セキュリティは健康管理と同じ? 脆弱性対策でサイバー攻撃の大半は防げる
「企業にとってのサイバーセキュリティ対策は、人の健康管理に例えると分かりやすい」と話すのはNECの石井サイバーセキュリティ戦略本部長だ。セキュリティパッチ適用のような、基本的な対策を実施しておけば、かなりの安全性は確保できるという。サイバーセキュリティ対策の本来の目的は「事業の継続性」だ。その原点を今一度見直すべき時にきている。
この5月、感染するとファイルを暗号化し、復号のための身代金を要求するランサムウェア「WannaCry(ワナクライ)」が、世界的に猛威を振るった。日本国内でも大手企業の業務が停止するなど、改めてサイバー攻撃のリスクを見せつけられた。WannaCryが残した教訓は何だったのか? 企業の経営層やリーダーはここから何を学び、どのような対策を施していかなければならないのだろうか。NECのサイバーセキュリティ戦略本部を率いる石井俊行本部長と、スマートネットワーク事業部の後藤淳シニアマネージャーに、アイティメディア エグゼクティブ・プロデューサーの浅井英二が話を聞いた。
脆弱性を突いたランサムウェア「WannaCry」
浅井英二(以降、浅井) これまでのサイバー攻撃を振り返ってみると、特定の情報を狙ってウイルスが添付されたメールを送信する標的型攻撃や、WannaCryに代表される金銭を狙ったランサムウェア攻撃、Webサイト経由で個人情報を盗む不正アクセスなど、次々と新しい攻撃が登場しています。守る側の企業は、どのように構えればいいのでしょうか。
石井俊行氏(以降、石井) 標的型攻撃やランサムウェア攻撃、不正アクセスなど、意図しないプログラムを実行させることで被害を与えるサイバー攻撃について言えることは、その多くがシステムの脆弱性を突いた攻撃だということです。
WannaCryによる世界規模のサイバー攻撃も、数か月前にはすでに公開されていた脆弱性を突いたもので、その手口は目新しいものではありませんでした。基本的な脆弱性対策は、セキュリティパッチと呼ばれる修正プログラムを適用することです。今回、驚かされたのは英国での被害です。2012年に開催された世界的なスポーツイベントを契機にサイバーセキュリティへの意識は高まり、対策をしていたはずですが、セキュリティパッチを適用できていなかったことによるシステムの停止が広範に発生し、なかには手術に支障が出た病院があるなど、被害は甚大でした。
サイバーセキュリティ対策は人の健康管理と同じ?
浅井 われわれメディアも「ますます巧妙化する手口」といった言葉で注意を促していますが、実際のところ、脆弱性を塞ぐという、大切な基本が、まだまだ出来ていなかったということですね。
石井 明らかになった脆弱性を塞いでいれば、85%のサイバー攻撃は防げるというUS-CERT(米国国土安全保障省の配下にある情報セキュリティ対策組織)の報告もあります。※Top 30 Targeted High Risk Vulnerabilities
サイバーセキュリティ対策は、人の健康管理に似ていると感じています。人は栄養のあるものを食べ、適度な運動と睡眠をとって、手洗いやうがいをしていれば、健康でいられます。ただ、インフルエンザが流行するときには、さらにマスク、ワクチン注射などで予防します。
サイバーセキュリティ対策においては、システムにより体質が違い、効果的なセキュリティ対策が異なってきますが、基本的な対策は同じです。人間で言う、手洗い・うがいにあたるセキュリティパッチを適用しておけば、感染を予防することができ、かなりの安全性を確保できます。
セキュリティパッチの適用は基本だが企業には重荷
浅井 サイバーセキュリティ対策も基本が大切だという話はよく分かりましたが、今回のWannaCry騒動では、「セキュリティパッチを適用していないのはITリテラシーが低すぎる。論外だ」といった論調もあり、少し気になりました。しかし、サイバーセキュリティ対策は、企業にとっては重荷です。専門家がいないため、どう対処すればいいのか分からない企業もあります。論外と切り捨てても問題の解決になりません。
石井 本来はシステム全体を見える化し、脆弱性が明らかになったら可及的速やかにセキュリティパッチを適用することが基本的な対策です。しかし、システムはとても複雑です。セキュリティパッチを適用する際、システム内の構成情報が変わってしまう可能性があるため対処に手間取ってしまうケースもあるでしょう。
少ない負担で応急処置を行う方法とは?
浅井 確かに、社内のシステム全体を「見える化」しておき、的確にセキュリティパッチを適用することが健全な対策だとは思いますが、現実的にはなかなか難しい問題なのですね。NECとして推奨する現実解は、どのようなものですか。
石井 先ほど話したように、セキュリティパッチを適用すると、システム内の構成情報が変わってしまうこともあるため、システムが正常に動作するのかを検証しなければなりません。それには多くの時間と労力がかかります。
そこで有効なのが「仮想パッチで応急処置を行うこと」です。これは、セキュリティパッチを適用するまでの間、その脆弱性を突いたサイバー攻撃を検知・ブロックする特長を持ち、システムを止めることなく迅速な対応が可能です。
後藤淳氏(以降、後藤) 家に例えれば、レンガの壁の崩れた部分が脆弱性であり、崩れた部分を修復する新しいレンガがセキュリティパッチです。一方、仮想パッチは、レンガの壁の崩れた部分を衝立(ついたて)で応急処置し、脆弱性を突いたサイバー攻撃を防ぐことができます。
また、仮想パッチは、衝立を手前に置くだけなので、セキュリティパッチの適用のように検証することなく迅速に脆弱性に対応できます。ただし、仮想パッチは適用すればするほど少しずつシステムのパフォーマンスに影響を及ぼします。お客さまが計画されている定期的なメンテナンスのタイミングで、複数のセキュリティパッチを検証し、適用していくべきでしょう。
そうすることでシステムが危険にさらされる期間を短縮し、その都度セキュリティパッチを適用する手間やコストを抑えることもできます。
NECでは、脆弱性の情報収集からシステム内の脆弱性有無の調査、対処までを、より安全かつ効率的に運用できるよう支援するソリューションを提供しています。
(1)システム全体を見える化し、脆弱性の情報収集・調査・対処を支援:NEC Cyber Security Platform
(2)仮想パッチによる応急処置:サーバセキュリティサービス
(3)Webサイトの脆弱性を突いた不正アクセスを検知・防御:クラウドWAFサービス
これらの3つのソリューションは、NECが運用の一部を支援するため、自社だけではセキュリティ対策が不安なお客さまに有効です。
お客さまに寄り添う「等身大のサイバーセキュリティ」を
浅井 サイバーセキュリティ対策を専業とするベンダーも多い中で、NECの強みはどのようなところですか。
後藤 NECは、NECグループ内で約18万台のPC・サーバを運用し、サイバーセキュリティ対策を施しています。その中で培った技術や豊富なノウハウ、自社開発した製品と他社の製品とをバランス良く組み合わせ、お客さまの運用を考慮したソリューションを提供しています。また、数多くのシステムインテグレーションや運用保守の実績があるのも強みです。
石井 グローバルでの考え方では、サイバーセキュリティ対策において最も重視すべきは「事業継続性」です。日本の企業経営者もセキュリティ対策とは何か、その原点を見直すべき時ではないでしょうか。
NECでは、「Futureproof Security 安心の先へ。」という事業コンセプトに基づいて、お客さまが安全・安心を維持しながら、ICTを活用し、事業を継続させることに向き合っています。サイバーセキュリティ対策さえすればよいという話ではなく、どのようにお客さまと向き合うのか、どのように効率的に運用して行くのかを考え続けています。今後も、お客さまに寄り添う、「等身大のサイバーセキュリティ」を実現するための製品やサービスの拡充に取り組んでいきます。
サイバー攻撃の大半は防げる? その要となる脆弱性対策の秘訣とは?
次々に発見される脆弱性に、企業のセキュリティ担当者は頭を悩ませている。迅速にセキュリティパッチを適用すべきだが、その負担の重さから、脆弱性を放置するケースも見られる。手間をかけずに脆弱性に対応する方法はないものか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本電気株式会社
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2017年11月1日