RaaS(Ransomware as a Serivce)が拡大、ビジネスとして成長しています。
ランサムウェア攻撃が劇的に増加し、巨額の利益を生むビッグビジネスとして、しばらくはおさまらないでしょう。
そしてこのランサムウェア攻撃によって、サイバーセキュリティビジネスは大きく変わると考えています。
2020年12月から2021年7月までの8ヶ月の間に、攻撃者はより高度な技術を使い、被害規模を拡大しています。そしてこれらの攻撃によって、企業が利益を重視してセキュリティへの投資が不十分であったことが露呈しました。特にSolarWinds社、Kaseya社へのサイバー攻撃においては、エンドユーザーからサービスプロバイダーまでが「ブラインドトラスト」、盲目的な信頼に陥ってしまったことも被害拡大の原因となっています。
今後はそれぞれが責任の範囲を明確にし、事業における優先順位として「セキュリティファースト」、つまりセキュリティを重視した経営が求められると考えています。
今回は、なぜ「セキュリティファースト」がIT業界や企業にとって重要なのかを、攻撃のトレンドを振り返りながらお伝えし、それをどう実現するのか、弊社ISRの実例をご紹介します。
攻撃のトレンドを知る
企業、またサービスプロバイダーを標的にするサイバー攻撃が増加しています。
アメリカでは2020年12月から8ヶ月余りの間に、企業が使うITシステム(特にオンプレミスのシステム)に対するサイバー攻撃が続いています。サプライチェーン攻撃を2020年12月にはSolarWinds社が、そして2021年7月にはKaseya社が受けています。さらにKaseya社は、VSAサーバーを悪用されMSP経由でのランサムウェア攻撃も受けています。
他にも3月のMicrosoft Exchangeサーバーの脆弱性を突いた攻撃、5月のColonial Pipeline社へのランサムウェア攻撃など、攻撃はより高度化し、その被害規模や損害は大きくなっています。
実際に、2020年上半期から2021年上半期にかけて、中小企業への攻撃が57%増加していることや、1件あたりの身代金要求額の平均額が120万ドルに増加していることなどが、サイバー保険およびセキュリティプロバイダーのCoalition社の調査で明らになっています。また、2021年にはサプライチェーンを狙った攻撃が昨年の4倍になると欧州連合サイバーセキュリティ機関(ENISA)が予測しています。
さらに、Kaseya社への攻撃は、2020年12月に起きたSolarWinds社製品を悪用したサイバー攻撃と似ており、攻撃対象として多くの企業が利用するITベンダーやMSPなどが狙われています。
SolarWinds社は、市場で大きなシェアを誇るネットワーク管理ソフト会社です。同社が提供するネットワーク管理ソフト『Orion』のアップグレードファイル内にSunburstと呼ばれるマルウェアが仕込まれていたため、アップデートの配布を受けた17,000社に影響が及び被害が拡大しました。Kaseya社への攻撃では、直接顧客にマルウェアが配布されていなかったものの、同社サービスVSAを利用している60社のMSPを経由して1,500社もの顧客に被害が及びました。
Kaseya社の事件からMSP業者に注目が集まりましたが、日本では4月にMSP業者の脆弱性を突かれたサイバー攻撃の攻撃者が明らかになっています。
攻撃者は数年前から、MSPを含むITサービスを提供する企業を標的にした攻撃を続けていたため、警告もされている中で、今年2021年にこれらの大きな事件が顕著化しています。
なぜ「セキュリティファースト」が今求められるのかを知る
MSP業者のCEOデレク・ガブリエル氏はKaseya社へのサイバー攻撃を受け、ツールベンダーのせいにすることはできない、全員が共犯なのですと指摘しています。この『全員』とはベンダーだけでなく、MSPやエンドユーザーを含んでいます。
また、ガブリエル氏はセキュリティ侵害は必ず起きることで、全員がより周到になるという事実に気づく必要があるとし、セキュリティを重要視していなかったことに言及しました。さらに、知識レベルにはギャップがあるものの、解決するためには他社の製品やサービスに盲目的に頼るだけでなくそれ以上のことをしなければいけないとしています。
攻撃者が狙ってくる隙は、ITベンダー、MSPを含むITサービス業者、そしてエンドユーザーに至るまで「セキュリティ運営に依存してしまっている」という事実です。
これまで約10年、ITビジネスでは利益重視でセキュリティへコストやリソースをかけず、投資不十分であったことが露呈し、サイバー攻撃は増加、ここ1年ほどの新型コロナウイルス感染拡大もあり、多額の被害が生じていることは非常に問題です。アメリカでは多くの指摘がなされ、サイバーセキュリティの向上に関する大統領令を発令と、国を挙げた取り組みをおこなっています。
これらの事実からも「セキュリティファースト」つまり、セキュリティを最重視することが求められます。
特にIT人材やリソースを確保できない企業ほど、ITサービスを利用する時にベンダー、そしてサービス業者といった多くのレイヤーを入れて運用、さらにソリューションが多くある今は、そのレイヤーが複雑になってしまっているため、「セキュリティファースト」の考えが必要になります。
エンドユーザーはベンダーに、セキュリティに対する姿勢として一番分かりやすいのは経営理念だと思いますが、その点を確認する、また、サービス業者はベンダーに、セキュリティに対する姿勢としてパッチの適用が行われているのか、攻撃を受けたときにどういった対応策が計画されているのかを追求するといった必要があります。そして、それぞれのレイヤーが担う責任を明確にしておくことが重要だと考えています。
「セキュリティファースト」の事例を知る
では、セキュリティファーストをどう実現するのか、弊社ISRの取り組みをご紹介します。
ISRの基本姿勢/ビジョンは「安全かつ便利な認証を(Secure yet easy to use authentication)」です。ISR社長メンデスは2009年12月にGoogleが受けたサイバー攻撃(オーロラ作戦)が一つのパスワード漏洩によって始まり大きな被害をもたらした事態を目にして、ISRはSSOサービスにてお客様の情報を扱っている以上、「ITサービスを提供する側として、セキュリティ(Security) を第一に考えなければいけない」、「攻撃から情報資産を守らないといけない」と考え、10年以上セキュリティを重視してサービスの提供を行った背景になります。
ISR社長メンデスはオーロラ作戦をみて、「どの会社でもやられる可能性がある」と感じたため、ISRは豊富なセキュリティ機能の開発、厳しい運営、安全なサービス運用、そしてリスクがあればすぐに排除し対応するという姿勢で、「全力でお客様の情報資産を守る」ことを、日本企業を守ることを念頭に経営を行ってきました。
現在の状況に置き換えると、一人の従業員が新型コロナウイルスにかかったとしても、全従業員に蔓延しないようにしたいという気持ちと一緒です。
私たちのCloudGate UNOサービスを利用しているお客様は家族同然だと考え、攻撃から守るためにはセキュリティを最優先事項として徹底しなければいけない、そしてお客様にもそれを伝えていくようにしています。
では、取り組みとしてどのようなことをしているのかです。
まずは、一般的に脆弱性があるといわれているプラットフォーム、端末は社内で使わないようにしています。それはゼロデイ攻撃として、攻撃者のターゲットになりやすいからです。また、全従業員にパスワードレス認証を必須にし、リスクや脆弱なものがあれば、徹底的に排除し、全社員に即座に適用するという運営をしています。
それから、サービス運用に関しては、7年ほど前から物理的なセキュリティキーを使って、安全なMFAでのアクセスを徹底してきましたし、データは国内のデータセンターで安全に運用されています。機能開発では、パスワードレス認証もそうですが、ゼロトラスト・アーキテクチャの導入が必要だと、2年かけてCloudGate UNOを再設計・再開発、今年から提供を開始しました。
セキュリティファーストの考えのもと、セキュリティインフラへの投資を惜しみなくし、豊富なセキュリティ機能の開発を行うことで、お客様の情報資産を守りビジネスの継続性を確かなものにしてきました。
そして、提供しているSSOサービスCloudGate UNOによって、サイバー攻撃の侵入口となる初期アクセスを守っています。
さいごに
攻撃者はより高度な技術で、日々標的にしやすいターゲットを探しています。今やターゲットは大手企業だけではありません。一度に数多くのターゲットに対して身代金を要求するという手法を使うランサムウェアの攻撃によって、中小企業もターゲットに、さらには利用しているITサービスを提供しているベンダーやMSPなどもそのターゲットになり得るのです。
今一度、『セキュリティファースト』の考えを事業の最優先事項に、そして一人一人がその重要性の認識を高め、サイバー攻撃を受けないように願っています。そして、私たちISRは弊社のCloudGate UNOで、ランサムウェア攻撃の侵入口となる初期アクセスを守るため、今以上にセキュリティを重視した運用・開発・運営を行なってまいります。
CloudGate の取り組みとは