リソース

ブログ

IDC × 東芝様  × 弊社CEO対談インタビュー :「今日の最大のサイバーセキュリティ課題とは」
Post 2022-02-16
IDC × 東芝様 × 弊社CEO対談インタビュー :「今日の最大のサイバーセキュリティ課題とは」

ユーザー企業、脅威インテリジェンスプロバイダー、そしてIDCのセキュリティエキスパートの視点から見たセキュリティ動向や今後の展望について語る、3部構成のビデオキャストです。IDC Asia Pacificのトラスト&セキュリティリサーチ担当バイスプレジデント Simon Piffの進行の元、企業代表として株式会社東芝 サイバーセキュリティセンター長 天野 隆氏をお招きし、CYFIRMA CEOのKumar Riteshが参加。主に以下のテーマを中心に、セキュリティリーダーの皆様へ有益な示唆をお届けしています。 ◆第1部「今日のサイバーセキュリティにおける最大の課題とは」 アジア地域の企業や組織が直面しているサイバーセキュリティ課題や懸案事項についてディスカッションを行っています。 国家支援型グループによるサイバー攻撃や、経済的な利益を目的とするサイバー犯罪者の活動を踏まえ、最新のサイバー脅威情勢を中心に解説しています。     ◆第2部「サイバーセキュリティとリーダーシップ」 長期化するCOVID-19によりこれまでの常識が変化する中、セキュリティ・リーダーに期待される役割の変化、効果的なサイバーセキュリティ戦略構築に必要な視点や対策とは何かといった疑問について議論を展開しています。   ◆第3部「サイバーセキュリティ、DX、そしてトラストの重要性」 DXの視点から見たサイバーセキュリティとトラストの重要性をテーマに、リスク、セキュリティ、コンプライアンスなどの各要素がステークホルダー間の信頼構築に与える役割や影響について議論しています。また、第1、2部を総括しながら各自の視点や意見を交わしています。   各チャプター用の動画プレイヤーの再生ボタン、全画面表示等をご利用の上ご視聴ください。 お問い合わせやご不明な点がございましたら下記よりご連絡下さい。

「敵から見える自分を知る」重要性
Post 2021-12-23
「敵から見える自分を知る」重要性

「敵から見える自分を知る」重要性 サイバーセキュリティにおいて「敵から見える自分」を知ることは結構大事な要素です。 「自社の資産をすべて把握しているから大丈夫!」と言える組織がどれくらいあるでしょうか?存在を把握しているだけで、攻撃者から見たおいしさまで把握できていなかったりしませんか? これは、自分の性格を考えてみるとわかりやすいかもしれません。自分が思っている自分の性格や態度は、周りの方々から見えている性格や態度とは異なっていることが多いと思います。(検索すると「他人から見た自分の性格診断」って色々出てきますね。)自分の主観で見ているとわからないことが周りの人に聞くと気づくことがよくあります。 これはサイバーセキュリティにおいても同じだと思います。自分たちでは資産を把握しているつもりでも、攻撃者から見たときにはまた違う見え方をしているかもしれません。例えば、外部に公開しているシステムは10個であると認識していても外部から見たら15個見えるかもしれないですし、10個の数は同じでも攻撃の容易さに繋がる情報の公開度が自分たちの認識とは違うかもしれません。このような内部から見た自分たちの状態と攻撃者視点で見た場合のよくある状態の違いは以下の点が上げられます。 ・Webサーバーの前にあるCDNの負荷分散サーバー ・リモートアクセス用のVPNの存在、およびそのVPNのOS情報公開 ・本番リリース前のWebや新規利用サービスのテスト環境や開発環境の公開 ・既に終わったはずのキャンペーン用サイト ・昔使っていた(旧社名や統合前の子会社など)ドメインで動いているWebやメールサーバー ・保守メンテナンス用に一時的に開けていたはずのポート これらの状態まで本当に内部から見て把握できていますか?なかなか内部から見ている限りでは把握することが難しいのではないでしょうか。攻撃者は物理的にアクセスするわけではなく、インターネット経由でサイバー攻撃を仕掛けてきます。もちろん攻撃対象の調査もインターネット経由で情報収集をしていて、上記のような状態の外部に公開されている資産の探索を丹念に行っています。 また、一時的に状態を把握したとして、守る側はそれで終わることができません。残念なことに、攻撃者から見える状態というのは常に変化します。新たな脆弱性は常に出てきますし、利用しているクラウドプラットフォーム側の仕様変更もありますし、外部に公開されている資産から得られる情報を増やすためにツールもどんどん進化しています。攻撃に使われるツールも色々ありますが、例えば、CDNの普及に伴ってDNSの不適切な設定を突いたサブドメインテイクオーバーを狙うため、攻撃対象を見つけるツールが公開されていたり、もともとはペンテスト用のツールであるCobalt Strikeがあらゆる攻撃者に利用されていることは有名なところかと思います。 攻撃者は皆様の気持ちは考慮に入れませんので、「自分たちはできているから大丈夫」、「自分たちは攻撃されない」といった前提で行動するのではなく、攻撃者に対して「攻撃に手間がかかりそう」「攻撃できそうなシステムが見つけられない」といったように攻撃者から見ておいしくない状態を常に保つことが重要です。 今回のお話は「敵から見える自分を知る」の一例ですが、攻撃を受ける可能性の軽減に役立ちます。しかし、攻撃者も常に進化していますので攻撃者の動向によって狙われやすい資産が変わってきます。より積極的なセキュリティ対策を実施するためには「敵を知る」ということの重要性についても意識していくことをお薦めします。 CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。 CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています! ✧毎週火曜日に発行「Weekly Security Update」 CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。 その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。 ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、 ご興味のある方は下記よりお申込下さい。 ※同業他社の方はお断りする場合がございます、ご了承下さい。 メルマガお申込 ✧毎月定期開催「CYFIRMA…

ランサムウェアと株価
Post 2021-10-29
ランサムウェアと株価

ランサムウェアと株価 最近、ランサムウェア攻撃による被害の報道をよく目にします。ランサムウェアの被害にあうと多くの対応費用が掛かります。復旧のための費用や、セキュリティ対策強化費用、被害にあったシステムが事業に直結している場合は遺失利益も発生します。2021年初めに30か国5,400人のITマネージャー(製造、生産部門のIT担当含む)を対象としたSophosの調査によると、このような費用は平均約185万ドルであったとのことです。ちなみに、身代金を支払った場合は平均約144万ドルだそうです。  また、2020年のレポートでは国毎の費用も分類されており、日本は平均約219万ドルの費用が掛かっているそうです。他の国々と比べて、日本とスウェーデンが倍以上の費用を要しています。本レポートでは従業員数別など様々な切り口で分析していますので、詳細はSophosのレポートをご覧ください。  さて、本題ですが、このようにランサムウェア被害にあうと多くの費用が発生します。では、ランサムウェア被害を公表した企業の株価はどのように推移するのでしょうか?セキュリティ担当部門としては、株価に影響があるから対策をしたい。と言いたいところですが、残念ながらさほど影響はないようです。  Comparitechの研究者がニューヨーク証券取引所上場企業を対象に分析したところによると、以下の通りだそうです。  ・ランサムウェア攻撃直後の株価は平均22%急落 ・最初の落ち込みは短命です。価格はほとんど1日以内に回復し、株価は平均10営業日以内に市場をアウトパフォームするように戻ります。 ・ランサムウェア攻撃後、株価は平均6か月で4.4%上昇し、NASDAQを11.2%上回りました。 ・調査したすべての株の中で、Ryukランサムウェアが株価に最大の悪影響を及ぼしました ・ハイテク企業の株価は、攻撃が公表された後、最初は大幅に下落しましたが、6か月後には非ハイテク企業を上回りました。   本レポートはニューヨーク証券取引所上場企業が対象ですので、日本の企業はどうでしょうか?ランサムウェアと思われるサイバー攻撃被害を公表した東証一部上場企業10社の株価を簡単に調査してみました。  調査方法は以下の通りです。  ・自社HP上でランサムウェアと思われるサイバー攻撃被害を公表している企業を抽出  ・公表日の株価、翌日、7日後、30日後の株価を調査  ・公表日が休日の場合は前日の株価を選定  ・翌日以降の日付が休日の場合は翌営業日の株価を選定  結果は以下の通りです。  ・ランサムウェア被害公表日翌日の株価は平均0.5%下落  ・同7日後の株価は平均0.8%上昇  ・同30日後の株価は平均5.4%上昇  ニューヨーク証券取引所上場企業の調査結果と比べて、日本の場合はランサムウェア被害の公表が、公表直後の株価にも影響を及ぼしていないことが分かりました。その後の経過もランサムウェア被害の株価への影響は見られません。日本の企業に投資をしている方々はアメリカよりもさらにランサムウェア被害に対して興味を持っていないようです。 セキュリティ担当部門にとっては、少し衝撃的な結果ではありますが、ランサムウェア被害に遭うことによる業務への影響と株価の動向に相関がなさそうであったとしても、これをもってしてリスクがないというわけではないですしセキュリティ対策をしなくてよいということにはなりません。別の調査では、半数がランサムウェア攻撃による収益の損失と評判の低下を経験し、42%は顧客を失ったとの調査結果もあります。 サイバーセキュリティは経営課題であることは再三言われていることですので、株価の動向に関わらず経営層も含めて適切なセキュリティ対策を行う必要があります。  ◆参考文献 The state of ransomware 2020:…

国家が関与するサイバー攻撃と脅威インテリジェンス
Post 2021-10-14
国家が関与するサイバー攻撃と脅威インテリジェンス

国家が関与するサイバー攻撃と脅威インテリジェンス 将来サイバーセキュリティの歴史を振り返るとき、今年は大きな分水嶺となりそうです。 サイバー攻撃の背後には国家の支援があることは2013年のAPT1レポート以降、公に語られるようになりました。しかし、これまで日本ではサイバー攻撃の背後に国家の支援があることを明示的に言及されてきませんでした。それが今年に入って、名指しで明確に指摘するケースが相次いでいます。 ■ 2021年4月22日 警察庁長官 (前略)その後の捜査等を通じて、被疑者・関係者の供述をはじめ数多くの証拠を約200の国内企業等に対する一連のサイバー攻撃がTickと呼ばれるサイバー攻撃集団によって実行され、当該Tickの背景組織として、山東省青島市を拠点とする中国人民解放軍戦略支援部隊ネットワークシステム部第61419部隊が関与している可能性が高いと結論付けるに至りました。    ■ 2021年7月19日 外務報道官談話 (前略) 3.我が国においても、先般、中国人民解放軍61419部隊を背景に持つTick(ティック)といわれるサイバー攻撃グループが関与した可能性が高いサイバー攻撃について発表を行いました。そして、今回のAPT40といわれるサイバー攻撃グループからの攻撃では、我が国企業も対象となっていたことを確認しています。 (後略)   ■ 2021年9月28日 サイバーセキュリティ戦略  (前略)経済社会のデジタル化が広範かつ急速に進展する中、こうしたサイバー攻撃の増大等は、国民の安全・安心、国家や民主主義の根幹を揺るがすような重大な事態を生じさせ、国家安全保障上の課題へと発展していくリスクをはらんでいる。サイバー攻撃者の秘匿、偽装等が巧妙化しているが、特に国家の関与が疑われるサイバー活動として、中国は軍事関連企業、先端技術保有企業等の情報窃取のため、ロシアは軍事的及び政治的目的の達成に向けて影響力を行使するため、サイバー攻撃等を行っているとみられている。また、北朝鮮においても政治目標の達成や外貨獲得のため、サイバー攻撃等を行っているとみられている。さらに、中国・ロシア・北朝鮮において、軍をはじめとする各種機関のサイバー能力の構築が引き続き行われているとみられている。   このように、日本においても、国家が背後にいるサイバー攻撃が存在し、そして民間企業を含め被害にあっていることを公表し始めました。ちなみに、このような行為を「パブリック・アトリビューション」と呼ぶそうです。パブリック・アトリビューションについては、NIDSコメンタリーの論評が大変参考になりますので、先月まで本ブログで紹介していたCyber Capabilities and National Powerと合わせてお読みください。 さて、このような国家が関与しているサイバー攻撃が存在することがわかったとして、守る側ができることはあるのでしょうか。攻撃者の名前を報道で知ったとしてもどうすることもできません。ここで必要となってくるのが脅威インテリジェンスです。脅威インテリジェンスの構成要素のひとつである「敵を知る」ことに長けている脅威インテリジェンス提供会社であれば、国家が関与している攻撃者の情報を収集、分析しています。彼らの能力、攻撃の対象、攻撃に使われるインフラ、彼らの目的や動機、TTPと呼ばれる戦術・テクニック・手段などの攻撃者に関する情報を手に入れることができます。攻撃者の名前だけではなく攻撃者に関するあらゆる情報がテーブルに載ってくると自組織での活用イメージも湧いてくるでしょう。 ただ、その攻撃者の情報について、自分の組織内に収集・分析能力があればよいですが、なかなかそうもいきません。もし、そのようなことができる高度な分析能力を保有している組織であれば、国家が関与している攻撃者の情報を入手し、自分たちで、自分たちに関係のある情報を取捨選択して利用することもできます。もし、そこまでの能力を保有していない組織であれば、自分たちに関係のある情報に取捨選択してあるものを提供してもらう方がよいでしょう。 脅威インテリジェンス提供会社はたくさんありますので、自分たちが活用できる範囲を見極めたうえで選択することをお薦めします。   ◆参考文献 国家公安委員会委員長記者会見要旨: https://www.npsc.go.jp/pressconf_2021/04_22.htm 中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について(外務報道官談話):…

Security Days 2021 Fall考察「EASMって知ってますか?~敵から見た自社を知るEASMと敵を知るための脅威インテリジェンス~」
Post 2021-10-14
Security Days 2021 Fall考察「EASMって知ってますか?~敵から見た自社を知るEASMと敵を知るための脅威インテリジェンス~」

こんにちは、インサイドセールスを担当している伊是名です。 先日、10月6日(水)にSecurity Days 2021で講演をしまして、その際にカメラマンをしていましたので考察をさせて頂きます。   もしご興味があればこちらから資料希望の旨ご連絡下さいませ!   サイバー空間では、システム管理者よりも、攻撃者の方がより多くの情報を持っている。この「情報の非対称性」を埋める為には? 攻撃者は、攻撃対象としている企業の事をよく調べ、よく調査しています。会社のシステムだけではなく、どの様な商品を開発しているのか、どういう市場規模なのか・・・。 一方、守る側である我々は、攻撃者の何を知っていますか?どの国の人?どんな攻撃を得意としている?などの情報を知る術はなかなかないと思います。ここで情報の非対称性が生まれています。   この情報の差を埋めない限り、効果的で適切なセキュリティ対策を打つことはなかなか難しいと考えます。 この情報の非対称性を埋める為には、「敵を知る」という事と「敵から見える自分を知る」ことが重要になってきます。   その中で今回は「敵から見える自分を知る」という部分にフォーカスしてEASM(外部攻撃対象領域管理)についてお話させて頂きました。 弊社ブログでも解説を入れていますので、ご興味があればこちらのブログをお読みください。 EASMとは   EASM = サイバー攻撃を受ける可能性のある外部公開システムの管理   お客様とお話をしていると、よく「脆弱性診断とはどう違うのか?」という事を聞かれます。   脆弱性診断は、あくまでも皆様から見て大事な資産(個人情報がある、重要なデータが入っているなど)を指定して診断を行います。 当然、攻撃者はシステム管理者が重要と考えている資産にはあまり興味がありません。なぜなら、それらはしっかりと管理され、対策されていることを認識しているからです。 攻撃者も手間をかけずに簡単に攻撃を行いたいと考える為、守りが固い資産にはなかなか手を出しません。   しかし・・・ システム管理者が…

アタックサーフェス(攻撃対象領域)管理の重要性
Post 2021-09-30
アタックサーフェス(攻撃対象領域)管理の重要性

アタックサーフェス(攻撃対象領域)管理の重要性 今回は、アタックサーフェス(Attack Surface)、日本語訳では「攻撃対象領域」と訳されるサイバー攻撃を受ける可能性のある領域の管理について考えてみます。 アタックサーフェスという言葉は便利な言葉で実に多様な領域をカバーしています。「サイバー攻撃を受ける可能性のある領域」という言葉を考えてみると受け手の属性によってさまざまな解釈が可能です。 例えばアプリケーションセキュリティの世界ではアタックサーフェスというと以下のように定義されています。 ・アプリケーションにデータやコマンドが出入りする経路のすべて ・それらの経路を保護するコード (リソース接続と認証、認可、アクティビティロギング、データの検証とエンコーディングを含む) ・アプリケーションで使用する重要データのすべて (シークレットとキー、知的財産、クリティカルなビジネスデータ、個人データと PII を含む) ・重要データを保護するコード (暗号とチェックサム、アクセス監査、データ完全性、運用上のセキュリティ制御を含む) 「サイバー攻撃を受ける可能性のある領域」は他にはどのようなものがあるでしょうか。もちろんシステムは外せません。モバイル端末もサイバー攻撃を受ける可能性があります。ソーシャルエンジニアリングやメールを受け取る人も対象と言えるかもしれません。 これらすべてにおいて同じ考え方で対応していくことは難しいので、今回は、「外部攻撃対象領域(External Attack Surface)」の管理について考えます。 マルウェア感染について、最近侵入経路が変わってきていることにお気づきでしょうか。マルウェアはメールやWebアクセス、USBの3か所が侵入経路であるから、ここを徹底的に守るべき、という風に言われていた時代がありました。しかし、昨今、VPNシステムやリモートデスクトップ経由、ネットワーク機器やクラウドサービスなど別の侵入経路による被害が増えています。これらに共通する状況は「外部に公開しているシステム」であるというところです。 世界を取り巻く情勢によりリモートワークを推進するためのネットワーク環境やシステムが増えています。その結果、外部に公開されているシステムも増加しています。令和2年に発行された「情報通信白書」(総務省)によると、クラウドサービスを一部でも利用している企業の割合は64.7%だそうです。利用しているクラウドサービスの内訳では、「ファイル保管・データ共有」が56.0%、「電子メール」が48.0%、「社内情報共有・ポータル」が43.0%とのことです。 日々のビジネスを円滑に進めるうえで基礎的でありながら重要なシステムがクラウドシフトしていることがわかります。 攻撃する側からしても外部に公開されているシステムは容易に探索が可能です。管理が甘いシステムをひとつでも見つければ、そこを侵入口として本来の目的を達成するきっかけとすることができます。何重かのセキュリティシステムを突破してメールでマルウェアに感染させるよりも少ない労力で済みます。 このように攻撃者の視点で見ると、外部に公開されているシステムというのは大変おいしい存在です。社内システムへ安全にアクセスするために導入したVPN装置やどこからでもアクセスできるように利用したクラウドサービス、クライアントPCが社外にあることが多くなったため導入したSaaS型のIT管理システムなど、攻撃者にとっては一度でも侵害できれば十分価値のあるものが増えています。 守る側である組織は、この点を意識する必要があります。攻撃者の視点に立てば、外部に公開しているシステムは野放しにしていいものではないことが分かると思います。ではどうすればいいのかを考える上で役に立つ考え方が外部攻撃対象領域管理(External Attack Surface Management)です。字面は難しそうに見えますが、実施内容は非常に単純です。 1. 外部に公開されているIT資産やシステムを把握する 2.…

EASMとは
Post 2021-08-06
EASMとは

EASMとは 最近、「EASM」という言葉をちらほら耳にする機会があります。EASMはExternal Attack Surface Managementの略語で、日本語でいうと「外部攻撃対象領域管理」になります。 EASM、外部攻撃対象領域管理とはどのようなものなのでしょうか。簡単に言うと、「外部(インターネット)に公開されているIT資産やシステムの把握と、それらに存在する脆弱性を管理する。」ということになります。 近年、日本でも(やっと)クラウドサービスの利用が促進されつつあり、今まで(かたくなに)企業ネットワークの内側に置いていたシステムが外側に出てくることによって、外部に公開されている資産やシステムが増加しています。また、簡単にクラウドサービスを利用することができるようになったことにより、IT部門で把握していない、管理していないシステムが増えてきています。今まではIT部門の許可なくシステムを構築し、外部に公開することは比較的難しかったので台帳管理ができていたかもしれませんが、クラウドシフトの現状ではそうもいきません。このような状況を是正するために、自組織に関連する外部に公開されているIT資産を把握すること。これがEASMの第一歩になります。 続いて脆弱性の管理です。外部に公開されている資産を把握したところで、そこに脆弱性があったら元も子もありません。この脆弱性ですが、注意すべき点があります。一言で脆弱性と言っても、パッチを適用すれば解決するようなものだけではありません。不要なポートの開放、不要なサービスの起動、設定の不備などシステムの堅牢性に関わるものが含まれます。 いかがでしょうか?新しい言葉ではありますが、特段新しい内容でもありませんね。「資産管理しましょう」「脆弱性管理しましょう」これらはもう遥か昔からIT運用で言われていることです。ただ、それでもできていない現状とITを取り巻く環境が変わったことによりEASMという言葉が生まれたのではないでしょうか。 さて、ではなぜ、セキュリティの観点でEASMという言葉が必要となるのでしょうか。 EASMの日本語訳は「外部攻撃対象領域管理」です。そうです。攻撃を受ける可能性があるからこそ、外部に公開されているIT資産はよりしっかり管理しなければなりません。 攻撃者たちもできるだけ少ない労力で目的を達成したいので、ターゲットとする企業の外部に公開されている資産を狙ってきます。それはウェブサーバーやメールサービスとは限りません。IT部門が社員のために構築したVPNシステムかもしれませんし、事業部が利用しているクラウドサービスかもしれません。 どこかひとつでも突破することができれば、そこから侵入することも、そこで得たアカウント情報などを元に他のシステムへの侵入することもあります。 また、残念なことに企業ネットワーク内にほぼすべてのシステムがあった時代と違い、大半が外部に公開されているシステムの脆弱性は常に変化します。今までのように境界防御で脆弱性対応を後回しにすることはできません。外部に公開されている資産の状況を常に把握し、迅速に脆弱性を潰していく必要があり、そうすることによって攻撃者からの攻撃を受ける可能性を軽減することができます。 IT環境の変化、攻撃者の存在により、防御をセキュリティ製品に任せる時代は終わりを迎えつつあります。残念ながら自組織を守るためには、自ら動く、能動的に対応することが求められてきています。 CYFIRMAの提供するサービスでは組織のEASMを支援する機能も標準で提供しています。 ご興味のある方は、どうぞお気軽にお問い合わせください。 CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています! ✧毎週火曜日に発行「Weekly Security Update」 CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。 その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。 ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、 ご興味のある方は下記よりお申込下さい。 ※同業他社の方はお断りする場合がございます、ご了承下さい。 メルマガお申込 (メルマガお申込ページが新しくなりました) ✧毎月定期開催「CYFIRMA…