り組みについて会話をしたいという企業の方は、ぜひお声がけいただきたい。
三好 一久(みよし かずひさ)
イリノイ大学アーバナシャンペーン校卒。サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積み、KPMG、デロイトにて上流コンサルティングを経験。その後、マカフィーにてコンサルティング部隊の立ち上げ、CISO(Chief Information Security Officer)を務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年10月、日本TCSに入社し、CISOを務めながら、サイバーセキュリティ部門を率いている。
関連情報
お問合せ
お問合せ