サイバー攻撃の進化:株式会社スプラウトの決断
株式会社スプラウトは、2024年4月1日に株式会社シンプレクス・リスク・マネジメント(以下、「SRM」)に社名変更しました。セキュリティ専門家集団であるSRMは、日本初のバグバウンティプラットフォームを運営しながら、攻撃者の手法・思考解析を積極的に取り入れ、堅牢なサイバーセキュリティを提供してまいりました。
1990年代から悪意のあるハッカーが現れ、2000年以降はホワイトハッカー(倫理的ハッカー)やセキュリティ専門家が企業に不可欠になりました。今日、サイバー環境は大きく変化しています。
「ハッカー」と聞くと、高度な技術を持つ技術者を想像するかもしれませんが、今では技術者が開発したマルウェアが分業化・組織化され、技術が少ない人でも使えるようになっています。これにより、サイバー攻撃の脅威が全世界で増加しています。
サイバー攻撃への対抗策として自動化が鍵です。脆弱性診断やEDRなどの自動化ツールが普及していますが、重要なのは「どのツールを自動化するか?」です。本稿では、時代の節目のタイミングで社名を変更した当社が、有効な自動化ツールを利用することにより、提供可能なご支援についてご説明させていただきます。
デジタル時代のリスクへの対応
現代のビジネス世界では、情報漏えいは会社の信用を大きく損なう問題です。デジタル技術が便利さをもたらす一方で、脅威も進化しています。これらの脅威は非常に巧妙で、小さな隙間から防御をかいくぐって侵入し、ビジネスに大きな被害を与えることがあります。
セキュリティの限界と新しい戦略
これまで、多くの組織が様々なセキュリティ製品を使って防御を強化してきました。しかし、新しい脅威が現れるたびに、これらの対策が十分でなくなっています。サイバー犯罪者は攻撃方法を絶えず更新し、従来のセキュリティをかわしています。これは、今の対策だけでは不十分であることを示しています。
従来のセキュリティ対策では、ファイアウォールやウイルス対策ソフトなどの防御ツールに重点を置いてきました。しかし、サイバー攻撃が進化するにつれて、これらだけでは不十分だとわかってきました。大企業であれば脆弱性管理や脆弱性診断は行っていることが多いですが、問題は脆弱性の量、アラートの量が膨大であることです。CVSSスコアで深刻度の高いものから機械的に対応することがほとんどですが、それぞれの脆弱性がもたらす実際のリスクは検証されません。結果、機械的な作業を繰り返し、その効果のほどがわかりにくいという課題があります。そこで今、注目されているのは「攻撃者視点」のセキュリティ対策です。これは、攻撃者の手法を模倣して自分たちのセキュリティを試し、隠れた脆弱性を見つけ出す方法です。
この「攻撃者視点」のアプローチを「ペネトレーションテスト」と言います。セキュリティ専門家が高度な技術を使ってシステムへの侵入を試み、脅威を明らかにします。このテストで見つかった問題点を直すことで、サイバーリスクを減らすことができます。
Penteraによる革新的なソリューション
Pentera社はイスラエルを拠点とし、セキュリティ検証プラットフォーム「Pentera」を開発しています。イスラエルはサイバーセキュリティ分野で世界的に高く評価されており、その背景には8200部隊の存在があります。8200部隊は、イスラエル国防軍の情報部隊であり、サイバーセキュリティやインテリジェンスの専門家を多数輩出してきました。この部隊出身のエンジニアや研究者は、多くのサイバーセキュリティ企業を立ち上げています。
当社は2023年にPentera社とパートナーシップを締結し、これにより最先端のセキュリティ対策をお客様に提供する体制を整えました。Pentera社の技術力と当社の専門知識を組み合わせることで、より効果的なセキュリティソリューションを提供できるようになりました。
全てのセキュリティ検証を自動化するPentera
Penteraは、サイバーセキュリティ分野で最先端の自動化ソリューションです。これを使用すると、脆弱性の特定から修正までのプロセスが簡素化され、組織はより効率的にセキュリティ対策を実施できます。すべてを修正しようとするのは適切ではなく、不必要であるとの考えのもと、Penteraは本物のリスクに継続的・優先的に対応することを可能にするツールです。
Penteraを使うことで、人的リソースに頼らずに自動化されたペネトレーションテストを継続的に行い、新しい脅威に迅速に対応することができます。Penteraは、発見したすべての脆弱性を修正するのではなく、攻撃者が悪用しやすい脆弱性を優先的に修正するようにわかりやすくレポートします。これにより、最も重要なリスクに素早く対応できます。
また、Penteraは各脆弱性の修正方法も具体的に教えてくれるため、ユーザーは適切な対応策をすぐに実行できます。特別な専門知識は必要なく、直感的な操作性により、セキュリティエンジニア以外のIT担当者でも簡単に利用できるため、幅広い組織で導入が可能です。
Penteraは、外部からの攻撃に対する防御も充実しています。インターネットに公開されている資産を自動で発見し脆弱性を特定することができるため、従来のペネトレーションテストでは見落とされがちな外部アタックサーフェスへの対策を強化します。
AzureとAWSを含む主要なクラウドプラットフォームにもPenteraは対応しています。これにより、オンプレミス環境だけでなく、クラウド上のシステムやサービスにも自動ペネトレーションテストを行い、包括的なセキュリティ対策を実施します。Penteraは、外部アタックサーフェスから内部資産、クラウド基盤に至るまで、組織のサイバー環境全体のリスクを特定し、「全方位の検証」を可能にします。
Penteraの導入には、ペネトレーションテストだけでなく、重要な効果があります。
まず、Penteraを用いたテストを行うことで、導入しているウイルス対策ソフトやEDR(エンドポイント検出および応答)などセキュリティ製品が適切にアラートを上げるかどうかを検証できます。もしアラートが上がらない場合、その製品が攻撃を検知できていないことを示しており、設定に問題がある可能性が考えられます。このような場合、セキュリティ製品の設定を見直し、変更する必要があります。
さらに、Penteraを使用することで、組織内のセキュリティの弱点を明確に把握することができます。これにより、組織は適切なセキュリティ投資を計画し、リソースを効果的に配分することが可能となります。結果として、Penteraの導入は単なるペネトレーションテストにとどまらず、全体的なセキュリティ強化と最適なリソース配分を支援する重要な手段となります。
話は少しそれますが、Penteraのようなセキュリティツールを導入するメリットは多岐にわたります。まず、セキュリティエンジニアの不足に対処でき、自動化されたペネトレーションテストで効率的に脆弱性を発見・修正できます。さらに、セキュリティエンジニアの平均在職期間が短いと言われていますので、育成にかかるコストを軽減する効果も期待できます。ツールの導入により、エンジニアの退職があっても業務を継続し、採用コストも削減できます。結果として、さまざまなコストを削減しつつ組織全体のセキュリティレベルを向上させることができます。
正確なランサムウェア攻撃エミュレーションとセキュリティ検証
Penteraは単なるペネトレーションテストの自動化ツールではなく、REvil、Conti、Maze、LockBit 2.0などのランサムウェアと同じ動作をするプログラムを使用してランサムウェア対策ができているか検証することも可能です。これにより、組織が「本当にランサムウェア対策ができているか?」を検証することができます。
例えば、この機能を利用したお客様の中には、ランサムウェア対策が十分だと思っていたものの、実際にはランサムウェアに感染するリスクが高いことが判明したケースもあります。これにより、実際の対策が不十分であったことが明らかになりました。Penteraを使用することで、組織のセキュリティ対策の強化に役立てることができました。
※Penteraの「Ransomeware Ready」機能によるランサムウェアの攻撃が成功していることを示す図
お客様とSRMの未来
私たちSRMは、Penteraという革新的なツールを用いてセキュリティテストの自動化を推進し、企業のセキュリティ防御力の向上に貢献しています。ただし、ツールの導入だけで十分とは言えません。現代の複雑なITインフラ環境では、組織特有のリスクを把握し、総合的な対策を講じることが求められます。
ここで私たちSRMのコンサルティングサービスが重要な役割を果たします。専門知識を持つコンサルタントが、お客様のニーズに合わせたカスタマイズしたセキュリティプランを提供します。セキュリティの脆弱性評価からインシデント対応計画、従業員向けのセキュリティ意識向上トレーニングまで、幅広いサービスを提供し、技術的な保護だけでなく、組織全体のセキュリティ体制の強化を支援します。
最後に、当社は包括的なセキュリティアプローチを通じて、お客様の事業を継続的にサポートすることが可能です。お客様が直面する可能性のあるセキュリティリスクに対して最適な戦略を提案し、実装することで、事業の持続可能な成長と安全を実現します。セキュリティに関するご相談があれば、いつでもお気軽にお問い合わせください。
