辻 伸弘氏×国産ベンダー6社 座談会セキュリティの脅威に
Made in Japanで挑む【前編】

辻 伸弘氏と国産ベンダー6社が語った、国産のセキュリティ製品を導入するメリットとサイバーセキュリティの現状に続き、今回から2回にわたって各社が向き合ってきた、自社製品に関連する脅威とその対策についてご紹介します。

真摯な対応ができるかで
事故公表後の評価が変わる

ファイルサーバーのアクセスログが鍵に

網屋 別府氏
当社の「ALog」は、ファイルサーバーのアクセスログを記録する製品です。当初は、お客様の導入目的の大半が退職者のファイルアクセスの記録や、内部不正による情報漏洩対策でしたが、近年はサイバー攻撃対策を目的とした導入が増えています。そんななか、当社が特に注視しているのは、Administratorなどの管理者権限アカウントの認証に不審な点がないかです。サイバー攻撃による被害の大半は、脆弱性を悪用されたり、管理者権限アカウントのパスワード窃取によって発生しています。ランサムウェアに感染した企業の内部に入って調査する際、奪われた管理者権限のアカウントとパスワードで、新たなアカウントが作成され攻撃している状況を何度も目の当たりにしてきました。

その攻撃によって個人情報の漏洩が発生すれば、個人情報保護委員会への報告が義務づけられていますが、その際に欠かせないのがファイルサーバーのアクセスログです。例えば、攻撃者が使用したアカウントがディレクトリAにしかアクセスしていないとファイルアクセスログからわかれば、漏洩した恐れがあるのはそこだけだと公表できます。しかし、そのログがなければファイルサーバー内のすべてのデータを漏洩対象として公表しなければなりません。

怒りの熱量は漏洩件数では変わらない

辻氏
内部に入っての調査は、ALogを導入しているお客様からの相談ですか？

網屋 別府氏
意外かもしれませんが、大半が導入されていないお客様からのご相談です。

辻氏
依頼内容は、残っているログを調査して、何らかの判断をしてほしいということですよね。以前、私が調査した事例には、どの情報が漏洩したのかわからず、攻撃者がリークするのを待つしかないというケースがありました。個人情報漏洩に関する報道は、漏洩件数が多ければ多いほど大きく扱われますから、できれば少なく報告したいというニーズを持っている組織は多いのではないでしょうか？

網屋 別府氏
そうですね。「報告する数字をできるだけ少なくしたい」という思いは感じます。さらに、調査結果から個人情報の漏洩が0件と予想される場合、被害に遭ったこと自体を公表したくないと考えられる傾向が強いですね。しかし、個人情報の漏洩がなくとも、取引先の機密情報が漏洩した可能性があれば、公表するかどうかは経営判断が求められます。

辻氏
取引先の情報だけであれば、事の善し悪しは別にして、取引先に連絡して終わりにするやり方もなしではないですね。個人情報漏洩の有無は、個人情報保護委員会に報告しなければならないかそうでないか、そこだけを重視される傾向にありますが、それでは自分たちの組織を守ることにはならない気がします。

網屋 別府氏
皆さん一番気にされるのはそこですね。やはりニュースになるのは嫌だと。しかし、セキュリティ事故を起こしてしまっても、真摯に対応した組織が大きくたたかれたことはほとんどなかったと記憶しています。

辻氏
1件でも数千件でも報告しなければならないことに変わりはありません。件数で怒りの熱量が変わるかというと、そうでもない気がします。

網屋 別府氏
怒りを恐れるよりも本人通知義務に関わる手間の問題もあると思います。漏洩の恐れがある場合、関係する人すべてに通知しなければならないため、人数が増えれば作業も増えますから。

辻氏
郵送での全件連絡は、作業する人件費以外に発送費や紙代も必要でお金もかかりますからね。アクセスログからある程度の漏洩件数を特定できる環境があれば、金額的なインパクトを減らせるメリットがありそうです。

怪しいと判断すれば
強制的に動きを止めるNGAV

専門機関が定めている脆弱性公表タイミング

FFRIセキュリティ 中村氏
以前「FFRI yarai」の脆弱性が見つかった際、メーカーが取るべき最適な情報発信についての議論を重ねたことがあります。メーカーとしては、ご利用中のお客様にはいち早く情報を届けたい。しかし、情報を小出しにすることでかえって混乱を招く可能性もあり、各自が思う「お客様にご迷惑をおかけしないために」が交錯し議論は紛糾しました。また、脆弱性に関する情報の公表日時は、JPCERTコーディネーションセンター「脆弱性関連情報取扱いガイドライン」の記載どおりに進める必要があるため、メーカーが勝手に決めることはできません。連携しているパートナー企業等との情報共有も進めながら、メーカーとしての責任を果たしていくことの重要性と対応の難しさについて深く考える機会になりました。

わかりづらいEDRとNGAVの違いとは？

辻氏
基本的な質問で恐縮ですが、EDR（Endpoint Detection and Response）・「FFRI yarai」などのNGAV（次世代アンチウイルス）と、旧来のアンチウイルスは何が違うのでしょうか？

FFRIセキュリティ 中村氏
まず、旧来のアンチウイルス製品の対象は、あくまでもすでに世の中にばらまかれているマルウェアです。既知のマルウェアをアンチウイルス製品のメーカーが見つけて定義ファイルを更新。その定義ファイルに登録されたマルウェアをパターンマッチングによって防御します。

辻氏
指名手配みたいなものですね。

FFRIセキュリティ 中村氏
そうですね。一方NGAVは一歩進んで、今後出てくるマルウェアを予測してプログラムを作成します。パターンマッチングに依存することのない、ふるまい検知型のエンドポイントセキュリティなので、高度化・複雑化するサイバー攻撃にも対応できます。

辻氏
予測される未知のマルウェアは、作られた日は違っても、既知のマルウェアと動きが似ているというイメージから検討を始めるんですか？

FFRIセキュリティ 中村氏
私どもには「今後こういう脅威が発生する」「こういう技術・テクニックが使われる」などの情報を検知するプログラムがあります。それをエージェントにインストールすることで、プログラムに登録された動きと似た動きをするマルウェアの検知が可能です。

辻氏
動きが似ているというのは、武術などの流派みたいなことですか？この型は○○派から派生した××派みたいな。

FFRIセキュリティ 中村氏
どうでしょう （笑）

辻氏
流派の例え、勝手にしっくりきたんですけど、ちょっと違います？（笑）ふるまい検知みたいなことですか？

FFRIセキュリティ 中村氏
「FFRI yarai」のエンジンは、大きく2種類に分けることができます。実行ファイルが動く前に検査する静的エンジンと、ふるまいを見る動的なエンジンです。サンドボックスのように端末の中で仮想的に実行させてファイルの特性を見つける仕組みが含まれているのは、静的なエンジンです。

辻氏
ファイルの特性を見るなら、EDRのカテゴリでいいような気もしますが。

FFRIセキュリティ 中村氏
EDRは、ファイルの移動などの動きを記録したログをサーバーで分析。異常なふるまいと認識すれば、管理コンソールに脅威として表示されます。それを見て、本当に脅威なのかを判断して対処するのはセキュリティ担当者です。一方NGAVは、怪しいと判断すれば人の判断を挟まず強制的に動きを止めます。

辻氏
違いは人の手を介するかどうかですか？

FFRIセキュリティ 中村氏
特に初期のEDRはそうですね。

辻氏
EDRとNGAVの○×表ってありますか？

FFRIセキュリティ 中村氏
実は、○×表ではどちらもすべてが○になってしまいます。だから余計にわかりづらいのかもしれません。

辻氏
○×表には△があってもいいと思うんです。△の理由が説明されていれば、ユーザーにとって違いがわかりやすいんじゃないかと感じていました。

SKYSEAとの連携で単体以上の効果を発揮

辻氏
最後にもう一つ。「FFRI yarai」が、最近ガッチリ止めたマルウェアについて教えてください。

FFRIセキュリティ 中村氏
どういう検体ということはお伝えできませんが、メモリ上で動くファイルレスマルウェアです。不審な通信先にアクセスしようとしたことを検知しています。

辻氏
侵入してきた経緯もわかるんですか？

FFRIセキュリティ 中村氏
「FFRI yarai」単体ではそこまではわかりませんが、「EDRプラスパック」というSKYSEA Client Viewとの連携製品を導入いただければ、端末の詳細なログから追跡することが可能です。

コストのかかる侵入後の調査
見落とせない入口対策

安全なURL情報を活用し危険な通信をブロック

デジタルアーツ 萩野谷氏
当社が「i-FILTER」をリリースしたのは、小・中学校のPC教室の全盛期、1995年です。もちろんそれ以前から、子どもたちに見せてはいけない不適切なWebサイトをブロックしたいという要望は非常に多く、主に海外の製品が使われていました。しかし、海外製品では力士と女性の裸の違いを判定できないなど、日本固有の問題が発生。そこで「i-FILTER」は、お客様自身がカテゴライズを見てNGかどうかを判断できるよう、URLを集めたデータベースを作成しました。アダルトサイトやギャンブルサイトのカテゴリはNGにするなどの設定は、お客様自身が行う仕様でご提供したところ、企業のお客様からもぜひ導入したいとのお声が寄せられるようになり、今では多くの組織でご利用いただいています。

また、近年はサイバー攻撃による被害が深刻で、セキュリティ対策として導入されるお客様が増えています。大半のマルウェアは、HTTP通信を利用してC＆Cサーバーと通信するため、安全なURLの情報を集めて作成した「i-FILTER」のデータベースを活用すれば、危険な通信をホワイトリスト形式でブロックすることが可能です。お客様によるメンテナンスは特に必要ありません。また、ランサムウェアに感染するような危険なWebサイトへの通信もすべてブロックできます。

無償提供しているWebサイトの改ざん情報

辻氏
改ざんされたWebサイトも、改ざんされる直前までは安全ですよね。「i-FILTER」のデータベースで白だったWebサイトが黒になることはありますか？

デジタルアーツ 萩野谷氏
あります。

辻氏
どのようなオペレーションで切り替わりますか？

デジタルアーツ 萩野谷氏
判定で用いるのは、データベースだけではありません。Webサイトからのダウンロード時に、それが危険かどうかを検知する仕組みも持っていますので、危険性を検知すると、改ざんされたWebサイトをただちに危険なWebサイトとしてカテゴライズします。

また、検知したWebサイトの改ざん情報を当社のお客様以外にも届ける無償の情報提供サービスも展開しています。ご提供を始めたのが、日本に向けてたびたび飛翔体が飛ばされていた時期だったことから、Jアラート（全国瞬時警報システム）になぞらえて、「Dアラート（サイバーリスク情報提供）」と名づけました。日本国内の組織を対象に、日本語で発信しています。

辻氏
サイバーセキュリティ月間の終了日が、サイバーをもじって3月18日までなのと似ていますね。

デジタルアーツ 萩野谷氏
そのとおりですね。「i-FILTER」では具体的な脅威と対峙することはほぼないのに対し、メールのセキュリティ対策としてご提供している「m-FILTER」では、Emotetなどがメールアカウントやメールデータなどの情報を窃取する脅威と向き合っています。Emotetが猛威を振るった2020～2022年は、まだ添付ファイルを暗号化したパスワード付きZIP形式のファイルを検知できるメールセキュリティサービスが少なかったこともあり、「m-FILTER」を選ばれるお客様が一気に増えました。「m-FILTER」は、発信元のIPアドレスと、そのドメイン名を組み合わせた情報をデータベース化しているため、登録されていない送信元から届いたメールをブロックすることが可能です。

卵が先かニワトリが先か対策の重点を置くのは？

辻氏
情報を窃取する機能も持つマルウェアであるEmotetは、われわれがメールでファイルを送る際、パスワード付きZIP形式のファイルを使う習慣につけ込んだ攻撃を仕掛けてきました。メールにパスワード付きZIP形式のファイルを添付して、そのパスワードを別メールで送る方法は、利便性が高くコストをかけずにファイルを送信できるため、善し悪しは別にして企業・組織が利用するのに便利でした。しかし、セキュリティリスクの観点から使用すべきではないという潮流があり、やめることのリリースを発表する企業もあるくらいです。実際にパスワード付きZIP形式のファイルの使用率は下がっているんでしょうか？

デジタルアーツ 萩野谷氏
この通称「PPAP」といわれるファイル送信方法は、2020年に当時のデジタル大臣が廃止を発表して以降、この座談会の前月までに約半減しています。ところが、半減といっても、実はまだ約6,000ドメイン、つまり約6,000社が使用しています。

辻氏
それは、デジタルアーツさんが観測されているデータですか？

デジタルアーツ 萩野谷氏
はい。その中には、やめることをアピールされている企業さんも含まれています。

辻氏
従来の方法からの置き換え先で多いのは、ストレージ系ですか？

デジタルアーツ 萩野谷氏
そうですね。最も多いのはオンラインストレージ系です。

Blue Planet-works 鴫原氏
確かにメールに添付されたZIP形式のファイルは中身が見えず、マルウェアが含まれている可能性もあり危険です。しかし、現在は多くの組織がNGAVやEDRを導入しています。だったら、それで止めてしまえばいいという考え方もできるのではないでしょうか？

デジタルアーツ 萩野谷氏
これに関しては、卵が先かニワトリが先かという概念と同じような気がします。泥棒が家に入ってから捕まえるのか、入られる前に阻止するかの違いではないかと。どちらを選択するのかはお客様次第です。私どもの製品は、侵入される前にゲートウェイで止めます。

辻氏
侵入された後、たとえ被害は確認できなくても、侵入を防いだ場合とは調査の範囲が異なります。何より、被害がゼロだとは言い切れません。まず、入られたという事実が精神衛生上良くない気はします。何も盗まれなかったとしても、泥棒に入られた家で過ごすのは、あまり居心地が良くありませんよね。

Blue Planet-works 鴫原氏
サポート詐欺の被害に遭ったある企業が、侵入された場所に個人情報を置いていたため、端末やネットワーク内の情報を丸ごとフルフォレンジックされた事例がありましたね。調査範囲が広がれば、その分コストも上がってしまいます。

辻氏
サポート詐欺の目的の大半は、クレジットカード情報を盗んだり、入金処理をさせるなど、金銭をだまし取ることです。それ以外の情報が持ち出されることは99.9％ないと思います。それにもかかわらず、被害に遭った企業はほかの情報が持ち出されていないことを証明しなければなりません。これはかなり大変な作業ですし、コストもかかりますから、侵入されない対策が重要な気がします。

連載一覧

（「SKYSEA NEWS vol.103」 2025年7月掲載 / 2025年3月取材）