2022/7/28

リスク対策の最前線。マイクロソフトはどのように「セキュリティ」を磨いてきたか

宇野 浩志
NewsPicks Brand Design / Senior Editor
 リモートワークやSaaSの普及、ビジネスのDXとグローバルにまたがるサプライチェーン……ビジネス環境の変化によってスタートアップや中小企業が飛躍する可能性が増えた一方で、ランサムウェアによる犯罪も激増し、企業のセキュリティリスクは増大した。

 サイバー攻撃の足がかりとなるエンドポイントが無数に増えた現在、企業が情報流出や悪意のある攻撃を防ぎきることは可能なのか。防御や復旧のためには、組織や事業のオペレーションを含めてどんな対策が有効なのか。

 デジタルを活用してパフォーマンスを発揮するうえで、企業が投資するべき情報セキュリティの「最前線の攻防」をお伝えする。
INDEX
  • 最近のサイバー攻撃事情ってどうなんですか?
  • 犯罪集団の経済合理性
  • AI翻訳が日本語の防壁を無効にした
  • いま、中小企業が狙われる理由
  • ゼロトラストでパターンを見抜く
  • 開発から実装までのスピード勝負
  • 攻防の最前線は「Xbox」だった?

最近のサイバー攻撃事情ってどうなんですか?

海部 私はアメリカに30年、シリコンバレーに20年住んでいて、日本企業がシリコンバレーのパートナーとビジネスをする際、また、シリコンバレーのスタートアップが日本に進出する際のコンサルティングをやっています。
 2年ほど前に日本のIT企業の社外取締役に就任したんですが、そこがサイバーセキュリティを得意とするSIerなんです。まだまだ勉強中の身なので、今日はいろいろ聞いてみようと楽しみにしてきました。
垣内 よろしくお願いします。私はマイクロソフトのセキュリティレスポンスチームで、マイクロソフト製品・サービスのセキュリティ上の問題解決や、お客様の不安を解消する業務に携わっています。おもに技術面の機能的なサポートや、こういった場を通じた啓発活動を担当してきました。
海部 この数年、アメリカの報道を見ても日本の報道を見ても、大規模なインシデントが続いていましたよね。
 地政学的な問題が絡んだ国家規模の攻撃もありますが、事情をよく知らない経営者には「サイバー攻撃」と一塊で捉えられてしまう。それによって、必要以上に怖がっている方も多いと感じます。実際はどうなんでしょうか。
垣内 そうですね。攻撃の目的自体はさほど変わっていなくて、他国のインフラを攻撃するような国家レベルのものもあれば、金銭目的のサイバー犯罪もあり、嫌がらせや自己顕示を目的とする攻撃も相変わらず続いています。
 当社の場合は、ゲームのチート目的でXboxのインフラを攻撃される。これも古くからいたちごっこを繰り返している攻撃のひとつですね。

犯罪集団の経済合理性

海部 日本では顧客情報を盗まれて流出するケースも多いですよね。実際にはいろいろな攻撃主体がいて、手法があって。攻撃される側が大企業なのか中小企業なのかによって、守り方も変わると思うんです。
 怖いからって、全部ガチガチに固めてしまっても、せっかくのツールやサービスが使いにくくなってしまう。重点的に守るとしたら、どんなところでしょうか。
垣内 いま被害件数がもっとも多いのは、中小企業を狙った金銭目的のランサムウェアです。業務システムに侵入して停止させ、復旧させる代わりに身代金を要求する。それも、数十万円から数百万円程度といった少額を要求するケースが増えています。
海部 そんなに少ないんですか?
垣内 はい。なぜかというと、これくらいの金額が効率よく金銭を得やすいから。一律いくら要求すると決めているわけではなく、攻撃対象の企業規模などをよく見て、時価総額の何%、売り上げの何%なら支払えると計算しているようです。
 企業からすると、自分たちで復旧する費用と身代金を天秤にかけ、つい払ってしまいそうになる。もちろん、支払ったからといって攻撃が止まる保証はありません。二重脅迫といって、システムを復旧させても、情報を公開するぞと脅迫されるケースも報告されています。

AI翻訳が日本語の防壁を無効にした

垣内 サイバー犯罪の組織化や分業も進んでいて、まず偵察部隊が企業のシステムの脆弱性をインターネットからスキャンしたり、フィッシングを仕掛けたりして引っかかったところをプールしておく。
 そのシステムに技術力の高い組織が攻撃を仕掛け、「バックドア」と呼ばれる侵入口をつくっていつでも入れる状態にしてから、ランサムウェアごと別の犯罪組織に販売する。
 そうして一昔前は名簿を買って詐欺犯罪を繰り返していたような末端の犯罪集団が、ランサムウェアを使って企業を脅迫する。こういったサプライチェーンが構築され、サイバー犯罪のマネタイズ方法が確立されてしまっているんです。
海部 いわゆる「RaaS(Ransomware as a Service)」ですね。アメリカでも同じ状況で、とくに英語圏はターゲットにされやすい。国外からのフィッシング詐欺でパスワードを盗まれるケースが問題になっています。
 その点、日本は言語の壁に守られていたと思いますが、その防壁はいまも機能しているんでしょうか。
垣内 いえ、昨今は日本でも、フィッシングやサイバー犯罪で、より自然な日本語が使われるケースが増えています。
 フィッシングやランサムウェア自体は10年以上前からあった手口でしたが、これまでは海部さんがおっしゃるように、日本語が障壁となって国内で爆発的に広まることはなかったんです。でも、私たちの生活でも、言語の壁は低くなっていますよね。
海部 あ、機械翻訳ですか。
垣内 そうです。AIによる自動翻訳の精度は飛躍的に高まっています。
 私たちが簡単に自動翻訳サービスを使えるなら、犯罪集団にも使える。違和感のない日本語でフィッシングを仕掛け、ランサムウェアの脅迫や交渉でも言語の壁を乗り越えやすくなっています。

いま、中小企業が狙われる理由

海部 サイバー攻撃の目的が金銭であれば、罪を犯すリスクが高まると商売になりませんよね。一般のビジネスと同じように、コストとリターンのバランスが崩れれば、ランサムウェアが流行らなくなるかもしれない。
垣内 まさにそれが、中小企業が犯罪集団に狙われている理由でもあります。大企業の場合はセキュリティ対策が進んでいるので、システムへの侵入も困難ですし、攻撃を検知して自力で復旧してしまう。
 脅迫しても、お金を払ってもらえなければ骨折り損です。そうすると、どうしても復旧能力が甘いところへ攻撃対象が移っていきます。
海部 アメリカでは昨年のコロニアルパイプラインの被害が大きく、政治問題になってランサムウェア集団に対する締め付けがかなり厳しくなりました。マイクロソフトも摘発に協力していましたよね。
垣内 2021年5月にバイデン大統領がサイバーセキュリティを強化する大統領令を出し、アメリカの対策はかなり進みました。
 マイクロソフトもセキュリティベンダーとして、当社のクラウドサービスが犯罪集団に使われないようにする対策や技術的な保護、昔ながらの法的執行にも本腰を入れて取り組んでいます。
 とくにアメリカ本国では司法協力が進んでいて、犯罪集団が利用するドメインやインフラの利用を差し止めるなど、海外の犯罪集団をテイクダウン(撲滅)したケースも出ています。
海部 昨年来、日本企業の被害も相次ぎましたが、その後の対策や被害状況はどうでしょうか。サイバー攻撃のニュースは減ったように感じますが、実際に少しは落ち着いているんですか。
垣内 私は企業のシステムに異常が発生するとベンダーサポートとして関わりますが、国内の被害事例はどんどん増えているのが現状ですね。
出典:Microsoft Digital Defense Report 2021
海部 これまで国外から狙われていたアメリカが官民一体となって対策を強めている。そうすると、犯罪者はほかに目を向けますよね。
垣内 おっしゃるとおりです。大企業から中小企業への流れと同じく、セキュリティが強固になったアメリカからセキュリティに投資できない国々へと攻撃対象をシフトさせています。
 犯罪者の心理としては、お金を持っていて防御が甘いところを狙います。国によって法律が違うので取れる対策は違う。私たちも警戒を強めていますし、日本政府も、なんとか対策を講じようとしています。

ゼロトラストでパターンを見抜く

海部 この5年くらいの間にクラウドベースを前提としたセキュリティが普及したように思いますが、守り方のトレンドはどう変わっていますか。
垣内 いわゆる新しいモデル、「ゼロトラストセキュリティ」というフレーム自体はかなり前から構想されていましたが、それを実装するフェーズに入ったのは、ここ5〜6年ですね。
 攻撃者側の手法も次々と変わっています。ウィルスを防御されると、フィッシングやアカウントの乗っ取りによる不正ログインが主流になりました。
 そうなると、正規のユーザーとしてシステムに入ってきているので、従来の「異常なソフトウェアやアカウントを見分ける」という方法では間に合わなくなっています。
海部 従来の黒か白かでアカウントを弾くようなやり方から、AIによってユーザーの行動パターンの違いを見分けるような高度な技術が増えてきましたよね。
 AIがブレイクスルーしてビジネスを大きく変えたのは2013年ごろでしたが、そこからの積み上げが、セキュリティ対策にも活かされているんだなと感じています。
垣内 そうですね。いまのセキュリティが実現できているのは、やはりクラウドと機械学習の力が大きい。日々の膨大なデータから異常を検知するには、「なにがいつもどおりなのか」を知る必要があります。
 たとえば、マイクロソフトのソリューションに入っているものでいうと、特定のユーザーが毎日、どの時間にどの場所からサインインしているかが重要なデータセットになります。
 いつもは日本からログインしているユーザーが、突然国外からログインしたらおかしい。いつもはログインしない深夜にログインして、通常は使わないデータにアクセスしたり、使ったことのないコマンドを動かしたら、おかしい。
 そういったデータを自動的に、クラウドで処理できるようになったことが、セキュリティにおいての大きなターニングポイントです。最初の頃は誤検知などの課題もありましたが、昨今ではかなり成熟してきています。
海部 ただ、高度なAIが普及していくと、いずれは犯罪者も使えるようになるんですよね。パターンを見抜くAIの、さらに裏をかくAI……みたいな。
 このいたちごっこに、企業がどうキャッチアップすればいいのか。最低限押さえておくべきことって、なんなんでしょうね。

開発から実装までのスピード勝負

垣内 たとえば、今日お話ししているような大きな流れは、企業の経営者も知っておく必要があると思います。リスクを認識し、攻撃の足がかりをつくらないことは大前提ですから。
 ただ、最新の技術やトレンドをキャッチアップする必要があるかというと、そこはわれわれのようなプラットフォームやセキュリティベンダー、パートナーである大学などの研究機関が担う領域なのかな、と。
 というのも、攻撃の手口も防御技術の展開スピードも年々加速しています。マイクロソフトのソリューションは、マイクロソフトリサーチという研究機関が最先端の基礎研究を行い、その技術をどういうモデルに組み込むかを考えるアーキテクチャという人たちがいて、そのモデルをプレビューという形で徐々に運用環境に入れていく。
  かつてはWindowsのバージョンを順番にリリースしていたけれど、クラウドであれば新しい機能を一部のお客様だけに先に展開することもできるし、政府向けのクラウド、企業向け、個人向けと、必要な機能を棲み分けながら最適化できます。
 クラウドのいいところって、少しずつ試しながら進化させられることですよね。攻撃者側のスピードも加速していますが、私たちの防御技術をエンドユーザーまで届ける実装スピードは、それ以上に高速です。
海部 ユーザーの理解度はどうですか。セキュリティのために、ある程度のお金をマイクロソフトに支払わないといけない。そこは必要な投資として認識されているのか、あるいは相変わらずコストとして捉えられているんでしょうか。
垣内 まだまだセキュリティはコストだと考えられる方が多いのは事実です。ただ、これだけクラウドやSaaSが普及すると、企業側で人を割いて対応しないといけない業務はかなり減っているんですよね。
 必要なパッチ(脆弱性を解消されるための追加プログラム)はすべてクラウド上で行いますから、アディショナルコストというよりは、ビジネスを進めるうえで必要なサービスに組み込まれた「ビルトインセキュリティ」という設計思想に変わっています。
 一番わかりやすいのがメールだと思うんですけど、クラウド以前に企業がセキュアなメールを利用するには、サーバーを立てて、メールスキャンソフトを入れて、そのソフトウェアを定期的に更新し続ける必要があった。
海部 たしかに。オンラインのメールにはその機能がすべて入っているからとくにインストールしたり設定したりする必要がありませんね。
 その点は、競合他社も含めてみんなそうなっているんですか。それとも、マイクロソフトがとくに優れているんでしょうか。
垣内 クラウドサービスを扱う企業は皆さん、ビルトインを目指していると思います。いまや、セキュリティが必要ないオンラインツールはありませんから。
 そのうえで、マイクロソフトの強みを上げるなら、さまざまなジャンルの製品を持ち、世界中の何億ものデバイスのデータを、リアルタイムで集合化して分析しているところです。
 ビジネス領域では個人で使われているWindowsやOffice、法人向けクラウド基盤のAzure。ほかにも、日本ではあまり知られていませんがBingという検索サービスや、Xboxもあります。

攻防の最前線は「Xbox」だった?

垣内 たとえば、Xboxのゲームチャットで他人を攻撃するようなフィッシングが流行り始めると、オンラインのOffice365ユーザーにもその情報はすぐにフィードバックされます。
海部 ビジネスでのユーザーが多いのはわかりますが、セキュリティにXboxが絡んでくるとはあまり考えたことがありませんでした。
垣内 マイクロソフトがXboxから得たセキュリティの知見って、意外と大きいんですよ。ゲームってエキサイトしやすいですし、チートしてスコアやアイテムを改ざんしようとするサイバー攻撃者の数も、ものすごく多いんです。
 たとえば、企業サイトやサービスに過剰なデータを送りつけてサーバーダウンさせるDDoS(Distributed Denial of Service attack)攻撃からの防御方法について、マイクロソフトはものすごくよく知っています。それは、Xboxで長年にわたって戦ってきた歴史があるから。
海部 全然知りませんでした。DDoS攻撃って最近はあまり聞きませんが、ただ聞かないだけでやっぱりあるんですか?
垣内 攻撃自体は、かなり多いです。むしろ、より高性能なデバイスや攻撃インフラの多様化もあり、昔では考えられないようなテラバイトレベルの攻撃が頻繁に起こっていて、毎回「過去最高レベルの攻撃」とレポートしているくらい。
 ただ、それが海部さんの耳に入らないのは、多くの法人サイトがAzureなどのクラウドサーバーを使うようになって、ほとんどの攻撃を防いでいるからです。
「DDoSっていまだにあるの?」というのは、私たちにとってとてもうれしい声なんです。「実は、防いでるんですよ」って(笑)。
海部 その流れで言うと、IoTが盛り上がった頃にも、「そういうデバイスが増えると守りきれなくて危ない、怖い」という声がありましたよね。監視カメラが危ないとか、プリンタが危ないとか。そういえば、そういう声も聞かなくなりました。
垣内 やはり乗っ取られるデバイスは多いんですが、マイクロソフトではAzure SphereというIoT通信機能とセキュリティ機能を組み込んだサービスを提供しています。
 さらに、物理的なエッジデバイスやセンサーを守るためのシリコンチップ・Microsoft Plutonなども開発していて……その知見がどこから得られたのかというと、やはりXboxに帰ってきます。ゲーマーがデバイスを改ざんできないように、シリコンチップから対策を積み重ねてきたので。
海部 Xbox、すごい。
垣内 この話は尽きないのでこのあたりにしておきますが、マイクロソフトが自社のプロダクトやサービスを防衛してきたセキュリティソリューションの粋(すい)を、Microsoft Defender for Business(MDB)というサブスクリプションサービス(※1ユーザー330円/月の有料サービス)として提供しています。
 また、MDBは、Office365 Business PremiumやAzureなどのクラウドサービスにも搭載され、日々新しい攻撃への対策が更新されています。
 こうしたセキュリティソリューションは、ビジネスのシステム基盤やプロダクト、サービスを悪意のある攻撃から守るために欠かせないもの。より多くの方に活用していただき、デジタルやサイバースペースを安全なものに変えていきたいと願っています。
編集・執筆 宇野浩志
撮影 大橋友樹
デザイン 久須美はるな