セキュリティ専門家が指南：「危ない！　危ない！」というあおりに踊らされず、自組織の脆弱性を見極めた対処を　SBテクノロジー・辻伸弘氏

「セキュリティの専門家」と聞くと、多くの人はとっつきにくかったり、いかにも「技術者」「研究者」然とした姿を連想したりするかもしれない。そうしたイメージを払拭し、今風なルックスやキャラ、軽快な語り口でセキュリティに関するさまざまな情報を広く発信しているのが、SBテクノロジーのプリンシパルセキュリティリサーチャー、辻伸弘氏だ。

セキュリティに関する深い知見と日々のリサーチ活動で得た膨大な情報を基に、最新のセキュリティトピックを講演の場で斬新な切り口で語ったり、SNSを通じて最新トピックを継続的に発信し続けたりしている辻氏の活動は、セキュリティに少しでも関心のある方なら一度ならずとも触れたことがあるだろう。

また、一般向けに分かりやすい切り口で書いたセキュリティ解説本が広く好評を博しているほか、テレビ番組への出演や映画の技術監修など、ますます活躍の場を広げている。

そんな同氏は昨今特に注目しているセキュリティのトピックとして「ランサムウェア」を挙げる。

「ここ4年ほどはランサムウェアとそれを取り巻く周辺動向について、かなり注目しています。攻撃グループの動向や悪用される脆弱性などについて詳しく調査するとともに、サプライチェーンを悪用した攻撃手法など周辺のさまざまな動きについても継続的に情報を集めています」

特に脆弱性に関しては、それらが悪用される手法や対処方法などについて調査するとともに、企業が脆弱性をどう管理すべきかという、いわゆる「アタックサーフェスマネジメント」の取り組みについても注目しているという。脆弱性を管理することの重要性については、セキュリティの世界では以前から指摘されていたものの、一般的に広く認知されているとは言い難い状況が続いていた。

しかし、近年になりアタックサーフェスマネジメントというキーワードが話題になったことで、一般に広く啓発するには「ちょうどいいタイミングだ」と同氏は感じたという。

「2014年にLINEアカウントの乗っ取りが大きく取り上げられた結果、パスワード管理の重要性が世間に広く知れ渡りました。これと同様、アタックサーフェスマネジメントというワードが流布して、政府もその重要性を積極的に発信するようになった今こそ、脆弱性をきちんと管理することの大切さを世の中に広く訴えかける好機だと捉えています」

アタックサーフェスマネジメントとは、自組織が所有・利用している資産を洗い出し、把握した上で、それらに内在する脆弱性に対して明確な優先順位を設け、戦略的に対処するサイクルを回していくことを指す。世の中にはとてつもない数のIT製品が存在し、それらが抱える脆弱性の数も膨大だ。一見すると自組織のセキュリティ状況を万全に保つためには、これらの脆弱性全てに対処する必要があると考えがちだが、実際にはそうではない。

「たとえ世間で『これは深刻な脆弱性で今すぐ対処しなくてはならない！』と騒がれていても、そもそも自組織にその脆弱性が存在しないことが分かっていれば、何も対処する必要はありません。それに新たな脆弱性は日々公開されていますが、これらが全て『今すぐ対処しなくてはならないもの』ばかりとは限りません」

一口に脆弱性といっても、その影響度や危険度はピンからキリまである。これらを客観的に評価・判断するための指標の1つとして、脆弱性の緊急度をスコアリングする「CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）」がよく用いられる。しかも、この評価システムでは脆弱性そのものの特性だけでなく、「既に攻撃コードが存在するか」といった点も加味して緊急度スコアを算出することも可能である。

しかし、実際に広く公表されるスコアにはこれらが加味されていることはほとんどない。つまり、悪用が可能であるかどうかではなく、仮に悪用できた場合、どのようなインパクトがあるのかというスコアのみが伝わっているのである。そのようなスコアのみで対策の優先順位を決定しようとするとどうなるだろうか。以下を考えてほしい。

（1）「CVSS値が10.0（最も危険）であるが悪用が認められない」脆弱性

（2）「CVSS値が5.0であるが悪用が認められている」脆弱性

この場合はどちらを優先的に対処するべきだろうか。答えは言うまでもなく（2）となるが、インパクトのみを重視した優先順位付けだとこの順序が入れ替わってしまうだけでなく、最悪の場合、対策の優先順位の高い脆弱性を放置してしまいかねない状況が生まれてしまう。

つまり極端に言えば、たとえ脆弱性の存在が広く知られていたとしても、攻撃コードが存在しない、または攻撃された事例がまだ存在しないものについては、対処の優先度を落とすという選択肢もあるということだ。もちろん、そもそも脆弱性を抱えた製品を自組織で利用していないのであれば、いちいち浮足立って騒ぎ立てる必要もない。

従来、こういった情報については、自組織内のリソースで調査する、あるいは、外部のベンダーから情報の提供を受ける必要があり、非常にハードルの高いものだった。

しかし、2021年11月に大きな変化が訪れた。米国の国土安全保障省 (DHS) のサイバーセキュリティ・インフラセキュリティ庁 (以下、CISA)が、米国の政府機関向けに拘束力を持つ運用指令（BOD 22-01）を発出した。これは端的に言うと、既に悪用がCISAによって確認されている脆弱性に対して、期限付きの対応を強制するものである。対象は前述した通り、米国の政府機関であるのだが、これらの脆弱性についてリストアップしたものを公開してくれているのである。これにより悪用されている脆弱性を容易に知ることができるようになった。

もちろん米国政府の取り組みであるため、たとえ日本ではメジャーでも、米国では利用されていないようなソフトウェアに関してはリストアップされない。従って、これだけでは不十分ではあるものの、非常に有益な情報であることは間違いなく、これまで自力で何とかせざるを得なかった組織の負担などを大きく軽減してくれることが期待される。

組織が保有・運用するさまざまなIT資産の中でも、サーバはとりわけ重要な情報資産を管理していることが多いため、脆弱性にもいち早く対処するのが理想的だ。しかし一方で、サーバへのセキュリティパッチ適用は業務に与える影響も大きいため、PCのように気軽に対処するわけにもいかない。

そこでアタックサーフェスマネジメントの手法を取り入れ、パッチ適用の優先順位をきちんと付けることができれば、業務へ与える影響と脆弱性のリスクのバランスを図りながら現実的な対処方法を検討できるようになる。

この際、脆弱性の緊急度を客観的に判断するための尺度として、辻氏は米国のCISAが公開している「KEV（Known Exploited Vulnerabilities） Catalog」の活用を推奨する。これはCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）が付与された公開済みの脆弱性のうち、既に悪用が確認されているものだけを抽出してリスト化したもので、米国の各種政府機関はこれらに対処することが義務付けられている。

「まずは資産管理をしっかり行い、自組織でどのようなIT製品がどこで利用されているかを正確に把握する必要があります。その上で、もしそれらの中に脆弱性が存在することが分かったら、その深刻度や緊急度を評価した上で優先度をきちんと設定すれば、効率的な対処が可能なはずです。そして、真っ先に対処すべき脆弱性はどれなのかを判断する上では、このKEV Catalogはとても参考になります。それにCVEが付与されて公開されている脆弱性のうち、この中に含まれているものは実はわずか1％未満に過ぎません」

こうした情報をうまく活用することによって、これまで煩雑だと思われてきた脆弱性管理もかなり効率化されるはずだ。辻氏はこうした取り組みについて、「単に『危ない、危ない』とあおり立てるのではなく、むしろ本当に対処すべきリスクをきちんと評価して、現場のセキュリティ運用の手間を減らすお手伝いをすることこそ、私たちセキュリティ専門家が本当になすべきことなのではないかと思います」とその重要性を強調する。

一般に企業のセキュリティ対策を強化するためには、従業員などユーザーの教育やリテラシー向上が不可欠だといわれる。辻氏もこの点について「教育自体の効果は決して否定しない」と述べつつ、以下のように指摘する。

「画一的なeラーニングの教材やテストをユーザーに義務付けるだけでは、効果に限界があると思います。そこで個人的には、よりユーザーに興味を持ってもらうようコンテンツを工夫して、なるべく『自分事』として捉えてれるよう心がけています。例えば、ランサムウェアのリスクをただ言葉で伝えるだけではなくて、目の前で実際に感染の様子を見せることでより身近に感じてもらうような工夫を凝らしています」

ただし同時に、「個人のリテラシー向上にはどうしても限界があるので、むしろリテラシーが上がらないことを前提として、個人には依存せず、組織としてアプローチする方法を重要視しています」とも同氏は述べる。

人はどれだけ教育を施しても必ずミスをするものなので、ミスをした際に組織としてどう対応するかに重きを置くべきだと同氏は提唱する。その際、「飴と鞭」の「鞭」だけに注目して、ミスをした従業員を責め立てるようなことは絶対に避けるべきだという。

「やらかしてしまった従業員を厳しく処分するような対応を取ると、それ以降は『ミスを素直に報告すると処分されるから、たとえミスをしても隠しておこう』と皆が考えるようになります。その結果、インシデントの発覚が遅れてしまったり、被害規模を少なく見積もって報告したために、後になってより大規模な被害が発覚したりするようなことが起こります」

こうした事態を防ぐためには、たとえ個人がミスをしてしまってもそれを組織全体でカバーできるような体制や風土を築き上げる必要がある。そうすればミスを報告しやすい雰囲気が醸成され、万が一インシデントが発生したとしてもいち早く状況を正確に把握して素早く対応できるようになる。

このような組織風土を作り上げるためには、いわゆる「報連相（報告・連絡・相談）」が重要だと辻氏は強調する。

「『報連相』というと、一般的には『報告・連絡・相談を行うことが重要だ』という意味で捉えられていますが、本来の意味は『報告・連絡・相談を気がねなく行える空気を作ることが重要だ』というものです。この報連相の原点に立ち戻って、悪いニュースほどいち早く上に報告しやすい雰囲気を作り上げることがインシデント対応においても極めて重要です。たとえ悪いニュースであったとしても、報告してくれたことを褒めるくらいがちょうど良いでしょう」

セキュリティについて書かれた記事や文献の中には、「日本企業のセキュリティ対策は海外企業と比べ遅れている」と指摘するものも多い。しかし辻氏は、「本当に遅れているのかどうか、率直に言ってよく分からない」と話す。

「一口に海外といってもさまざまな国や地域がありますし、仮に最も分かりやすい例として米国と比較した場合も、米国は米国で多くの被害が発生しています。『日本では』『米国では』という比較自体が『主語が大きすぎる』と思います。国内外問わずさまざまな事件・事故に関するリリースや報道を私も見ていますが、日本でも米国でも、きちんと対策できている企業もあれば、できていない企業もあると感じています」

ただし企業のセキュリティ対策を取り巻く「環境」という面では、米国はある意味、日本より進んでいる部分があるかもしれないと同氏は見る。

「例えば、先ほど紹介したKEV Catalogのように、政府機関に対策を強制するような“外圧”が強いのが米国の特徴だと思います。民間企業についても、近年ではセキュリティ対策をしっかり行っていないとサイバーセキュリティ保険に加入できなくなっており、やはり対策に力を入れざるを得なくなるような外圧が働いています」

また、米国では企業が大規模なセキュリティ事故を発生させると、ユーザーから集団訴訟を起こされて巨額の賠償金の支払いを命じられるリスクが存在する。そのため企業の経営者にとっても、そうしたリスクを低減するためにセキュリティ対策に多額の投資を行うのは十分理にかなっている。

一方、日本ではそうした外圧が相対的に少ないため、米国と比べた場合どうしてもセキュリティ対策への投資の優先度が下がりがちだ。そのような状況を改善するための手段として、辻氏は「セキュリティ対策の優劣で企業が評価される文化」の醸成を提唱する。

「今の日本では企業がセキュリティ事故を起こすと一方的に非難されるだけですが、普段からセキュリティ対策に力を入れていたり、万が一インシデントが発生した際にも素晴らしい対応を行っていたりする企業がむしろ高く評価される文化が必要です。そうすれば企業の経営者もセキュリティ対策の強化が自組織のブランド力強化につながることを理解してくれますし、ユーザーも安心してその企業の製品・サービスを利用できるようになります」

こうした文化の醸成を目指して、辻氏をはじめセキュリティ業界の有志が集まって毎年開催しているのが「情報セキュリティ事故対応アワード」だ。これはセキュリティ事故に遭った後の対応が素晴らしかった企業を表彰するイベントで、2023年6月には第8回を経済産業省の後援を得て開催している。

「このイベントを8年前から毎年開催していますが、実際には世の中のセキュリティ事故に対する見方はそう簡単には変わりません。でもアタックサーフェスマネジメントの例のように、何かのきっかけで急に世間から注目されることだってあり得ます。やはり『言い続ける』『やり続ける』ことは大事ですよ。今ではもうそれこそ、生涯やり続けてもいいとさえ思っています」

セキュリティリスクの拡大を未然に防ぐ的確な対応力。そして、たとえビジネスに悪影響を及ぼすような問題を引き起こしてしまったとしても、隠ぺいせず、その後の対応も含めて情報を広くオープンにする誠実性。このような資質を持っていることが、高品質な企業活動を続けられるかどうかの境界線になると改めて実感した。