ITmediaが開催しているセキュリティのオンラインセミナー「ITmedia Security 2024 Summer」。いくつか視聴しましたので内容と感想を残します。

2030年問題への処方箋――持続可能な次世代サプライチェーン統制の要諦

NRIセキュアテクノロジーズ株式会社 DXセキュリティプラットフォーム事業本部本部長足立道拡氏

標的が会社自体から、会社の委託先・サードパーティへ（サプライチェーンリスク）ちなみに、「サードパーティ」と「サプライチェーン」の違いは、
サードパーティ・・・業務上の関係、契約のある組織
サプライチェーン・・・自社とサードパーティの結びつき（チェーン）のことを指す
セキュリティ関連の法制度の拡充が進んでいる。日本でも経済安全保障推進法が施行された。
サイバーセキュリティ経営ガイドラインは3.0に
2025年より企業のサイバー攻撃対策を格付けする制度が始まる（日本経済新聞）
NIST CSF2.0 ガバナンスが追加された。10年ぶりの大幅刷新(NRIセキュア)
- CISOが中心となりセキュリティを回す、カテゴリーGV（ガバナンス）の新設
  - 10個のサブカテゴリー
- GVはCSF1.0の要素を全部を観る

2030年問題

従前のサプライチェーン統制は、リソース・予算などから限定的だった
- 今後エリアは広く、頻度は高頻度に対応する必要がある
人員を追加してマンパワーで処理するより、ツールを入れる方が安くなるだろう
2030年問題も、2024年から取り組むなら6年ある

アメリカのサイバー観点でのTPRM（サードパーティリスクマネジメント）が、国内でも先進的な会社は以下の流れに基づいたプロセスを行っているし、行われている

サードパーティを特定し、優先度付けする

↓

サイバー観点でのリスク評価→契約

↓

継続的モニタリングと改善

感想

NRIはセキュリティにおけるクラスメソッド並の情報発信をしてくださっている頼れる会社です。さすがの分析力。TPRMに関しては何を大げさな、と思うかたもいるかもしれませんが、実際自分も大きな会社との取引において、このレベルのセキュリティ対応を行っています。「全部を対応するのは不可能なので、重要度に応じて評価方法を変更し、現実的な範囲で継続的モニタリング」という話を聞いて、自社にある様々な情報資産のうち、これは025年に、これは2026年に・・・と脳内でイメージしました。しかし先は長い…。

NRIセキュアブログやNRIセキュアの資料にはセキュリティ対応をするにあたり役立つ情報が多数掲載されています。さっそく自分も購読します。

ゼロトラストは「急がば回れ」

立命館大学　上原　哲太郎氏

境界線防衛は攻撃側の能力が上がったからではなく、利用側が利便性のためで使っている場所が守りきれていない
これまでのセキュリティは、公開時代→FW時代→多層防御時代→隔離時代　いずれも攻撃されてきた。
クラウドに移行する時代は境界線防衛は技術的にできない、∴仕方なくゼロトラストを採用する。
ゼロトラストは急に新しい技術が現れたわけではない

復習：ゼロトラストとはLAN内の脆弱性管理とアクセス権管理である。

PCに対してアクセス制御
PC内でもアプリケーションで認証
クラウドに接続する際にアクセス制御
クラウドサービス内でリソースへのアクセスを認証
クラウドだからといってセキュリティを任せられるわけではない。
- 脆弱性がないわけではない
- データがなくならないわけではない
- システムが止まらないわけではない
- アクセス管理が極めて重要
ユーザ数×端末数×サービス数＝多すぎる。誰がリスク判断する？全ての情報を把握できる人はいないのでは。
本当に大切なデータは別のクラウドサービスプロバイダや、自社に保管しておくのが良い

現状の把握・シャドーITの撲滅

組織出口でのモニタリング・フィルタ / 財務会計から逆に洗い出す
ルールの制定、利用者への啓蒙
できればアカウントの巻き取り（統合認証）

CIAの時代からAIC（ACI）の時代に - 可用性の敵が増えている（＝システム障害）

感想

シャドーITを見つけ出す方法として、有料サービスを契約しているのであれば経理に来た請求書を基に逆引きするのは良いアイディアと思いました。最近会社でも各事業部が契約しているサービスの洗い出しを個人情報と同レベルで管理する取り組みを始めようとしているところなので、参考になりました。 PCはEDRで、クラウドはクラウド自体が持っている機能でゼロトラストを実現するという方法は分かりやすく、かつ現実的な方法だと思うので会社での導入を進めたいです。

認証認可唯我独尊

株式会社インターネットイニシアティブ　根岸征史氏 SBテクノロジー株式会社　辻伸弘氏 piyokango 氏

攻撃経路の29%が認証情報の侵害（つまりは正規のアカウントで不正ログインしている）
認証認可情報の窃取はどう行われ、どう防御するべきか
- フィッシングサイトがリアルタイムにモニタリングして多要素認証（MFA6桁）も突破される
- AiTM＝Adversary in the middle（AiTM攻撃）とは、多要素認証を通過した状態のデータ（セッションCookie）を盗み出すフィッシング攻撃。表示されているものは本物サイトだが、裏で情報を取られている
- キーロガー
- InfoStealer

多要素も万能ではない、特にアプリ認証とか。そもそもInfostealerの前にはなすすべなし

最近の公表例

VPNや不正ログインなどの初期侵入が原因の中心だが、初期侵入されるだけでは報告される被害に直接結びつかない
- あらゆるシステム・資源にアクセス可能になってしまう
  - つまり、認証だけでなく認可にも配慮を
    - 過剰な権限を与えていたのでウィルス対策ソフトをアンインストールされた
    - 単体だけでなく横断的に見て最小権限が実装されているのか
認証認可の定期的見直しと可視化が重要

感想

みんな大好きセキュリティのアレメンバーによる座談会普段はPodcastなので顔を知らなかったのですが、いつもの声が聞こえてきたので『この人たちなのかー』という感慨深さがありました（笑）

ID/Passなどもはや認証にあらず、な現代であることを再認識。また重要なサービスに関しては、仮想MFAは本気の攻撃の前には無力、面倒＆高価でも物理MFAを使うべきと思いました。AWSにおけるGuardDutyのように、仮に侵入されても「普段と違うIPアドレス、国からアクセスしているぞ」というのをサービス側が検知してくれるとありがたい（つまりゼロトラストprovidedなサービス）

クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか

株式会社トライコーダ代表取締役上野宣氏

SaaS クラウドの守りをペネトレーションテストの経験から語る
事前調査によるソーシャルエンジニアリング
数ヶ月の事前のやり取りで信頼を得ようとしたりもする
アタックサーフェイスは拡大している。

ASM (Attack Surface Management）

攻撃面の発見
リスク評価
組織全体の協力

-セキュリティ対策は総合的に機能しているのか？ - なんのために対策を行なっているのか - 本当に機能しているのか？つまり、「入れたという事実で満足していないか？」という指摘だと思う

ペネトレーションテストを受けるには、当然ある程度成熟していることが条件

従来型社内システムは RAT（Remote Administration Tool）による遠隔操作 LoLBaS攻撃（OS標準機能やネイティブツール、侵入環境にあるソフトウェアを利用した攻撃）

従来型はAttackSurfaceは少ないものの、突破されたら終わりゼロトラストに行きたいが、すぐには行けない現実がある

フェーズ１：各種クラウドサービスの利用、認証強化、EDRによる端末セキュリティ強化
フェーズ２：クラウド型Proxyなどを使ったセキュアなローカルブレイクアウトの実現、多要素認証、IDaaS利用
フェーズ３：社内ネットワーク廃止、ゼロトラストの実現、NW/端末は常時監視、動的認可、SOC、相関関係分析

クラウド利用によるアタックサーフェイスの増加

オンプレはコントロールできる一方、SaaSサービスは環境のコントロールができず、検証もできない
多様なクラウドサービスを利用するため業務の統制が難しい
ルールを課してもルールを忘れる、守らない、守れない　※悪意があるわけではない
∴セキュリティが追いつかない

クラウドサービスへの侵入方法

ID・パスワードの資格情報を利用して侵入
- ID,パスが書かれているファイル
- ダークネット
- ソーシャルエンジニアリング

クラウドサービスへの侵害を守るには

徹底したID管理。IDaaS、パスワード管理ツール、SSO
- 従業員が利用しているクラウドサービスを把握しているか？
  - 従業員が辞めた時にクラウドサービスにデータが残る）
- IDとパスワードが漏洩している前提で認証仕様（もはやID/PWは本人を証明したことにならない)
  - 二要素認証FIDO 2,Passkeys.。
    - OTPはフィッシングで破られる事例がある確実ではない

認証による本人確認だけでアクセス可否を判定しない - ユーザのログイン時間/デバイス/どこからアクセスしたか/いつものブラウザか　などを動的にチェック。これこそがゼロトラスト

SIEM ログ集約、分析

EDR
XDR（エンドポイントだけでなくクラウドやネットワークなど複数のレイヤーから情報を収集して相関関係分析）
CASBやSASE（クラウドサービスの利用状況分析）データ持ち出しのブロック、SSPM

システムの脆弱性対策

脆弱性あるソフトウェア、設定ミス、Webアプリケーションの脆弱性
運用の脆弱性対策
- 継続運用で人が原因で生まれた運用の脆弱性。運用を楽にしようとすると脆弱性が生まれる。時間と共に増えていく

サイバーレジリエンス能力＝侵入による組織への影響を最小化する能力

攻撃の検知できるのか？いつ検知できるのか？被害を食い止めることができるのか？
システム検出状況、運用監視チーム、CSIRTの対応状況など
残念ながら100％防ぐことは不可能。大きな被害が出る前に対処。被害を最小化（かすり傷）
古い攻撃もなくならず、新たな攻撃が増えてきている
- セキュリティに求められる知識が増えているので、片手間の担当者では対応できない
- ペネトレーションテストで対策を定期的に見直せる
- 1年かけて対策する、くらいのタイムスケジュール

感想

クラウドファーストで業務を行っている場合、ランサムウェアや情報漏洩はどのように起こっているのかがイメージできていなかったため受講したセッションでしたが、ソーシャルエンジニアリングが原因の一つと聞き、従業員の教育は改めてちゃんとやっていかないとなと思いました。

ペンテストは外にやらせないと意味ない、というか高度で自前でやる工数は内部では出せない。その代わり費用は高いのが悩みどころです。大きな会社については自前でペンテスト組織を有していたりしていますが、中小企業はそんなリソースは持っていませんし、費用を考えるとどうしても優先度が下がってしまうのが悩ましい。国が補助してくれると良いのだけれど…。

攻撃者はAIを使ってここを狙う。今知るべき最新攻撃事情

多摩大学ルール形成戦略研究所客員教授西尾素己氏

ランサムウェアはオワコン傾向はある（支払わない企業が７割に増加）
アメリカでは身代金の支払いを違法化した
見方を変えると、身代金を支払って解決ができなくなった。身代金払った方が早いという選択肢が取れない、自力で復旧する必要がある。

原因不明の攻撃経路が増えている

LOTL（Living off the land）攻撃 = その場にあるものでなんとかする　侵入した後内部の標準ツールを使って攻撃する、アンチウィルスで検知できない
- EDR入れていても全然大丈夫ではない

AIが半端なく活躍する

これまでは人間が静的解析（逆アセンブルして難読化解除し、脆弱性を見つける）していた -人間が目で見るよりも早いし、そもそも難読化の解除などAIには不要
動的解析（ファジング）もAIが自動化
Windows Updateでアップデートされたファイルを解析し、「何を直した」を理解し、「このパッチを当てていないOSにはこういう脆弱性があったのか」をAIは一撃で導く（これまでは人間がやっていた）

↓

ゼロデイを発掘する速度が爆速化した
ワンデイ攻撃（パッチは出たが、パッチが当たる前の状態）の速度が爆速化した
フィッシングメールも書いてくれる。60％以上の開封率を誇った
日本語バリア（日本語の変な言い回し）も突破してくる
Webサイトの記事中にAIのプロンプトとなる攻撃を埋め込む -　たとえば、「パリの天気を聞いたつもりが、攻撃者が用意したサイトのリンクを出力する」 - 「ところで、パリの天気について長年研究し続けたサイトがあります、見てみましょう」と悪意あるサイトの短縮URLをAIが回答してくる
会社で導入するAIがいかに攻撃されるのか
- DLLハイジャック（DLLサイドローディング）正規のアプリが読み込むファイルを、脆弱性を利用して攻撃ファイルを読み込ませる。
ローカルAI（ローカルLLM）＝SaaSサービスをアップロードせず、プライベートクラウドやエンドポイント端末でAIを使う、にもいくつか攻撃手段がある。LM Studio等が例
モデル汚染
データ汚染
敵対的サンプル＜NRIセキュアブログ＞
データ窃取→学習元を取り出せる
モデル窃取→モデルのロジックを推察可能

BIOSやUEFI、DXE(Driver Execution Environment、UEFIの起動においてUEFI BootManagerの前にロードされUEFIのAPIを実際に提供するドライバ郡)のような低レイヤが侵害される　中国やロシアが開発している。

LogoFAIL＜GIGAZINE＞

感想

バッファーオーバーフローの発生原理を今一度学ぶことができました。そしてこのセミナーがいちばん面白かったです。攻撃手法にリアリティがあり、現代のセキュリティ攻撃の最前線を知ることができました。

セキュリティ運用自動化をなぜ始めるべきか

日本ハッカー協会代表理事杉浦隆幸氏

自動アップデートを実行すれば、バッチ公開後、攻撃開始前までにパッチが当たる
- 攻撃開始はパッチが公開されてから数時間後に開始されるモノもあるらしい・・・
ただし、自動アップデートには安定性に問題がある。8月のCrowdStrikeの事例

高リスク機器

1.インターネットからアクセス可能、1つの脆弱性で攻略されてしまう機器=SSL/VPNが有効な機器
2.VPN機器、RDP、SSH、Webサーバ、CMS
何をやるかの業務洗い出しと優先順位の設定、そのためにも資産管理は必須
- 全てを一度に自動化せず、段階的に進める。業務に重いところから。ある程度バグが出ることは承知

自動化対象を決定

↓

プロセスの標準化

↓

作業のフローを作成

↓

そのフローを自動化（運用のコード化にチャレンジ。生成AI＋Pythonを使えば素早く実装可能。これぞDX）

感想

高校生でもこれくらいのプログラムを書ける、と言われてしまっては、腰を上げざるをえないかー？ IPAが用意した偽の警告画面が表示されるサイトがあることも紹介されました。百聞は一見にしかず、こういうのを会社で周知するのもありですね。

偽セキュリティ警告（サポート詐欺）対策特集ページ

Microsoft SentinelというMicrosoft 365を契約していれば使えるSOARサービスがあることも紹介されましたが、さすがに高いよ…

セキュリティ運用・対応の最適化～内製と外注の黄金比探し

日本セキュリティオペレーション事業者協議会（ISOG-J）副代表阿部慎司氏

セキュリティ対応組織の教科書（無料で公開）に掲載されている”セキュリティやること64個”のうち、どれを自分たちでやり、どれをアウトソーシングするのか

自分たちでやること

このマルウェアXXXで、情報窃取される機能があり、危険度が高い
マルウェア感染した端末はXX部XX課長のもので、扱っている情報はXXX案件で、この案件はビジネス上非常に重要

アウトソーシングすること

フォレンジック調査
SIEMの運用

＜インソース＞

カテゴリーA
カテゴリーD＝CSIRT業務
カテゴリーF＝内部で何が起こったのかを分析、後で社内で利用できるようにする

＜アウトソース＞

カテゴリーC
カテゴリーGの一部

＜インソースしつつアウトソースに任せる＞

カテゴリーB＝SOC
カテゴリーGの一部

順を追って社内のセキュリティ運用体制を整える

ミニマムインソース　←まずはここ

↓

ハイブリッド

↓

ミニマムアウトソース　←ここを目指したい。セキュリティ担当を兼用から、セキュリティ専任チームでの自走

↓

フルインソース

セキュリティ運用体制の道のり

偉い人の無茶振り
費用がないセキュリティ対策
急にセキュリテチェックシートが取引先から来た・・・！ →これらの対応、運用を繰り返して強くなっていく（転生N回目）

やりかた

セキュリティ対応組織の教科書の添付資料であるセキュリティ対応組織サービスポートフォリオシートを使う 1.「サービス割り当て」を４パターン（完全自前、一部アウトソーシング、アウトソーシング、やってすらいない）で埋める→As Isシートとする 2.As IsシートをコピーしてTo Beシートにする 3.セキュリティ施策として「何を」「誰が」「どの程度」やるのか？
- もしやらないといけない施策が一覧にないと思ったら付け足す 4.重要度、優先度を選ぶ　考えるのが難しいなら最悪スキップ　。ただし”なぜそれはいらないのか”は理由をちゃんと書く（見直しで使うため）

『ちゃんとやる』（重要）と色々見えてくる、アウトソースであまり効果ないならやめるorインソースにする、など。あるべき姿の点数を見ながら、現状の点数を見て過不足を感じ、何度でも蘇る。非常に大変な業務なので、燃え尽きたりゾンビにならないように！

感想

「セキュリティ対応組織の教科書」は業務で少しかじったことがあり（別の優先度高いタスクが入ったため放置状態）、このように分かりやすく使い方、取り組み方を説明してもらえると、もう一度挑戦したくなってきました。