全6539文字
PR

国内組織の6割がランサムウエア攻撃の被害に遭うなか、対策強化へ一刻の猶予もない。対策の足掛かりとしたいのが、ネット上に意図せず漏れ出した自社の情報だ。それらを基に対策すべき点を先回りで潰しつつ、侵入を早期検知でき隙のない防御体制を講じたい。

図 先進企業のランサムウエア対策の方向性
図 先進企業のランサムウエア対策の方向性
攻撃の手口を踏まえた対策がカギ
[画像のクリックで拡大表示]

 ランサムウエア(身代金要求型ウイルス)を使う犯罪者集団の多くは、企業が外部に公開するシステムの脆弱性を突いたり、事前に盗んだ認証情報を悪用したりして不正侵入してくる。裏を返せば、攻撃の兆候や、攻撃の足掛かりとなり得る自社の弱点を把握し、先んじて対策を打っておけば被害に遭いにくくなる。これは米国立標準技術研究所(NIST)のサイバーセキュリティー対策フレームワークでいうところの、リスクを洗い出す「識別」のフェーズに当たる対策である。

 こうした取り組みで参考になる1社が竹中工務店だ。同社は2021年4月、「脅威インテリジェンス」を取り入れた。脅威インテリジェンスとは、インターネットやクラウドサービス、犯罪者集団が情報をやり取りする闇サイトなどから、サイバー攻撃の予兆といったリスクの高い情報を把握する手法やサービスを指す。

脅威をいち早く把握

 同社は、米セキュリティー企業ラピッドセブンが提供するSaaS(ソフトウエア・アズ・ア・サービス)型の脅威インテリジェンスサービスである「IntSights」を採用している。自社やグループ会社のセキュリティーを脅かす情報がインターネットや闇サイトに出回っていないかを確認している。

 IntSightsは事前に登録された社名やIPアドレスなどの情報を基に、関連する犯罪者同士のやり取りや、認証情報が流出していないかといった脅威情報を自動で収集し、サービス用のデータ分析基盤に蓄積する機能を備える。蓄積した脅威情報をAI(人工知能)やセキュリティー技術者が分析し、重要度に応じて3段階に分類したうえで利用企業に通知する。

 この脅威インテリジェンスを竹中工務店ではCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム、シーサート)が確認し、自社にとっての重要度を分析する。リスクが高い脅威と分かれば直ちに対策を講じている。

図 竹中工務店の脅威インテリジェンス活用の流れ
図 竹中工務店の脅威インテリジェンス活用の流れ
「脅威インテリジェンス」で先手を打つ
[画像のクリックで拡大表示]

 特に重視する脅威は、業務向けクラウドなどで使うIDやパスワードといった認証情報が流出していないかだ。「正規のIDとパスワードで侵入されてしまえば、防備を整えていてもサイバー攻撃だと気づきにくい」。同社でセキュリティー対策に携わる高橋均デジタル室デジタル企画グループシニアチーフエキスパートはこう話す。

 認証情報の他にも、ソースコード共有サービス「GitHub」で自社の機密情報が公開されていないか、何らかのサーバーの管理者向けログイン画面を意図せず外部公開していないかなど、自社やグループ会社の攻撃につながりかねないリスクを確認している。脅威の芽が大きくなる前に摘む狙いだ。

 竹中工務店は2014年以降、世界規模でクラウド移行やモバイルでの業務を推進するとともに、セキュリティー対策の改良を重ねてきた。その過程で、端末上の不審な振る舞いを検出するEDR(エンドポイント検知・対応)ツールや、SaaSの通信を可視化して不審なものを遮断する「CASB(クラウド・アクセス・セキュリティー・ブローカー、キャスビー)」、クラウドの設定不備を検出する「CSPM(クラウドセキュリティー状態管理)」などを相次ぎ導入してきた。

 弱点になり得ると認識したところには着実に対策を講じてきたものの、「把握していないところに弱点がないはずがない」(高橋シニアチーフエキスパート)。その把握していないところをあぶり出す手段として、脅威インテリジェンスを活用しているわけだ。