完ぺきなセキュリティ が不可能なら いったい どうすれば良いのか 岡田良太郎 アスタリスク・リサーチ

岡田良太郎 でございます 岡田 良太郎 アスタリスク・リサーチ 代表・エグゼクティブリサーチャ CISA, MBA [email protected] - Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト グッドデザイン賞受賞(2023年) - OWASP (Open Worldwide Application Security Project) ・OWASP Japan チャプターリーダ ・OWASP Top 10、Top 10 for LLM、ASVS コミッタ ・OWASP “Best Chapter Leader”, “Best Community Supporter” 受賞（2014） ・OWASP 永年功労者賞受賞(2024) - 総務省 NICT CYDER 実行委員 - Hackademy 「ハッキングと防御」コース - ビジネスブレークスルー大学（学長 大前研一） 「教養としてのサイバーセキュリティ」コース担当講師 - 独立行政法人 IPA 情報セキュリティ10大脅威選考委員 - 神戸デジタル・ラボ Chief Security Advisor 執行役員 2024/3

Q. 企業のセキュリティ問題が減らないの は、攻撃者が悪いんでしょう。なんで自社 が頑張らないといけないんですか。

2025/2/5

2025/2/5

No content

No content

情報セキュリティ10大脅威 2024 (情報処理推進機構発表) 順位 「組織」向け脅威 1 ランサムウェアによる被害 2 サプライチェーンの弱点を悪用した攻撃 3 内部不正による情報漏えい等の被害 4 標的型攻撃による機密情報の窃取 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 6 不注意による情報漏えい等の被害 7 脆弱性対策情報の公開に伴う悪用増加 8 ビジネスメール詐欺による金銭被害 9 テレワーク等のニューノーマルな働き方を狙った攻撃 10 犯罪のビジネス化（アンダーグラウンドサービス） https://www.ipa.go.jp/security/10threats/10threats2024.html なんの問題なのだろうか ハッカー？人？企業？国家？

情報セキュリティ10大脅威 2024 (情報処理推進機構発表) 順位 「組織」向け脅威 1 ランサムウェアによる被害 2 サプライチェーンの弱点を悪用した攻撃 3 内部不正による情報漏えい等の被害 4 標的型攻撃による機密情報の窃取 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 6 不注意による情報漏えい等の被害 7 脆弱性対策情報の公開に伴う悪用増加 8 ビジネスメール詐欺による金銭被害 9 テレワーク等のニューノーマルな働き方を狙った攻撃 10 犯罪のビジネス化（アンダーグラウンドサービス） 技術(道具)の脆弱性 - ソフトウェアの脆弱性 - 技術連携の複雑性 - アンバランス、不十分な対策 - 管理負荷の増大 - インターネットの機能の拡大

情報セキュリティ10大脅威 2024 (情報処理推進機構発表) 順位 「組織」向け脅威 1 ランサムウェアによる被害 2 サプライチェーンの弱点を悪用した攻撃 3 内部不正による情報漏えい等の被害 4 標的型攻撃による機密情報の窃取 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 6 不注意による情報漏えい等の被害 7 脆弱性対策情報の公開に伴う悪用増加 8 ビジネスメール詐欺による金銭被害 9 テレワーク等のニューノーマルな働き方を狙った攻撃 10 犯罪のビジネス化（アンダーグラウンドサービス） 人の脆弱性 - バイアス(思い込み) - 情報モラル - 無知・無関心 - コスト感覚 - 資産の認識不足

情報セキュリティ10大脅威 2024 (情報処理推進機構発表) 順位 「組織」向け脅威 1 ランサムウェアによる被害 2 サプライチェーンの弱点を悪用した攻撃 3 内部不正による情報漏えい等の被害 4 標的型攻撃による機密情報の窃取 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 6 不注意による情報漏えい等の被害 7 脆弱性対策情報の公開に伴う悪用増加 8 ビジネスメール詐欺による金銭被害 9 テレワーク等のニューノーマルな働き方を狙った攻撃 10 犯罪のビジネス化（アンダーグラウンドサービス） 組織・社会の脆弱性 - 環境面で犯罪手段の調達が容易 - 時間的・地理的無制限性、匿名性 - システムの問題 - 立ち遅れる取り締まり - 社会モラルのバイアス - 高収益な仕事の礼賛 - 無関心・無責任がリスクコミュニ ケーションを下げる

御社でも、こんなこと起きていませんか 1. 退職、契約終了などで不要になったアカウントを消していない 2. パスワード関連の最近の技術はめんどくさいからやっていない 3. Windows 10から 11にしないといけないってほんと？予算化してない 4. プライベートと重要な仕事をいっしょくたにしている上司がいる 5. サービスの権限設定は、だいたいなんでもできるようにしてある 6. メールは実は見ていないからメール訓練でも優秀 7. 最近、ネットのチャットでいい感じのフレンドが増えている

大事な業務を守る側は「脆弱性」だらけかもしれない 組織 人 道具 技術（道具）の脆弱性 - バランス、習熟への抵抗感、難しさ？ 人の脆弱性 - バイアス(思い込み)、モラルはまちまち？ 組織・社会の脆弱性 無関心・無責任が集団化するときつい？ 空気をこわしたくないのでリスクの話は 言いにくい？

ENISA Threat Landscape 2024 • 可用性への脅威（DDoS）とランサムウェアが引 き続き最も大きな脅威。 • クラウド環境を利用したステルス攻撃（LOTS手 法）で、正規サイトを用いたC2通信が活a発化。 • 地政学的要因が引き続きサイバー攻撃の大きな動 機。 • 防御回避技術の進化：サイバー犯罪者がLOT （Living Off The Land）手法を駆使し、環境に溶 け込む。 • ビジネスメール詐欺（BEC）の急増。 • 報告期限を利用した恐喝が新たな手口に。 • ランサムウェア攻撃は高い水準で安定。 • AIを活用した詐欺・サイバー犯罪：FraudGPTや LLMで詐欺メールや悪意のあるスクリプト生成。 • 脆弱性の19,754件が報告され、そのうち9.3％が 「クリティカル」、21.8％が「高」。 • 情報窃盗ツールが攻撃チェーンの重要要素に。 • ハクティビストと国家関与の類似。 • データリークサイトの信頼性が低下、重複や誤報 が増加。 • モバイルバンキングトロイの木馬の急増と攻撃手 法の複雑化。 • MaaS（Malware-as-a-Service）が急速に進化。 • サプライチェーン攻撃の社会工学的手法： OSSのXZ Utilsにバックドアが埋め込まれた事例。 • データ流出が増加傾向。 • DDoS-for-Hireサービスにより、未熟な攻撃者でも 大規模攻撃が可能。 • ロシアの情報操作がウクライナ侵攻において依然 として重要。 • AIを利用した情報操作の可能性が浮上。

セキュリティ投資配分は脅威に見合っているか？ 18 © Asterisk Research, Inc. vs 8% データ侵害の経路 システムを対象にした攻撃 92% 10% セキュリティ投資の割合 ネットワークセキュリティに対する支出 90% 出典：IBM Labo, NIST, Gartner, OWASP

Q. 会社にどんなセキュリティ対応の組織 を設置すると、セキュリティの対応力が高 まりますか？事業への影響は？

攻撃もおおきいが 不注意による問題も案外多いね

実務がワークするには： 組織的対策の上に、技術的対策 • 社員のアクセスの仕組み • 他社とのやりとりの仕組み • 不正からの防御の可視化 • 保護とアクセス拒否の仕組み • 調査可能な状態の維持 技術的対策 • 予算確保と推進のしくみ • コミュニケーション設計 • ルールの見直し • 情報教育・有事訓練 • 第三者の評価 組織的対策

プロはこう考える 識別 • イベント • トレンド • アクシデント 衛るものに対 する脅威を知 る 防御 • リスク低減 • リスク回避 • 攻撃がおきにくい 状態にする 検知 • 攻撃の発見 • アラート性能 • 気付きやすい ようにする 対応 • 影響の特定 • 影響範囲最小化 • 被害の少ないよ うに対応する 復旧 • 正常化 • 堅牢化 • 被害から早く 回復する NIST サイバーセキュリティフレームワークより

CISOなど、セキュリティ推進者に求められるのは、 主に事業への影響を理解できるスキル 0 10 20 30 40 50 60 インシデント対応経験 自社事業への理解 ITスキル 標準や法規制の理解 経営に関するスキル リーダーシップ コミュニケーションスキル セキュリティ管理 CISO等に重要なスキル・経験 CISO等に重要なスキル・経験 Asterisk Research, Inc. (c) 23 IPA 「企業のCISO等やセキュリティ対策推進に関する実態調査」報告書, 2020年掲載データより作図 %

セキュリティ推進者の使命&コツ： 「うまくいっていないこと」「エラー」「問題」を扱うこと • 人の問題 – 楽な技術的手段の不足 – 時間、コスト感覚の問題 – 情報資産の認識不足 – 脅威を知らないから対応できない • チームの問題 – ヒヤリ・ハットを言えていない – 相談しづらいカルチャー Asterisk Research, Inc. (c) 24 • システム – 保守が放置されている装置 – エラーを誰もみていない • 組織の未成熟 – ポリシーや手順の問題 – 適切な情報収集と判断の不在 – 失敗を訓練に活かすサイクルの欠如 – 法律・規制の遵守の欠陥 • 経営陣の誰も現状を知らない！

「脅威の識別」から始めよう 脅威情報は「今の」情報が必要 • 脅威は変化する • イベント、トレンド、アクシデントがある • 情勢にしたがって情報は出る 知っているのとしらないのとでは大違い。 知っているほうが早く判断できる。 識別

脅威とその態勢を知る方法 情報収集 • 世の中、国内、業界、自社への影響のある情報 • 社内の状況、変化、問題 対策の仕組み • 注力すべきところを周知しているか / やり方はあっているか • 不足がわかったら調達せよ（セカンドオピニオンをとると良い） 対応の仕組み • 対応の手順、プランBの用意はあるか・リスクファイナンスはどうか • 適切な訓練（消防訓練のようなイメージ）連絡・相談・対応 リズム • 相談、報告、連絡のリズムは適切か • 社内、経営陣、社外のアドバイザ

完璧さよりも 改善のリズム

Q. いちいち対策するのは大変ですよ！ しかも全社員分なんて無理じゃない？ セキュリティ 情報管理… アカウント 認証認可 メール・チャッ トの保護 ウェブブラウザ アプリやソフト ファイル送信 バックアップ

A：餅は餅屋。サービスを活用すると、対応は早いし 結局安上がりです。 Microsoft365, Google Workspace アンチウィルス・不正利用からの防御・検知の情報 アカウント認証認可 抜群のSLA運用・バックアップ メール・チャット ウェブ パスワードマネー ジャ ストレージ ファイル共有 AI

Q. 専門訓練はお高いんでしょう？ A. そうでもないですよ

Q. 専門家への相談はお高いんでしょう？ A. そうでもないですよ 神戸デジタル・ラボ GMOサイバーセキュリティ Byイエラエ グローバルセキュリティ エキスバート

まとめ • 攻撃による問題も多いが、守る側の問題も大きい • サイバーセキュリティ問題は 事前の対策 と 事後の対応で考える • 古いやり方を変えていくと進歩の恩恵を受けられる • AIは検索ではない。事情にあった分析につかおう • リスク・コミュニケーションの仕組みとリズム • あらかじめ知っている脅威には対応しやすい。 脅威の情報収集をしよう

声に出して復唱したい • セキュリティをする時間も金もないというよりは セキュリテイをやらないから時間も金もなくなるのだ • 敵を知り己を知れば百戦危うからず • リスクコミュニケーションは全員の仕事

X (Twitter) @okdt

御社のディスカッション、お手伝いします 岡田良太郎 [email protected] アスタリスク・リサーチ