近年、国を挙げてDXが推進されるようになったことで、多くの企業がIT化を進め、データ資産を積極的に活用するようになりました。
DXがより多いな注目を集めるようになった一方で、以前にも増してサイバーセキュリティの重要性が高まっています。
サイバー犯罪の被害は年々増加の一途を辿っており、皮肉なことにもITリテラシーやサイバーセキュリティ意識の低い日本がDXを推進していることに対して、世界中のハッカー達が熱視線を送っているのです。
数多くのサイバーセキュリティコンサルティングの案件に従事してきた株式会社リブラスの翁駿暁氏は「サイバーセキュリティのレベルが低いままDXを推進するのは非常に危険」と警鐘を鳴らします。
SNSを使ったソーシャルハッキングから物理的な攻撃を組み合わせたハッキングなど、ますます巧妙化していくサイバー攻撃を前に、私たちはどのようにして、個人情報や企業のデータ資産を守ればよいのでしょうか?
今回は、サイバーセキュリティの専門家であり、株式会社リブラスのCOO翁駿暁さんに、会社のデータ資産を守るための世界基準のサイバーセキュリティ対策やより安全なシステム環境構築のためのプロセスについて語って頂きました。
浙江大学理工学院情報コンピューターサイエンス学部、早稲田大学大学院 国際情報通信研究科卒業。情報通信学修士。
ますます深刻化するサイバー犯罪
-株式会社のリブラスの提供するサイバーセキュリティコンサルティングについて教えてください。
株式会社リブラスでは、主に大手金融機関に対して、脆弱性診断や実践的なレッドチーム演習から、より安全なシステムの構築・運用を担うCSIRTに至るまで、包括的なサイバーセキュリティコンサルティングをワンストップで提供しています。
近年のサイバー犯罪は、ますます巧妙かつ深刻化しているため、弊社では第一線で活躍するホワイトハッカー達と連携することで、ペネトレーションテストに加えて、より実践的なレッドチーム演習を実施することで、あらゆるサイバー犯罪に対応するための体制を整えています。
レッドチーム演習とは
-ペネトレーションテストとレッドチーム演習とはどのようなものですか?
ペネトレーションテスト(侵入テスト)は、サイバー空間のみを対象とした疑似攻撃のことで、外部から攻撃を仕掛けてシステムに侵⼊し、コンピュータやネットワークの脆弱性を検証するテストのことを指します。
一方で、レッドチーム演習とは、サイバーセキュリティの専門家が攻撃チームを作り、顧客企業に対してサイバー空間と物理空間を組み合わせて、実際のサイバー攻撃を想定した疑似攻撃を仕掛けることで、セキュリティレベルを検証することを言います。ツールを使った脆弱性診断やペネトレーションテストは、システムやネットワークの脆弱性を診断するためには必要であるものの、それだけでは十分ではありません。
近年のサイバー犯罪は、DDoS攻撃やブルートフォース攻撃といったサイバー空間における攻撃の他に、人間の心理的な隙や行動ミスを狙う各種ソーシャルハッキングやテイルゲーティング、脅迫など、物理空間における攻撃も組み合わせて行われます。
実際に、SWIFTのシステムがハッキングされた事件や、立て続けに起こる仮想通貨取引所のハッキング事件など、サーバー犯罪の多くが、ソーシャルハッキングや物理空間における攻撃を組み合わせて行われています。
そのような背景からサイバーセキュリティの業界では、より実践的なレッドチーム演習が重視されるようになったのです。
-レッドチーム演習では具体的にどのようなことが行われるのですか?
レッドチーム演習では、事前に脆弱性診断やペネトレーションテストを行った後に、あらゆるリスクシナリオを洗い出して、サイバー空間と物理空間を横断してあらゆる手段を用いて、システムへの侵入を試みます。
例えば、清掃員に変装したレッドチームがクライアント企業に侵入して、マルウェアの仕込んだUSBを社内に忍び込ませたり、WiFiのパスワードを抜き取るといった手法があります。一般的に事前調査や脆弱性診断や2か月程、レッドチーム演習に3,4か月の期間を設けて実施されます。
レッドチーム演習は、初期調査、デリバリー、基礎構築、調査といったプロセスで進められます。デリバリーとは、疑似的なコンピュータウィルスをネットワークに侵入させる工程で、次に基礎構築という工程で、ウィルスをネットワーク内での権限を昇格させて環境に適応させます。次の調査とは、サイバーセキュリティの文脈では、情報を抜き取ったり、攻撃を加えることを言いますが、レッドチーム演習では、当然、危害を加えることはしません。
-レッドチーム演習は日本だとまだ浸透していないようにも思えますが、世界基準との乖離はあるのですか?
日本には、攻撃側のハッカーのレベルに関しては、世界トップクラスの人材も多くいますが、残念ながら、一般的な企業のサイバーセキュリティの意識や、セキュリティレベルは、世界的に低いと言われています。
レッドチーム演習に関しても、海外だとより実践的な演習を行うために「どんな手段を用いてもよい」という契約のもとに行われることがスタンダードとなっているのですが、日本の場合は、サイバーセキュリティよりも、社内の事情や倫理的な問題が優先され、攻撃手法には制限が設けられることが少なくありません。
例えば「清掃員に偽装して社内に入るのはコンプライアンス上、合意形成が出来ない」「SNSを使ったソーシャルハッキングはプライバシーの侵害にあたるからやめて欲しい」と言われることもあります。ただ、近年は、日本でもそうも言ってられなくなりレッドチーム演習の需要は急増しています。
-ソーシャルハッキングにはどんなものがあるのですか?
人間の心理的な隙や行動のミスを狙ったソーシャルハッキングは、日々、新しい手法が開発されていますが、SNSの利用はソーシャルハッキングの危険に満ちています。
例えば、Facebookで権威のある人物のアカウントを作成します。画像はディープフェイクを使って社会的に信頼のありそうな年配の人の画像を作ります。そして、有名大学の経済学部を卒業し、投資銀行やメガバンクで部長を務めた後に、独立してPEファンドを設立といった、いかにもありそうな経歴を作ります。
すると「知り合いかも」の項目には、(偽りの)共通の出⾝企業や⼤学の人達が表⽰されるので、その人達に友達申請と共に、以下のような挨拶を送るわけです。
受け取った人の中には、「前職の先輩だな、覚えていないけどどこかで会ったかも知れない、年配の人だし最近SNSを始めたのかな」と警戒心なく友達申請を許可してしまう人も出てきます。そうして、マルウェアを仕込んだサイトに誘導したり、メールアドレスを登録させたりするわけです。
より安全なシステムを再構築するCSIRT
-CSIRT(Computer Security Incident Response Team)とはどのようなものなのでしょうか?
レッドチーム演習のフィードバックをもとにシステム環境を再構築したり、コーポーレートガバナンスを強化することで、より堅牢なセキュリティシステムを構築・運用する組織のことをCSIRT (Computer Security Incident ResponseTeam)と言います。
レッドチーム演習は、あくまでも現状を把握するための手段であり、脆弱性や侵入テストの結果をレポートして終わりでは意味がありません。
CSIRTにより、安全なシステムの再構築、侵入検知システムの実装、コーポーレートガバナンスの強化といった対応を実施して、サイバーセキュリティレベルを引き上げることが最も重要なのです。弊社では、サイバーセキュリティコンサルティングでは、CSIRTの設置・運用に関しても大手金融機関や証券会社を中心に実績があります。
実践的なレッドチーム演習のフィードバックを元にCSIRTを設置して企業のセキュリティレベルを引き上げるといった概念は日本ではあまり重視されてきませんでしたが、増加の一途を辿るサイバー犯罪の深刻さが認識されるようになり、近年、CSIRT関連の問い合わせは非常に増えています。
【2021年に発生した個人情報流出事件の一例】
| 3月19日 | メッセージアプリ「LINE」のユーザー情報などが、アプリのシステム開発などを請け負う中国のLINE子会社からアクセスできる状態になっていた問題を巡り、総務省は、LINEアプリの利用を一時停止すると発表。 |
| 3月19日 | 海上自衛隊女性隊員2700名の情報持ち出し、40代退院が停職処分。 |
| 3月6日 | 航空連合の加盟社が使っていた予約システム会社が、サイバー攻撃を受けたため。ANA では、100万人分、JALでは約92万人分の会員情報が流出したと発表した。
|
| 1月12日 | カプコンが2020年11月に受けたサイバー攻撃で、流出の恐れがあるとしていた約35万人分の個人情報のうち、1万6406人分が実際に流出したことが分かったと発表。
|
DXでより重視されるデータガバナンス
-DXの推進には、相応の責任が伴うのですね。データガバナンスについてこれから日本企業はどのようにして向き合うべきでしょうか?
IT化に伴い、各企業の持つデータ資産は年々増え続けています。データ資産の蓄積と活用はあらゆる業界で大きな可能性を持つ一方で、悪意のあるハッカーからしたら宝の山です。
例えばオンラインゲームの開発会社は、ユーザーのプレイの挙動や課金情報などあらゆるユーザーのデータが蓄積されています。これらのデータは、経営戦略や企画、商品設計において非常に重要な資産となるため、間違いなく今後ハッキング対象になることが増えていきます。
元々スパイ天国であったこともあり、日本はサイバー攻撃のターゲットの国として世界4位です。先ほどもお話しましたように、脆弱性診断のテストをペネトレーションテストだけ形式的にやって終わりという会社は未だに多いですが、サイバーセキュリティ意識が低いままデータ資産が増え続ける現状は非常に危険です。
2021年になっても大規模なハッキング被害などのサイバー犯罪は、立て続けに起こっており、サイバー犯罪の被害は、実損以外にも企業イメージの低下や株価への影響など様々な影響を及ぼし、企業価値そのものが失われます。今後も大手金融機関や大企業のサイバーセキュリティコンサルティングに従事してきた経験を活かして、日本社会全体のセキュリティレベルの向上に努めていきたいと思います。
(文・飯倉光彦)
【株式会社リブラス】
設立年月:2017年11月
所在地:〒150-0013東京都渋谷区恵比寿1-7-13麻仁ビル7F
事業内容:(1)コンサルティング事業、(2)エンジニアリング事業、(3)プロダクト事業