ウクライナ侵攻後に活発化したサイバー攻撃
――このところ企業へのサイバー攻撃が増えているそうですね。
【中西】 はい。日本企業へのサイバー攻撃は年を追うごとに増加しています。とりわけ22年2月のロシアによるウクライナ侵攻の後は急激に件数が増えました。侵入したネットワーク上の全端末のデータを暗号化し、「もとに戻したければ金をよこせ」と要求する、ランサムウェアと呼ばれるマルウェアによる被害がとくに多く、さらには企業側が対処する前にデータをコピーしておき、「対価を支払わなければ公開する」と脅して金銭を要求する二重恐喝も増えています。
警察庁の発表では、国内のランサムウェア被害は前年同期の2倍近くに上っています。攻撃の対象は大企業に限らず中小企業や学校、さらには小規模なクリニックにまで広がっており、法人全体では過去1年の間に全体の4分の1が何らかのサイバー攻撃を受けたという統計もあります。
サイバー攻撃は近年、分業化が進んでおり、最初はネットワークへの侵入を専門とし、不正アクセスの手段を有償で提供するイニシャルアクセスブローカー(IAB)が、企業の機密情報を守るVPN機器や、十分な安全対策を取っていないリモートデスクトッププロトコル、未修正のOSの脆弱性などを利用して侵入してきます。ランサムウェアを開発し犯罪集団にサービスとして提供する、「闇のソフトウェア開発企業」ともいうべき集団も存在します。
「この企業のネットワークに脆弱性がある」ということに気づかれると、その情報が闇市場で犯罪集団に販売されるため、何度も襲われてしまうことになります。
ソフォスのサービスに加入していなかった海外メーカーで、同時に3組の攻撃者に襲われたというケースもありました。
アンチウイルスソフトだけでは不十分
――どのような対策を取ればよいのでしょうか。
【中西】 残念ながら「アンチウイルスソフトを入れていれば大丈夫」とは言い切れなくなっているのが現状です。人間がオペレーションをするサイバー攻撃に対抗するには、ツールだけでは守りきれなくなってきています。
ソフォスの端末防護ソフト「Sophos Intercept X Advanced with XDR」には、端末を監視しマルウェア特有の挙動を検出するEDR(Endpoint Detection and Response)機能、製品間のデータ通信を監視して端末の外にもチェックを広げるXDR(Extended Detection and Response)機能、ランサムウェアが侵入してきたときに暗号化を阻止するランサムウェア対策機能を持つエンドポイント保護機能が含まれていますが、これでも100%安全ではありません。万が一設定に不備があったり、保護されていない端末や機器などがネットワークにつながっていたりすると、そこから侵入されてしまいます。
そこで大事なのは、侵入されてしまった場合にいかに素早く対応するかということです。対策としては多層防御を張ることであり、それを実現するための選択肢のひとつが今回10月に刷新されたばかりの「Sophos MDR(Managed Detection and Response)」です。
――どういったものなのでしょうか。
【中西】 お客様のネットワークに対して、インターネット経由でソフォスのAIと人間のサイバーセキュリティ専門家チームが常時、監視にあたり、ネットワーク内に侵入した脅威をいち早く検知し対応する、「脅威ハンティング」と呼ばれるサービスです。
IABは侵入に成功した後、数カ月も潜伏していることがあります。その間にデータを吸い上げ、機密情報を見つけると同時に、さらにアクセスできる範囲を拡大する機会を待ち、より大規模なデータ侵害の準備をするのです。
Sophos MDRを使えばその状態であっても、攻撃者の侵入を発見することが可能です。潜伏者がいないか検出し、もし存在していたらその隔離や駆除を行います。
一昔前のアンチウイルスソフトでは、まずウィルスの定義ファイルをダウンロードして使うことが一般的でしたが、サイバー攻撃が「産業化」してしまった現在では、1年間に億単位の新しいマルウェアが生まれており、定義ファイルの更新ではもはや追いつけなくなっています。このためまずAIでマルウェアの怪しい動きを感知し、さらにそこに人間のチェックと対処が加わる形をとっています。
弊社のエンドポイント製品は、保護されていないPCやモバイル端末などから侵入されるケースも想定して、不正な暗号化処理を検知して瞬時にファイルのバックアップを実施する仕組みをツールとして備えており問題が起きた場合も即座に復旧することが可能ですが、そこに人間による監視も加えることで被害を未然に防いだり、侵入後の対処まで含めてすべてこのサービスの中で対応します。
さらに、今回の刷新で進化した大きなポイントは、他社製品も監視対象に含めることが可能になったという点です。トレンドマイクロやマカフィーなどのアンチウイルスソフトでも、FortiGateなどのファイアウォールでも、AzureやAWSなどのクラウドでも、一般的な製品とはすべて連携可能です。これまでどの会社のどの製品を使っていても、それを替えることなく、クラウド上の管理コンソールである「Sophos Central」に情報を集め、一元的に統合管理できるのです。
「1ライセンス当たり」の課金なので小規模から利用できる
――御社は「サイバーセキュリティ・アズ・ア・サービス」を提唱されていますね。どういった意味合いがあるのでしょうか。
【中西】 エンドポイントやネットワークの保護にツールだけではなく、MDRとしての「人的サービス」も追加されたなかから、お客様は自社に必要なツールやサービスだけを選んだうえで、長い準備期間の必要もなく、必要な期間だけセキュリティ保護を受けることができます。
ソフォスではこれまで体力のある大企業のみが運用できていた、複数のベンダー製品をまたいで専門家が24時間の監視を行うエンタープライズレベルの本格的なセキュリティシステムを、「1ライセンス当たりいくら」というサービスの形で提供し、規模に応じて料金を頂いています。1ライセンスから導入可能で、しかも費用は1ライセンス当たり年額で1万数千円からと、導入しやすい価格帯でご提供しています。
大企業のお客様でももちろんご利用いただけますし、加えてこれまで大企業と同等レベルのセキュリティを導入することが難しかった中堅中小企業のお客様にも容易にご利用いただけるサービスとなっています。
――刷新前の導入実績も好調だったと聞いています。
【中西】 Sophos MDRの前身、Sophos MTRは3年前から稼働を始めたばかりですが、既に全世界で1万3000社以上の導入実績があります。
注目していただきたいのは、これまでこのサービスに加入し適切な保護状態で守られているお客様で、ランサムウェアの被害にあった企業は、世界中にただの1社もないということです。
日本国内でサービスを始めたのは22年4月後半と、まだ半年ほどにしかなりませんが、すでに50社以上のお客様にご導入いただいています。2万ライセンスを抱える大手企業様から、数ライセンスの小規模事業者様まで、規模も業種もさまざまです。
サプライチェーンの一環として捉えた場合、企業規模の大小を問わずランサムウェアなどの攻撃を受けた場合の被害は甚大です。多層防御を前提としたセキュリティプランの構築は、今や規模の大小や業種を問わず、すべての企業および組織で必須となってきています。