サイバー侵害が発生して当然ともいえる状況では発想や考え方を変えることが重要――サイバーディフェンス研究所 名和利男氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

重要なシステムを安全に管理、利用するために、多くの企業で「境界防御」が徹底されてきた。しかし「組織の内部」を起点にしたサイバー侵害は、境界防御では防ぐことが難しい。

[山下竜大，ITmedia]

　アイティメディアが主催するライブ配信セミナー「ITmedia DX Summit vol. 8」Day4の基調講演には、サイバーディフェンス研究所 専務理事 上級分析官の名和利男氏が登場。『組織の内部を起点にしたサイバー侵害活動を見逃す「現場の問題点」』をテーマに講演した。

境界防御が廃れ、境界防御自体が脆弱に

サイバーディフェンス研究所 専務理事 上級分析官 名和利男氏

　境界防御とは、「防御区域の境界に沿って展開された戦力で構成された、露出した側面を持たない防御」のことだ。ネットワークを攻撃から守る一つのレベルであり、外部からの攻撃から保護する。ボディーガードが要人の身辺を守るように、ファイアウォールやIDS/IPS、SIEM、アンチウイルスなどが、社内ネットワークを外部の攻撃から守るイメージである。

　これまでのサイバー環境は、管理や検知、対処が可能だった。しかし現在のサイバー環境は、人間や組織の能力の限界を超え、管理や検知、対処が困難になっている。さらに近い将来、監視や観察、状況判断も困難になり、さらに可視性がなく、状況判断が不可能になる可能性がある。

　ある大手ソフトウェアベンダーも、ブログの中で「境界防御のモデルを継続するには、あまりにも煩雑で、あまりにも高価で、あまりにも脆弱であることを学んだ」と述べている。つまり、境界防御が廃れ、人の能力だけでなく、予算的にも限界で、境界防御自体が脆弱になっているということだ。

サイバー侵害が発生して当然ともいえる状況

　組織の内部を起点にした侵害活動によるインシデントを経験した国内外の企業や公的組織に対する支援活動において、企業の経営層、組織や団体の責任者、サイバー侵害を経験した当事者と数多くの対話をしてきた。その対話の中で得られたのは、「サイバー侵害が発生して当然ともいえる状況」であるということだ。

　対話から得られた「サイバー侵害が発生して当然ともいえる状況」は、次の通りである。

（1）現実のサイバー脅威に適合しない予算と人的リソース

　10年以上前よりサイバーセキュリティに先進的に取り組んできた企業に多く見られる傾向だが、経営層が組織設計をすることなく、サイバーセキュリティ関連の認定資格を持っているというだけでセキュリティ担当者に配置させ、組織設計までさせるのは非常に愚かな行為だ。

　また、経営層の不理解やサイバー脅威を感じていない企業に多いのが、セキュリティ担当部門に対する割り当て予算の水準が非常に低いことである。サイバーセキュリティ関連の予実管理の仕組みや環境が乏しいのは、多くの場合はセキュリティ担当部門の基本設計が原因となっている。

　サイバー脅威対策チームに求められるスキルは、コンピュータフォレンジック、セキュリティイベントの分析、ベネトレーションテスト、ソリューションエンジニアリング、脆弱性マネジメント、サイバー脅威リサーチなど。このようなスキルを持ったチームを作り、アセスメントと評価、プログラム作成と実践、監視と警告、安全保全戦略と実践というサイバーインテリジェンス対応能力を習得する。

（2）現実から大きく乖離したCSIRTの設計

　CSIRTに対し、セキュリティインシデントを発生させないための責任が過剰に与えられている。インシデントを発生させるのはCSIRTではなく、ユーザー部門で、インシデントを発生させたユーザー部門に責任を負わすべきである。

　しかしユーザー部門では、インシデントに対応できない。これは住宅の火事と同じで、一定規模以上の火事は住人には消せない。119番に電話して消防車を呼び、消してもらうことが必要になる。こうしたシンプルな考え方が、CSIRTをどのように設計するかの出発点となる。

　CSIRTの基本設計で重要なのは、ミッションステートメントで、その下にポリシー、品質、サービスが派生する。何をやるべきか、どこまですべきか、どのような判断なのかが重要。判断がポリシー、どこまですべきかが品質、何をやるべきかがサービスである。サービスには、事後対応型サービス、事前対応型サービス、セキュリティ品質管理サービスの3つがある。

　諸外国では、インシデントを発生させたユーザー部門が、CSIRTにお金を払って対応してもらうことで、CSIRTのプロフィット化に取り組んでいる。日本のCSIRTも、ユーザー部門から予算をもらう形式にすれば、予算を出したくない事業部は、インシデントを発生させないように頑張るはずだ。

（3）外部脅威者から影響を受けるインサイダー活動

　最近見られる現象としては、非常に洗練された脅威主体が、IT管理部門や設計業者、運用保守業者、運用サポート業者などのインサイダーを活用して、攻撃しやすい環境を手に入れている。例えば、困難な状況に陥っている社員を外部脅威者が見つけて助けを申し出る、不満を持つ社員が敵対する国や企業に対して情報を提供するなどである。

（4）セキュリティ担当者とネットワーク運用者の関係が遠い

　新型コロナウイルス禍への対応やDX推進などに起因する急なネットワーク構成の変更において、セキュリティ上の問題が軽視されることがある。例えば、Webサーバ運用のケースでは、セキュリティ上の問題の対処や対策のために一時中断をしても事業継続への悪影響はほとんどない。

　一方、ネットワーク運用のケースでは、セキュリティ上の問題の対処や対策のために一時中断をすると事業継続に悪影響を及ぼす。事業継続に影響があると、一部の経営層や現場から「業務を止めるのか」というクレームがくるため経営層や現場に忖度し、セキュリティ上の問題が軽視されることになる。

（5）Webホスティングコントロールパネル脆弱性への対応不足

　2020年11月、国内Webホスティング会社の多くが使っているcPanelに、2要素認証を回避する脆弱性が見つかった。最初に見つけたのはロシアのハッカーで、この情報が闇サイトで売買されていた。cPanelを使っているWebホスティング会社全てに関わるため非常にインパクトのある脆弱性だが、日本語の情報は多くなかった。