有識者による「2022年セキュリティ動向大予測」 注目したい4重の脅威とは

悪質さを増すランサムウェアから企業のデータをどう守るか。NTT Comのセキュリティスペシャリスト3人が、2021年の振り返りや2022年の最新動向をクロストークし、コンサルタントがゼロトラストをワンストップで実現するソリューションを解説した。

[指田昌夫，キーマンズネット]

　NTTコミュニケーションズは2021年12月10日、ハイブリッドワーク時代のセキュリティ脅威（きょうい）とその対策のオンラインセミナー、「SASEソリューションで実現するゼロトラストセキュリティ」を開催した。

　開会後のクロストークでは、竹内文孝氏（NTTコミュニケーションズ マネージド&セキュリティサービス部 セキュリティサービス部門 部門長 セキュリティエバンジェリスト）、金田直樹氏（ソリューションサービス部 オペレーションマネジメント部門 6G担当部長）、城 征司氏（ソリューションサービス部 デジタルソリューション部門4G担当課長のチーフコンサルタント）が登壇し、2021年に起こったセキュリティインシデントの振り返りと2022年に拡大が予測されるセキュリティ脅威とそのリスクについてディスカッションした。

見落としがちなゼロトラストの落とし穴

　最初のテーマは、2021年セキュリティトレンドの振り返りだ。竹内氏は「2021年もランサムウェアが猛威を振るった。コロナ禍でテレワークの弱点を突いた攻撃も増え、サプライチェーンリスクが高まった印象を受けた。テレワークが浸透し、ランサムウェアが深刻化する状況下で、企業のゼロトラストへの関心が高まった」と述べた。

　城氏は、「ゼロトラストには3つの落とし穴がある」と続ける。1つ目は「ゼロトラスト対策をできる単一の製品は存在しない」、2つ目は「複数の製品の優先順位を付けて導入することが難しい」、3つ目は「各ベンダーのゼロトラスト対策製品の内容にばらつきがあり、企業との間にギャップがある」だ。こうした落とし穴を回避するには、スキルと経験が必要になるが、多くの企業は社内にセキュリティ人材が少なく対応に困っているのが実情だという。

　金田氏はセキュリティ運用者の視点から、「ゼロトラストの導入にはまだ時間がかかるという認識は同じ。日々の運用でしのぐという立場からは、リテラシーの向上が重要だという認識を強めている。教育も重要だが、最新の脅威インテリジェンスを用いて、顧客のエンドポイント対策に生かすことが大事だと考えている」と述べた。

図1　写真左から竹内文孝氏、金田直樹氏、城 征司氏（出典：オンラインセミナーの模様をキャプチャーしたもの）

　2021年の振り返りを踏まえ、以降ではディスカッションの内容を基に、2022年に拡大する脅威について3者の見解を見ていく。

ゼロトラストが話題だが現実的な対策を

　竹内氏は「2021年に比べて今のところ新しいものはないが、ランサムウェアや国家間の戦い、そしてニューノーマルへの対応が重要になる」と語る。ランサムウェアについては"闇市場"の活発な動きがあり、金銭目的のサイバー攻撃は続くと予想する。竹内氏は、ランサムウェアには「身代金の要求」「盗んだ情報を暴露サイトに公開する脅迫」「DDoS攻撃によるサービス停止」「企業のステークホルダーに対する情報漏えい事態の触れ込み」の4つの脅威があると語る。

　城氏は、ICT環境の多様化がセキュリティ対策を複雑にしているとの見解を示す。「今や物理的にも論理的にも、ネットワークのどこを通ってどのようにアクセスしているのかが分かりにくい。今までは当たり前だった、IPアドレスによるアクセス元の特定も難しい」と述べる。

　金田氏は、「ネットワークを作る段階から通信要件を把握してホワイトリスト型の運用をする必要がある。ITの運用とセキュリティ運用のバランスをとることが重要だ」と述べた。

　エンドポイントのセキュリティも重要だ。城氏は「ネットワークセキュリティ対策は境界の防御からエンドポイントの防御への流れがあり、EDR（Endpoint Detection and Response）のようなセキュリティツールが出てきた。IDベースのセキュリティも進んできており、それがゼロトラストのベースになっている」と語った。

　セキュリティの課題が増える中で、どのように対策を進めればいいのか。金田氏は「ログ分析管理が重要になる。また人がスキを作らないための地道な啓蒙（けいもう）も必要だ」と語る。竹内氏は、「何から始めたらいいか迷っている企業も多い。そこでサイバーハイジーン（衛生管理）をお勧めしたい。見えないものを守ることはできないので、どこに脆弱（ぜいじゃく）性が潜んでいるかなど現状を把握することが重要。経営方針に現場が連携し、セキュリティ改善のサイクルを回すことが大切だ」と語った。

　城氏も、「まずは具体的な1つの脅威に対して対策を考えるべきで、ランサムウェア対策から考えていきたい。また、ゼロトラストは閉域網からの脱却とセットで考える企業も多いが、じつは閉域網はグローバルに安全なネットワークを組めるなどメリットが多いサービスだ。成長途上のゼロトラストで全てカバーせず両者を併用していくべきだ」と語った。

複数サービスで実現するゼロトラスト。ワンストップの実現は

　コンサルタントの一二康紘氏（ソリューションサービス部 デジタルソリューション部門4G）は、ワンストップでゼロトラストを実現するサービス「Flexibleパック」を紹介した。

図2　ワンストップでゼロトラストを提供する「Flexibleパック」のイメージ（出典：オンラインセミナーの模様をキャプチャーしたもの）

　一二氏は、「今後のワークスタイルはテレワークだけでなく、場所や時間にとらわれないハイブリッドワークへと変わる。多様な働き方に対応する業務環境とセキュリティが求められる」と述べる。

　侵害があることを前提にしたゼロトラストセキュリティは注目を集めるが課題も多い。「ゼロトラストとは概念とアイデアの集合体であり、実装と運用は企業側が決めなければいけない。ゼロトラストは単品の製品ではなく、複数のサービスを組み合わせなければ実現しない。既存のネットワーク環境をベースに考えるのは非常に難しい」（一二氏）

　個別の検証なしでセキュリティが確保できる「Flexibleパック」は、「閉域インターコネクト基盤」「リモートアクセス」「インターネットゲートウェイ」の3つの機能を組み合わせたサービスだ。利用者が閉域VPNとインターネット経由のどちらでも接続でき、社内データセンターやIaaS、SaaSなどとセキュアに接続する。ログデータはSOC（Security Operation Center）と連携され監視と分析が可能だ。

　一二氏は、「Flexibleパックは、既存の閉域網も活用してゼロトラスト環境を構築したい、セキュアなテレワーク環境を実現したい、認証連携もしたいといったお客さまの声を反映したソリューション」と語った。

ランサムウェアはばらまき型だけでなく標的型の対応も必要

　ラインサムウェアの最新事例とその対策について、コンサルタントの中村勇介氏（ソリューションサービス部 デジタルソリューション部門4G 主査）が説明した。

　ランサムウェアによる被害は年々増加し、攻撃対象は生産現場や企業の財務会計、医療現場など、多岐にわたる。「医療機関が被害を受けた例では、患者の受け入れができなくなるなど社会に甚大な影響が出た」（中村氏）

　昨今のランサムウェア攻撃の特徴として、暗号化だけでなく情報漏えいにもつながるなど、多重の被害を生み悪質化をしているという。中村氏は、「ランサムウェアはばらまき型ではなく、ターゲットを絞った標的型攻撃の要素も含まれる。それを踏まえた対策が重要になる」と述べる。

図3　リモート環境でも悪質化するランサムウェアの攻撃に対応（出典：オンラインセミナーの模様をキャプチャーしたもの）

　攻撃者は脆弱性を見つけて企業に侵入し社内の端末をランサムウェアに感染させる。攻撃は終わらず、侵入したネットワーク内で特権IDを不正に取得し、重要データにやすやすとアクセスし、社外にある攻撃者のC&Cサーバに重要な情報を送信する。中村氏は「ここまでいくと手遅れに近い。対策は侵入から社内の不正アクセスに至る段階での防御が重要になる」と語る。

　中村氏は3つのランサムウェア対策を挙げた。1つ目は「感染を回避するための入口対策」、2つ目は「万一侵入を許した後の事後の封じ込め対策」、3つ目は「社内ネットワーク内を自由に移動させない内部対策」だ。

　入口対策は、プロキシやアンチウイルスソフトを使って侵入の防止や駆除をする。事後対策は、プロキシとEDRをSOCと連携して分析し、検知と対処を自動化して運用負担を減らす。内部対策は、特権IDを守るソリューションの活用だ。特権ID管理はもともと内部監査向けのサービスだが、外部からの攻撃対策にも使うケースが増えているそうだ。

　中村氏は「ランサムウェアは身代金の要求だけでなく、情報漏えいも含んだ2重、3重の攻撃を仕掛るようになった。NTTコミュニケーションズは、多層の対策をワンストップで提供し、企業のデータを守りたい」と述べた。