{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
多くの企業はガイドラインやフレームワークに基づき、さまざまなサイバーセキュリティ対策を講じてきました。しかし、インシデントは一向に後を絶ちません。さらにAI(人工知能)の台頭で、攻撃手口はますます複雑化・巧妙化すると予想されています。そうした攻撃に、企業はどのように対峙すればよいのでしょうか。本稿では、最新の脅威ランドスケープを俯瞰し、セキュリティ対策を推進するうえで不可欠となるサイバーインテリジェンスのあり方を、2人のセキュリティエキスパートの見解とともにお伝えします。(本文敬称略)
登壇者
株式会社NTTデータグループ
エグゼクティブセキュリティアナリスト
新井 悠氏
PwC Japanグループ
スレットインテリジェンスアドバイザー
岩井 博樹
モデレーター
PwCコンサルティング合同会社
パートナー
村上 純一
左から村上 純一、新井 悠氏、岩井 博樹
セキュリティ対策は「コンプライアンス型」から「インテリジェンス型」へ
村上:
最初に自己紹介をお願いします。
新井:
NTTデータグループ エグゼクティブ・セキュリティ・アナリストの新井です。主な業務はNTTデータグループ内で発生するサイバーセキュリティ関連事案の対処です。また、セキュリティ人材の育成にも取り組んでいます。
岩井:
PwC Japanグループ サイバーインテリジェンスアドバイザーの岩井です。私は主に脅威分析を行い、そこから得られたインテリジェンスをクライアントに提供するという業務を担当しています。
村上:
早速ですが、最初のテーマである「サイバーインテリジェンスの背景と考え方」について、私から現状を説明させてください。
多くの企業は、サイバーセキュリティフレームワークなどのガイドラインに基づいて、自社のセキュリティ対策を計画・実行しています。このアプローチでは体系的に対策を立案し、中長期的な計画を立てて段階的に実施します。しかし、こうした対策にもかかわらず、あらゆる業種でインシデントが発生しています。
そうした状況を考えると、これまでのような体系立てて段階的に対策を講じるという「コンプライアンス型」では不十分です。これからは、サイバー攻撃や各国の規制など、企業を取り巻く外部情報を入手し、自社への影響を分析したうえで柔軟に対策を講じる「インテリジェンス型」も実行する必要があります。この点について、新井さんから解説をいただけますか。
新井:
この4年ほど、日本を含め世界的にランサムウェアが猛威を振るっています。ランサムウェアを悪用するサイバー犯罪グループは、常時20程度活動を継続しています。彼らの目的は金銭窃取であり、企業規模に関係なく無作為に攻撃してきます。
インテリジェンスの観点では、特に脆弱性情報やマルウェアの種類が重要です。コンプライアンス型の対策で脆弱性のない製品を使用することが理想ですが、現実には脆弱性を悪用するグループの存在を前提に、外部のインテリジェンスを収集し、自社の製品やネットワーク環境の欠陥を確認していく必要があります。ランサムウェアによる脅威は身近なものであり、企業規模や業種を問わず狙われる可能性があります。こうした前提のもとで対策を講じなければなりません。
村上:
ありがとうございます。次に攻撃側について説明します。サイバー攻撃を行う主な脅威アクターは、4タイプに大別できます。1つ目は国家による機密情報の窃取を目的とした「敵対国家」、2つ目は金銭的利益を目的とした「組織犯罪」、3つ目は事業継続や社会インフラへの被害を目的とした「破壊行為者」、そして4つ目が政治的主張のためにハッキングを行う「ハクティビスト」です。
近年の攻撃手口の傾向としてPwCが注目しているのは、「商業クォーターマスター*1」の台頭による攻撃手法の共通化です。これは特に敵対国家による活動や中国を拠点とする犯罪組織で顕著に見られる傾向です。岩井さんに、現在の敵対国家による脅威アクターはどのような状況でしょうか。
*1 商業クォーターマスター:サイバー攻撃を行う脅威アクターに対して、攻撃に必要なツールやサービスを提供する存在
岩井:
2022年以降、ロシアとウクライナの紛争をはじめ、米国と中国のデカップリングなど、社会情勢を背景としたサイバー戦が増加しています。また2023年からはアジアでの国際会議や軍事演習に連動した特定国からの攻撃が観測されました。日本では知的財産の窃取を目的とした攻撃も継続して確認されています。
また、攻撃手法で特徴的なのは、未公開の脆弱性を悪用した攻撃が多かったことです。ソフトウェアベンダーが気付かない間に攻撃される「ゼロデイ脆弱性攻撃」が目立ちました。194のサーバーソフトウェアとネットワーク機器を対象とした調査では、約半分がゼロデイ脆弱性攻撃でした。こうした傾向からも分かるとおり、従来の定期的なパッチ適用だけでは対応が難しくなっています。
もう1つ特筆すべきは、大国による印象操作の活発化です。真偽にかかわらず「特定の国がサイバー攻撃を行っている」と批判することで、その国に対する悪いイメージを植え付ける手法です。以前は主に西側諸国が行っていましたが、今では他地域・諸国でも行っています。
村上:
ゼロデイ脆弱性攻撃が増加している要因は何でしょうか。
岩井:
1つには、特定の国がセキュリティパッチ配布前の脆弱性発見を「武器開発の一環」として捉えていることです。これらの国ではサイバーセキュリティを軍事・国家安全保障の一部と考え、脆弱性を「武器」として利用できると認識しています。こうした攻撃に対峙するには、スレットインテリジェンスによって得た情報を基に、ゼロデイ脆弱性の存在を認識し、迅速に対応することです。
インテリジェンスサイクルの活用と留意点
村上:
インテリジェンスを重視するサイバーセキュリティの考え方の1つに、「インテリジェンスサイクル」があります。これは情報の収集から分析、発信までの一連のプロセスを素早く回すアプローチです。新井さんに伺いたいのですが、NTTデータグループでは、インテリジェンスをどのように活用していますか。
新井:
われわれはゼロデイ脆弱性の情報やIOC(侵害の痕跡)を収集し、それらを利活用して19万人の従業員を守っています。また、リスクマネジメントを担う企業などと連携し、脅威情報サービスを提供するスレットマネジメントも行っています。
今注力しているのは、海外事業を展開する日本企業向けのグローバルサービスです。日本企業のランサムウェア被害は、海外事業所が入口になっているケースが多いのです。そのため、海外拠点でのコンプライアンス型セキュリティを徹底し、そのうえでインテリジェンス型対策が講じられるよう支援しています。
また、海外担当者との直接のコミュニケーションを重視し、文化や事情の違いを理解しつつ、NTTデータグループのセキュリティ担当者が集う「CISOサミット」などを定期的に開催し、情報や問題認識、目標などを共有しています。
村上:
防御する企業側がインテリジェンスを活用するうえで留意すべき点は何でしょうか。
岩井:
近年は脅威アクターのマルウェア開発スピードが上がり、クロスプラットフォーム対応のマルウェアが普及しているため、IOCを活用した脅威の検出が難しくなっています。また、多様な形式の悪性ファイルが存在するため、パターンマッチングに頼った従来のアンチウイルス製品では検知が難しく、既存のセキュリティ製品では検出が困難なケースも増加しています。さらにネットワークセキュリティ機器への侵害も増加していますが、こうした侵害を監視するセキュリティ製品は少ないため、大きな課題となっています。
企業内でのエンドポイントやインシデント対応でファイルベースでの検出が難しい場合は、メモリースキャンなどを行い、通常とは異なる不審な振る舞いがないかを確認することです。こうした挙動を監視することで、ファイルベースの検出では見逃されがちな脅威を発見できます。
セキュリティ対策の未来像――AIがサイバー空間に与えるインパクト
村上:
次にセキュリティ領域におけるAIの活用とそのリスクについて伺います。リスクとして考えられるのは、企業がAIを活用する際に発生する誤動作やレギュレーション違反などのビジネスリスク、サイバー攻撃者によるAIの利用、AIを使ったシステムに対してAIを標的とした攻撃が行われるケースです。一方、利点として挙げられるのが、AIを活用した防御の推進です。岩井さんに聞きたいのですが、グローバルでAIを活用した攻撃やその対策はどのような状況でしょうか。
岩井:
AIを活用した新たな脅威シナリオには、自律型AIによる攻撃、ソーシャルエンジニアリングへの活用、脆弱性の早期発見などが挙げられます。技術トレンドとしては、アンチウィルスソリューションの回避策研究が行われています。また、ネットワークトラフィックからのマルウェア抽出と再利用の自動化や、ボイスディープフェイクによる詐欺行為などはすでに観測されています。
こうした攻撃に対峙するには、ネットワーク攻撃防御システムの構築や連合学習*2の活用、AIシステムを狙った攻撃に特化した対策が急務です。先述したとおり大国は脆弱性の発見を「武器開発」と捉えており、AI投資を軍備費用と位置づけて拡大しています。当然、連合学習のモデルに関する研究も各国で行われていますから、軍事目的や経済目的の犯罪行為への悪用が懸念されています。
*2 連合学習:分散しているデータを1カ所に集約せず、AIモデルを分散している環境に配布しながらセキュアにモデリングする方法
例えば台湾の総統選挙では、生成AIを使ったフェイクニュースや噂、特定政党の印象を悪くする動画が多く出回りました。こうしたフェイク動画をツールで検出できるかどうか調査したところ、初期に出回った作りの粗いものは検出できましたが、「フェイススワッピング*3」は検出が困難なケースもありました。
*3 フェイススワッピング:動画内の人物の顔を別の人物の顔に置き換える手法
対策ツールの対応に限界がある以上、幅広く脅威インテリジェンスを収集して備える必要があります。さらに言えば、収集したインテリジェンスを分析し、対策の優先順位を判断できる人材の育成も急務です。AIとセキュリティの両方を理解している人材が求められていますが、残念ながらそうした人材は圧倒的に不足しています。
村上:
AIによる自動化が進むと、セキュリティ人材に求められる役割も変わってきます。新たに求められるのはどのようなスキルでしょうか。
新井:
AIは人間の判断を代替するのではなく、的確な判断ができるように支援する存在です。最終的な意思決定を行うのは人間です。ですから、AIが提示する情報の内容を分析・判断できる能力が求められるようになるでしょう。
私が懸念しているのは、AIが搭載されているサイバーセキュリティ製品のブラックボックス化です。運用する側にセキュリティとAIの知識がなければ、「なぜAIがそのような判断をしたのか」を見極めることができません。
もう1つの懸念は、事実と異なる情報を自信満々に回答する「ハルシネーション」です。生成AIはプロンプトに対し、自然言語で回答しますから、きちんと確認をせずに信じてしまう人もいます。
サイバーセキュリティの専門家は、自身のドメイン知識や経験を基盤として、生成AIを適切に使いこなす能力を身につけなければなりません。今後はAIが生成した内容の中から嘘を見抜き、参考にすべきでない情報を取り除く能力が求められるでしょう。この「情報を見抜く力」は、AIの発展にかかわらず必要だと考えています。
村上:
最後に、セキュリティ対策におけるサイバーインテリジェンスの位置付けと今後の展望を聞かせてください。
新井:
企業にとってサイバーインテリジェンスがますます重要になることは間違いありません。もし、企業がサイバーインテリジェンスを軽視するようなことがあれば、攻撃を受ける可能性は高まり、直接的な金銭被害が発生するだけでなく、企業の信頼性も失墜させてしまいます。そうならないよう、企業はサイバーインテリジェンスを活用し、サイバー攻撃への対策を強化する必要があると考えます。
岩井:
今回の議論を通じて、AIの登場によってサイバーインテリジェンスのあり方も変化していくだろうと感じました。そうした中で、組織内でインテリジェンスを活用し、脅威のイメージを共有できるかどうかが、新たな脅威への対処能力を左右するのではないでしょうか。
各分野の専門家が連携し、それぞれの立場から重要なインテリジェンスを見極められる体制が、これからの企業には求められると思います。専門性に基づく判断が組織内の隅々まで浸透しないと、新たな脅威への円滑な対応は難しくなるでしょう。
村上:
サイバーインテリジェンスの重要性が高まる中、組織内での有効活用がセキュリティ対策の鍵となりますね。本日はありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
