情報セキュリティ白書や10大脅威から見えてくる基本の大切さ――楽天グループ セキュリティエンジニア 原子拓氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

[高橋睦美，ITmedia]

楽天グループ サイバーセキュリティディフェンス部 セキュリティエンジニア 原子拓氏

　楽天グループのサイバーセキュリティディフェンス部でセキュリティエンジニアとして働く原子拓氏は、長年に渡ってCSIRT活動を行うとともに、私生活でも消防団員を勤め、公私ともに「火消し」に携わっている。

　「セキュリティ専門家が語る今更ながらの情報セキュリティ対策の基本」と題して講演を行い、最近のセキュリティインシデントの傾向を整理し、経営層の関与の元でのインシデント対応体制の整備を軸とした、セキュリティ対策の基本の「き」の実施を呼びかけた。

あちこちに存在する「ほころび」がサイバー攻撃を許す原因に

　原子氏はまず、IPAの「セキュリティ白書」を引き合いに出しながら、昨今のセキュリティの状況について解説した。

　残念ながら、世の中のサイバー攻撃は減少するどころかむしろ増加傾向にあり、中でも目に付くのは、ファイルを暗号化して身代金を請求するランサムウェアや、通常のメールと変わらない文面で巧みに受信者をだますフィッシング詐欺などだろう。

　「新型コロナウイルスの感染拡大をきっかけに、リモートワークも含めて働き方が多様化しました。この結果、脆弱な自宅の環境や個人のデバイスが攻撃を受けたり、正しく運用していなかったVPN装置が侵害されたりするなど、運用管理がきちんとできていないほころびが狙われています」（原子氏）

　さらに、クラウドサービスが広く普及した一方で、設定ミスやクラウド事業者との認識の相違が原因となり、本来は機密にすべきファイルが公開されるといった事故もたびたび耳にするようになった。クラウドサービスに関しては、あるサービスの障害が他のサービスにも波及して一気に広がり、広範囲に影響を及ぼすケースもある。

　原子氏は、セキュリティ白書の中からこうした課題を拾い上げた上で、あらためて「セキュリティの取り組みには経営層の理解が必要です。そして、絶えずほころびが見つかる以上、何かがあれば対策をして終わるのではなく、継続的に見直す必要があります」と述べた。

　こうした取り組みを支える存在として、訓練も含めた「インシデント対応体制」が不可欠であると強調した。

基本の不徹底が引き起こす、同じ脅威の連続ランクイン

　続けて原子氏は、IPAが毎年まとめ、同氏も選考委員の一人となっている「情報セキュリティ10大脅威」についても言及した。

　「実は、突然新しく出てきた脅威は基本的にありません。何年も連続して同じ脅威がランクインしています。裏を返せば、やるべき基本的な対策を継続的に実施していないがために、同じ脅威に脅かされ続けています。この数年1位に挙げられているランサムウェアは典型例です。そもそもなぜランサムウェアの被害にあうのかというと、脆弱なポイントがあるからです。OSやソフトウェアの更新漏れこそが大きな原因であり、ここをしっかり抑えておくべきです」（原子氏）

　2位の「サプライチェーン」についても、やはり根本的な原因は、サプライチェーンのどこかに存在する「ほころび」だと指摘。ソフトウェア開発のつながりも含め、サプライチェーン全体でどのように注意を払い、取り組むかが課題だとした。

　悩ましいのが、5位の「修正プログラムの公開前の攻撃」だ。これは、パッチなどの対策が流通する前に攻撃を受けてしまう、いわゆる「ゼロデイ攻撃」の問題だが、脆弱性管理をしていてもしきれるものではなく、なかなか守り切れないのが実情だ。

　7位の「脆弱性対策情報の公開に伴う悪用の増加」では、攻撃する側は、脆弱性を何とかして悪用して侵入したり、情報を窃取したりしたいと考えている。防御側と攻撃側で追いかけっこしているのが現状で、どう脆弱性をマネジメントし、パッチが出たら早めに当てていくかが課題となっている。

IPAセキュリティ10大脅威から読み解くセキュリティの脅威

「誰が、いつ、何を」を決め、インシデントに備えた対応体制の整備を

原子氏は、セキュリティ白書と10大脅威で指摘されているトレンドを踏まえ、

• 経営課題としてセキュリティ対策が取り組めていない
• インシデントは“0”にならない
• 人員不足
• “脆弱性” （設定の不備を含む）が狙われる
• ランサムウェアによる被害は増大傾向
• 増えるサプライチェーン攻撃

という6つの課題が存在していると整理した。