クラウドシフト時代だからこそ立ち返るべき基本、リスクベース対策の重要性

新型コロナウイルス感染症（COVID-19）の影響やデジタルトランスフォーメーション（DX）への取組みを背景に、クラウドシフト、クラウドファーストが広がっています。これに伴い、セキュリティ対策のフォーカスもまずクラウドに行きがちですが、実は攻撃者にとって、環境がクラウドか、オンプレミスかはあまり関係ありません。侵入できる糸口があり、その先に重要な情報があれば、シンプルにそこを狙ってきます。

事実、昨今猛威を振るうランサムウェアの手口を見ても、企業システムで最も「重要な情報」が格納されている場所、具体的にはActive Directory（AD、アクティブディレクトリ）が狙われるケースが目立ちます。このような状況において、私たちはどのような指針で対策に取り組むべきでしょうか。サイバー攻撃の動向と対策に詳しいKPMGコンサルティング株式会社の畠山 誠、そしてテナブル・ネットワーク・セキュリティ社（以下、テナブル社）の加藤 豪太氏、畑瀬 宏一氏の対談を通して、全3回にわたり考察していきます。

Q：数年前はまだ躊躇する声もありましたが、最近では日本企業でもクラウドの利活用が増えているのでしょうか？

畠山：クラウドかオンプレミスかの選択において、まずクラウドから検討するクライアントが増えてきています。ここ数年の一般的な傾向でしたが、特にコロナ禍になってからはリモートワークやDXの流れの中で、「一部の業務でトライアル的に使ってみよう」という形ではなく、まずクラウドを選択し、基幹システム、重要システムも含めてすべての業務に展開していこうと考える企業が増えてきていると思います。

加藤氏：逆説的ですが、クラウド化に伴うセキュリティ面のお問い合わせをいただくことが非常に多くなっていることから、企業のクラウドシフトが非常に進んでいると感じています。

畠山：オンプレミス環境では、自分たちですべてセキュリティ対策をしなければいけませんが、クラウドの場合「責任共有モデル」に基づいて、クラウドサービスプロバイダーと企業とでセキュリティを分担します。クラウドも含めたシステム全体を見ていかなければいけない、という理解も広がりつつあるのかなと思います。

Q：この変化を踏まえて、攻撃者の動向も変化しているのでしょうか？

畠山：攻撃者としては、オンプレミスだからとかクラウドだからということに関係なく、弱いところから狙っていくことに変わりはありません。どこか脆弱なところがあればそこを付いて侵入し、より影響の大きなところ、具体的には重要な情報へのアクセス権限を管理しているActive Directoryを狙うのが常套手段です。

典型例が、最近多くの企業に被害を与えている二重脅迫型のランサムウェアです。従前の単純にデータを暗号化して復旧させたければ金銭を、と脅迫するだけでなく、侵入後に社内システムを探索し最もクリティカルなデータを引き抜いて情報公開と合わせ技で脅迫してきます。こうした攻撃を成功させるには、Active Directoryに侵入して特権IDを入手し、社内のネットワーク構成がどうなっており、どこにどんなデータが入っているのかを把握しなければなりません。つまり、攻撃者としてまず狙ってくるのが、Active Directory上の強い権限ということです。

またサイバー攻撃に限らず、Active Directoryの設定を誤ってしまい、メールやファイルサーバにアクセスできなくなって業務が止まってしまう、という状況になることもあります。外部の攻撃者に狙われるだけでなく、何らかの恨みを抱く内部関係者がActive Directoryを止めて業務を妨害しようと試みる可能性もあるでしょう。いずれにせよ、企業の業務を妨げる危険性を防ぐ鍵がActive Directoryだということです。ですので、そこを守ることが重要ということになります。

Q：こうした状況を踏まえ、企業はどう対策すればいいのでしょうか？

畠山：セキュリティ対策というと、最新のクラウドだとか、DXといった方向に話がいってしまいがちです。しかしセキュリティ対策の基本的な考え方は、どこにリスクがあるかを特定し、もし攻撃を受けたらどのような被害があるかを把握した上で、影響の大きさを考慮してどこから手を打っていくかを検討すべきだと思います。

先ほど紹介したように、Active Directoryは、攻撃者に狙われやすいところです。もしそこでより高い権限が取られてしまうと、被害が大きくなっていきます。そのリスクをどう評価し、どのように優先順位をつけるのかをまず検討すべきでしょう。もちろんクラウドやDXのセキュリティも強化する必要がありますが、全体としてリスクがどこにあるか判断した上で、どこから取り組むべきかを検討すべきだと思います。

加藤氏：もう1つ私が思うのは、今の日本のセキュリティ対策は攻撃の「検知」に重きが置かれがちだということです。しかしActive Directoryは企業の事業継続に欠かせない、止められないシステムです。また、侵入後あっという間に侵害範囲を広げるランサムウェア「Ryuk」のように、攻撃のスピードもどんどん速まってきています。こうした事柄を考えると、いかに事前に対策を講じ、攻撃されにくい環境を作っておくかが肝になってくるでしょう。攻撃されにくい環境を作ることで、仮に侵入されたとしても影響を最小限に抑える考え方も大切だと思います。

畑瀬氏：セキュリティ対策は全方位で取り組まなければいけません。にもかかわらず、エンドポイントセキュリティやネットワークセキュリティに偏重しており、Active Directoryのセキュリティとなると、重要性の割にあまり対策が進んでいないように思います。単にID管理を行うITインフラの一部分というレベルにとどまらず、企業全体のセキュリティを左右しかねない重要な仕組みであることを認識し、対策を実施すべきだと思います。

• 第2回：どこから始める？見落とされがちなActive Directoryのセキュリティ対策
  
• 第3回：Tenable.ad™で踏み出す、Active Directory保護の第一歩
  

テナブル・ネットワーク・セキュリティ社と対談シリーズです。第1回にリンクします。2回目以降はリンク先からご覧いただけます。

• 比べるべきは海外の競合企業、経営層が持つべき高い目線とは？（全3回）