長期休暇が明ける頃、人の気が緩むタイミングを狙うかのように、サイバー攻撃が活発化
する傾向がある。これは単なる偶然ではなく、攻撃者が人や組織の行動パターンを巧妙に
利用しているからだ。
そんな背景を踏まえ、今回は私が実施した「侵害調査」の経験をもとに、組織のセキュリ
ティ対策を見直すきっかけとなるアセスメントの重要性について記したい。
過去ログが語る“侵入の痕跡”
まず着目すべきは、過去のログから導き出される侵入のルートだ。約3万台の社内PCを対
象にスキャンをかけ、スリープ状態や電源オフによる検出困難を乗り越えて得たデータは
、攻撃者のラテラルムーブメント(横展開)の具体的な動きを描き出した。
とりわけ印象的だったのは、ADサーバなど権限昇格を目的とする移動パターンが絵に描い
たように可視化されたことだ。幸い、C&Cサーバへのアクセスは遮断できていたが、侵入
口の多くはメールやWEB閲覧経由であった。
攻撃の地図を描くことで見えるもの
その後、攻撃の遷移を図式化していく過程で、ネットワーク上の脆弱ポイントやブリッジ
アクセスの管理不足が浮き彫りになった。
この“見える化”により、セグメント間の監視体制強化が急務であることが判明。また、新
たなセキュリティサービス導入に向けた正当性や予算提案も、説得力ある資料としてまと
めることができたのだ。
情シスと社員の壁を越えて
調査実施にあたって、全社員の協力は不可欠だった。通常、情報システム部の業務は見え
づらい部分が多く、社員との距離を感じることもある。しかし、今回の協力体制により、
目的の共有と理解が進み、信頼関係の構築に大きな一歩を踏み出すことができた。
セキュリティの“デトックス”という発想
新しいツールの導入ばかりが解決策ではない。むしろ、一度ネットワーク環境を“デトック
ス”し、不要な設定や残留するセキュリティごみを取り除いた上で導入することこそ、真に
機能するセキュリティ対策の第一歩ではないか。
闇雲な多層防御は過検知を招き、逆に社員の負担やツールへの信頼低下を招く恐れすらあ
るのだ。
「今いるかもしれない脅威」を探る──脅威ハンティングの重要性
すでに侵入済みの脅威に対しては、通常の入口対策では対応が困難だ。ここで活躍するの
がEDR(Endpoint Detection and Response)である。
EDRは、ログやプロセス情報を通じて不審な活動を浮かび上がらせる“保安官”のような存
在。SOCチームの対応をスピードアップさせ、内部に潜む脅威の特定と、迅速なインシデ
ント対応を可能にする。
最後に──守るために攻撃者の視点を持つ
調査を通じて得た最大の教訓は、攻撃者の行動パターンを理解することが、次の攻撃を防
ぐ鍵になるという点だ。
彼らがどこから入り、どう動き、何を狙ったのか。この情報こそが、今後の備えと予測に
繋がる。脅威の共有は、社員の意識改革にも有効であり、結果的に組織全体の耐性を高め
ることとなった。
セキュリティ対策は一度きりではない。常に見直し、アップデートを続ける姿勢こそが、
サイバーリスクに立ち向かう最善の方法である。
熱海 徹(あつみ・とおる)
アスエイト・アドバイザリー株式会社 上席情報セキュリティアドバイザー 長年にわたり、放送業界を中心に情報セキュリティの現場に携わってきました。CSIRTの立ち上げやSOCの運用、インシデント対応体制の構築など、現場の課題と向き合いながら、組織に根ざしたセキュリティのあり方を模索してきました。
「セキュリティは技術だけでは守れない。人と仕組みがあってこそ機能する」という考えのもと、現場の声に耳を傾け、経営層と現場の橋渡し役として活動しています。
現在は、企業や団体のセキュリティ体制強化を支援しながら、講演や執筆を通じて、実務に役立つ知見をわかりやすく伝えることにも力を入れています。 専門用語に頼らず、誰にでも伝わる言葉で、セキュリティの本質を届けることが自分の役割だと思っています。
