サイバーセキュリティは企業にとって重要な経営課題のひとつです。

今回はじめて、ハートコア主催セミナーで、「サイバーセキュリティセミナー」を実施しました。
サイバーセキュリティソリューションを網羅的にサービス提供している株式会社サイバージムジャパン 執行役員 伊倉 宏之氏にご登壇いただき、サイバー攻撃の最新情報と企業の最新セキュリティ対策方法についてお話していただきました。

世界のサイバー攻撃の動向

大規模サプライチェーン攻撃がSolarWinds社にされました。ネットワーク監視や管理ツールなどのソフトウェアを作っている企業ですが、ソースコードにマルウェアを埋め込まれ、ハッカーからリモートアクセスが可能になりました。

なんとそれは、18,000の企業/団体が標的にされ、国防総省、国土安全保障省、財務省、マイクロソフト、シスコ、インテル、デロイト、カリフォルニア州立病院、ケント州立大学など、大変深刻な事態になっています。

また、アメリカのGPS機器大手のガーミン社へのサイバー攻撃の事例があります。GPSは航空機や船舶で使われますが、そのハッキングが増えており、GPSを使えなくすることでタンカーが座礁したことも海外で発生しました。

Webサイト（CMS）の被害と対策

Webサイト被害の「Webサイトの改ざん」とは、悪意のある第三者により、管理者の意図しない変更が勝手にされてしまうことです。
Webサイトが抱える脆弱性や、FTPに接続する管理者のパソコンがマルウェアに感染することで引き起こされることがあります。
また、改ざんされることで、所有者の意図に反する不適切な情報発信や、Webサイトの訪問者にマルウェアに感染させてしまうトラブルに発展する恐れがあります。

JPCERTコーディネーションセンターが昨年10月に公表した資料によると、表面化しているデータでだけでも年間1000件以上の被害となっており増加傾向にあります。中でもWebサイトに埋め込まれた不正なコードにより、詐欺サイトへ強制的に転送されるという事例が、数多く確認されています。

マルウェアに感染するとどうなるのか。
まず情報を盗みます。ハッカー用のサーバーに飛ばして情報を取り込みます。
次に、拡散します。他のパソコンなどネットワーク内にある機器へ拡散し、データを破壊したり改ざんします。

また、データを勝手に暗号化し、元通りにすることを条件に身代金を要求します。しかし、代金を払っても元通りには決して戻りません。機密性、完全性、可溶性を維持するのが情報セキュリティとなりますが、これら全てを崩壊させることがマルウェアには可能です。

なぜCMSは狙われやすいのか？

• 利用者が多い、管理が甘い

→ユーザーがカスタマイズしやすいので、管理者画面のIDがアドミンのまま使うケースが非常に多く狙われやすい状態です。

• プラグインが豊富で脆弱性が発生しやすい

→プラグイン自体にバックドアが仕込まれることが多いです。

• オープンソース型は分析されやすい

→特にWordPressが、狙われるケースが多く顧客の大半が脆弱性診断されています。

ではどうすれば良いのか。CMSのセキュリティ対策の基本は、アップデートして常に最新パッチを当てることです。CMSのメリットはプラグインの存在にありますが、開発者のセキュリティリテラシーに差がある為、重大なセキュリティホールにつながります。

対策として

• プラグインをむやみに増やさない
• 利用状況やバージョンアップの管理をする
• パスワードは強固なものにする＋定期的な変更をする
• 専用のWAFを設置する

といったことが挙げられます。

WAFは、Web専用のファイアウォールとなり簡単なSQLインジェクション攻撃をある程度防ぐことができます。
つまり無駄な攻撃を受けないようにしておくことができます。
ハッカーは、手間や時間のかかるサイトは狙うのを避けるので、ある程度の抑止効果があります。
対策をしていない企業は、ハッカーを引き寄せ誘発させますので、入口対策をお勧めします。

また、企業内にホワイトハッカー（コンピュータやネットワークに関する高度な知識や技術を持つ方）がいない場合は、侵入したか判断つきませんので、WAFの設置を勧めしています。

サイバー攻撃で狙われるのはWebアプリケーションサービスサイトや業務システムにまで拡大されています。ブロードバンドが普及して回線速度も上がりサーバー処理速度も向上しました。

Webアプリケーションは、サイトを魅力的に提供するために、利用されています。
Webアプリケーションは、高度なプログラムを組みデータベースと連携させて、動的なコンテンツを提供しています。
つまり、複数のプログラムとデータベースが連携して動く複雑なシステムを用意している為、システムに脆弱性を作り込まないのが重要と言えます。

しかし、完全に脆弱性を無くすのは難しいのが実情です。パッケージソフトをそのまま用いてサポートを受けられるのであれば修正は比較的容易なのですが、多くはオープンソースをカスタマイズしたり独自に開発したプログラムを利用しています。
ですので、それぞれ異なる問題を運営者が自身でメンテナンスしている状況です。サイトを魅力的にすればするほど、脆弱性が潜んでしまうのです。

提供ソリューションについて

AIプラットフォーム脆弱性診断について

AI脆弱性診断「ImmuniWeb®（イミュニウェブ）サービス」は、スイス企業のサービスです。バルクグループが、日本で独占販売権を得て展開しています。
こちらは、国内初のAI脆弱性診断サービスで、海外でトップクラスの高評価を得ています。
従来のセキュリティ診断に比べて（当社比）3倍安い、3倍速い、3倍高品質です。

診断価格が安くて早いのが最大の特徴なのですが、WebサーバーやSSLの強度など一括で診断してしまうところをご評価していただいています。
また、ネットワーク診断と言われ別々に診断しているWebサーバーの診断も一括で行うことができます。

他社にはない付属診断として、

• SSL強度診断
• Webサーバ脆弱性診断
• トレードマーク不正使用診断

海外での実績として、銀行、発電所、政府機関、マーケットプレイスなど多岐に渡ります。
また、国内リリース開始の2019年3月から、すでに300案件超の国内診断実績があります。

セキュリティリスク分析「V-sec」

セキュリティ診断の必要性を認識する有効な施策としてセキュリティリスク分析「V-sec」の必要性をまとめてみました。

• 全体像から守るべき弱点や優先順位がわかる

→自分たちの会社を俯瞰してみることで見えてきます。

• 重複した対策や余計な対策をしなくて済む

→様々なセキュリティツールが存在し機能も充実してきていますが、複数設置していると機能が被っていることがあります。１つにしてわかりやすく整理ができます。

• 最適な費用により、適した対策が可能となります。

セキュリティリスク分析とは、設備投資、何かを導入するためにやるものではなく、自社の人的、組織的、物理的、技術的に自社のマネジメントの部分が問題なのか育成がなのかという、設備投資以外も含めてセキュリティリスク分析をする。
例えば、標的型セキュリティメール訓練をしている企業は、開封率が低くなっていているので、対策にコストを低くおさえられます。

コースは「ジェネラルアナリシスコース」と「情報セキュリティ監査コース」があります。
「情報セキュリティ監査コース」は現場の方にもヒアリングし、ルールが形式化 してないかのチェックを行います。

サイバーセキュリティトレーニング、教育等の各種コンサルティング

経営層向けトレーニング

慶応義塾大学の田村教授と作りました経営層向けのトレーニングです。
サイバー攻撃を受けた時に、どういった会議をし、判断をするのか。このトレーニングで実施して、アクティブラーニングを使用して経験する内容です。

一般社員向けトレーニング

標的型攻撃メール受けた場合の対処法として、一般社員の方のトレーニングです。
非常に効果が高く、新年度のオリエンテーションなどに、採用されています。

IT部門エンジニア向けトレーニング

IT部門エンジニア向けトレーニングとして、我々が一番お勧めしているのはエッセンシャルトレーニングです。自分たちの会社でサイバー攻撃を受けたかどうかを判断するトレーニングです。
例えば、ファイルが紛失してしまったなど攻撃の疑いがある場合。
サイバー攻撃を受けたのか、社員のミスでファイル削除したのか、内部不正なのか、などジャッジができることを目指します。
判断できれば、復旧や対処のコストが抑えられます。
まずは初期対応可能な人材だけでも、育成しておくことをお薦めしています。
このエッセンシャルトレーニングは、いつも満員で受講して頂いております。