サイバー攻撃に関するニュースが世間を連日騒がせています。企業を取り巻く環境の変化にともなってサイバー攻撃を受ける恐れのある「攻撃表面」が増加し、「何から対策すればいいだろうか」と悩まれる場面も増えているでしょう。そんなときの第一歩として考えたいのが「セキュリティ診断」です。
NRIセキュアテクノロジーズ(以下、NRIセキュア)のDXセキュリティコンサルティング事業本部で、2022年10月からセキュリティ診断事業を率いる立場に就いたDXセキュリティ事業一部長の藤原健と、DXセキュリティ事業二部長の小林雅人に、昨今のセキュリティに関連するトレンドと、それを踏まえてセキュリティ診断に求められる役割は何かを聞きました。
変化を続ける環境の中でお客様のセキュリティを担保していく診断という業務
二人がセキュリティ業界に興味を持ち、NRIセキュアで脆弱性診断に携わるようになった経緯を聞かせてください。
小林:私は2005年4月に新卒でNRIセキュアに入社しました。当時はあまりセキュリティが注目されていませんでしたが、この先きっと重視される分野になると考えたことがきっかけです。入社以来、途中セキュリティ製品の導入/開発/運用の業務経験も積みながら、主に、セキュリティ診断サービスに関する業務を担当してきました。
藤原:私が社会人になったのも同時期ですが、当初はシステムインテグレータで仕事をしていました。2007年に、セキュリティ診断のプロジェクトに支援する形で加わったことがセキュリティとの出会いです。その業務を通して、作られたものから脆弱性を見つける仕事に技術者としての面白みを感じ、転職を経て、2012年にNRIセキュアに加わりました。そのときに私のメンターを務めたのが小林さんでした。こうして二人で診断事業を担っていくことができるようになったのは嬉しいことですね。
セキュリティの仕事はよく「正義の味方」に例えられますが、診断という業務はどんなことをするのでしょうか。
藤原:専門的な視点でセキュリティに関する問題がないかどうかを確認し、もし問題があればどう対応していくべきかを技術に基づいてお伝えします。これによって、お客様が本来のビジネスに集中できるよう支援するのが我々の役割だと考えています。セキュリティと経営が切り離せないものになりつつある中、技術と経営をつなぐ役割も求められています。
セキュリティ診断には、たとえばどんなメニューがありますか?
藤原:セキュリティ診断と一口に言ってもさまざまな種類があります。NRIセキュアではWebアプリケーションに対する診断サービスの他、基盤となる部分をチェックするプラットフォーム診断サービス、スマートフォンのアプリなどを対象に脆弱性がないかどうかを評価するサービスも提供しています。リリース直前に一度チェックして終わりではなく、リリース後も定期的に診断を行い、最新の脅威や攻撃手法に適切に対応できているかを確認していくことが必要だと考えています。
一方、働く環境、いわゆるOA環境に何らかの穴がないかを確認することを中心にペネトレーションテストサービスも提供しています。こちらも、何を評価したいかによってレッドチームオペレーションやTLPTなどいろいろな種類があり、お客様の課題やご要望に応じて最適な方法を提案しています。自社だけでなく、グループ全体のシステムに対してのテストを定期的に行い、システムの堅牢性を確認し、必要に応じて強化していきたいという要望も増えています。
あらためて、なぜセキュリティ診断が必要なのでしょう。
小林:様々なソリューションを導入し、脆弱性を作り込まないよう配慮してシステムを開発したとしても、システムの安全性の評価は、あくまで自己評価であり、客観性は担保できません。第三者の視点で客観的にチェックをするところに一つの意義があると思います。また、システムもそれを取り巻く状況も変化する中、定期的に確認を行っていくのはなかなか大変な作業ですが、それをアウトソースすることで負担を減らせると考えています。
藤原:たとえセキュリティソリューションを多層防御で導入していても、正規の通信に見せかけるなどして攻撃がすり抜けてしまうことはあります。そういった問題がないかをプロの目で見て確認していく必要もあると思います。
環境変化に伴って広がる「攻撃表面」、経営層のセキュリティ意識にも変化の兆し
昨今のサイバーセキュリティを巡る状況にはどのような問題があるでしょうか?
小林:昨今、業界を問わず、クラウドサービスの利用が広まっていることや、デジタルトランスフォーメーション(DX)を背景に業種を越えた企業活動も活発化しており、異業種から金融業界に参入するベンチャー企業も増え、様々な新しいサービスが世に出てくる状況下において、「アタック・サーフェス」(攻撃表面)と呼ばれる、攻撃にさらされる面が増えていると言えます。また、世界情勢の変化によっても、サイバー攻撃が増える要因となっている状況下にあります。
藤原:かつてはオフィスに来て仕事をするのが当たり前でしたが、新型コロナウイルスを一つのきっかけとしてテレワークが主流になり、働き方が多様化しました。これも新たな攻撃表面を作る要因になっているでしょう。特に、緊急事態宣言を受けて急いでテレワーク環境を整えた場合、セキュリティが十分ではないケースもあるように思います。
攻撃表面の増加に対し、企業側のセキュリティ意識に変化は見られるでしょうか?
小林:攻撃者は、「いかに利益を得るか」を真剣に考え、どんな新しいサービスが市場に登場していて、どんなことをすれば脆弱性を突いて利益を得られるかを常にウォッチしています。決済サービスが狙われた事件は度々発生しており、メディアで大々的に報道されていることもあり、「自社は大丈夫なのか」と心配されるお客様は増えています。現場の方だけでなく経営層の方にも、「セキュリティにきちんと取り組まなければいけない」という意識が芽生えてきていると思います。
経営とセキュリティの関係も変わってきているのでしょうか。
藤原:そうですね。最近注目したいのが、簡易的な「セキュリティスコアリングツール」です。外から、いわば攻撃者の視点でその企業がどのように見えるかを数値化するツールで、これを外部のステークホルダーや取引先が用いて、企業をスコアリングし、「御社の数値は低いのですが、大丈夫なんですか?」と改善を迫る風潮も出始めています。かつては、本当に事故が起こったときならばともかく、平時から一定水準以上の対応を求められることはあまりありませんでした。しかし今や外部からの目が厳しくなってきていることを、経営も意識していかなければいけないと思います。
開発スタイルの変化にも追随し、シフトレフトとセットで対策を推進
一方、現場ではどのような変化が生まれていますか?
藤原:クラウドサービスの普及に伴って、開発スタイルも変化し、開発速度が上がっています。今まで主流だったウォーターフォール方式では、要件定義を行い、設計し、実装し…という開発プロセスの最後の砦としてセキュリティ診断が位置づけられていました。しかし、もし診断の段階で大きな問題が見つかってしまうと、大きな手戻りが発生する恐れがあります。スピードとセキュリティを両立させるため、サービスの設計、さらにはその前のコンセプト立案の段階からセキュリティを検討する「シフトレフト」に取り組むお客様が増えています。
開発のより早い段階でセキュリティを見ていくことが重要なのでしょうか?
藤原:DXのトレンドに乗って金銭に相当する価値を持つサービスや仮想通貨などが増え、それを狙う攻撃も増えています。従って、「サービスのビジネスモデルは何か」「どんなユースケースがあるか」に基づいてリスクを洗い出した上で、どんな対策をしていくか検討することが必要でしょう。それも、要件定義や設計といった上流工程で対策をする、シフトレフトの流れが高まっていると思います。また、設計段階で検討した対策が、本当にシステムで適切に実装されているかを確認する意味で、セキュリティ診断は有用だと思います。
シフトレフトによって早い段階で問題を指摘し、対応すれば、運用フェーズ後に問題が発覚する場合に比べコストや手間も減らせるでしょうか。
藤原:そうですね。運用段階で問題を見つけてから修正するとなると、やはりコストは高く付く傾向がありますし、修正のためにメンテナンス期間を調整する手間もかかります。リリース前に、それもできれば早い段階で問題を見つけておくことに意義はあると思います。
開発者側のセキュリティ意識も変化しているでしょうか。
藤原:はい。開発者個々人のレベルも、企業としてのレベルアップも進んでいます。一方で、攻撃者側もやはりレベルアップしているのが実情です。最新の脅威を追いかけながら対応し続けるのにはなかなか労力がいりますので、そこを我々が支援できればと思っています。
近年ではコンテナやAPIのセキュリティなど話題になっていますね。
藤原:NRIセキュアではAPIセキュリティ診断サービスを提供しています。このように最新の技術トレンドを踏まえ、企業が新たな技術を採用される際に浮上する課題や困りごとに対する解を用意し、サービスメニュー化していく取り組みを、今後も続けていきます。
小林:もう1つ浮上している課題が、サプライチェーン全体にまたがる対策です。利用が拡大しているクラウドサービスも外部委託であり、広義のサプライチェーンの1つと言えるでしょう。米国ではすでに、ソフトウェアサプライチェーンのセキュリティを保つためのルール整備が進んでいます。日本にも遠からず、この流れはやってくるでしょう。お客様の間でも、サプライチェーンの対策にどう取り組むべきか、情報を集めていきたいというニーズが増えており、そこにも応えていきます。