ケーススタディ ③ サイバーセキュリティ
Project 3:Cyber security
KPMGインドとの連携によるサイバーセキュリティの進化
日々ますます高まるサイバー攻撃のリスクに対し、サイバーセキュリティのプロフェッショナルたちはどう立ち向かっていくのか─。
本プロジェクトは、実際にクライアントのシステムに対して現実のサイバー攻撃者を模した疑似攻撃を行い、サイバー攻撃に対する防御策の有効性を評価するものです。
世界トップレベルの技術力を持つKPMGインドのエンジニアたちとの連携のもと、最先端の評価手法を用いて進められている取組みをご紹介します。
薩摩 貴人
パートナー
公認情報システム監査人/CISSP
SIerや監査法人などでサイバーセキュリティ対策、データセンター基盤構築などに携わる。インシデントレスポンス対応に豊富な実績を持つ。2018年、KPMGコンサルティングに入社。
K. K
シニアマネジャー
公認情報システム監査人/CISSP
大手コンピュータメーカーでハードウェアの設計、サーバ構築、アプリケーション開発、セキュリティ製品の導入など、多様な業務に携わる。IT分野においては希有な“広く深く”が持ち味。2016年、KPMGコンサルティングに入社。
R. M
シニアマネジャー
情報処理安全確保支援士/ネットワークスペシャリスト
SIerでマルウェア対策製品の構築、運用支援に携わったほか、マルウェアの解析、アプリケーション開発などにも携わる。OS内部構造やアプリケーション実装に関して豊富な知見をもつ。2019年、KPMGコンサルティングに入社。
S. A
パートナー
KPMGインド
ネットワークおよびアプリケーションの分野で、25年以上にわたりITアドバイザリーを提供してきたプロフェッショナル。データセンター環境の設計・構築や、サイバーセキュリティ戦略の策定、システムソリューションの開発などの分野に強みを持ち、KPMG インドのサイバーセキュリティチームをリードしている。
A. M
マネジャー
KPMGインド/CREST Registered Penetration Testers, OSCP
脆弱性診断、ネットワーク設計評価、実証実験を通したセキュリティ対策実効性評価など様々な業務に携わる。サイバーセキュリティを中心に情報技術全般における豊富な知識と経験を持つ。
――まずは、本プロジェクトの背景から教えてください。
薩摩 昨今、企業や公的機関を狙うサイバー攻撃は激しさを増しています。当然、各社ともセキュリティ対策には力を入れていますが、サイバー攻撃者たちは事前に入念な下調べを行ってシステムや組織の脆弱な箇所を狙うという手法が目立ってきています。我々のチームでは、そうしたサイバー攻撃を行う攻撃者たちと同じ行動を擬似的に行い、クライアントのシステムに対して攻撃を仕掛けます。そして、その結果をもとにクライアントの防御策の有効性を評価します。
R. M 例えば悪意を持った攻撃者によって金融機関がサイバー攻撃を受け、セキュリティ対策が破られると、個人情報が流出したり、不正送金や不正利用が行われたりする可能性が高まります。その結果、国際的な犯罪組織に資金が流入するといったことも懸念されます。さらに今後は、例えば医療機関などもサイバー攻撃の主要な標的となることが考えられ、医療機関の機能が停止したり、他人に知られたくない個人情報が窃取・公開されたりする危険性があります。
K. K 金融庁では2015年にサイバーセキュリティ強化に向けた方針を策定・公表し、官民一体での金融分野のサイバーセキュリティ強化に取り組んできました。そして東京五輪を控えて世界の目が日本に集まる中、より実効性のあるサイバーセキュリティ管理態勢の構築が必要であると取組方針をさらにアップデートし、この動きが金融業界をはじめとする各企業のサイバーセキュリティへの取組みを加速させているのは間違いありません。
薩摩 2016年、バングラデシュの中央銀行のシステムに攻撃者がマルウェアを利用して侵入するという事件が起きました。このときは犯人によって巨額の不正送金がなされ、同行は莫大な損失を被ってしまったのです。中央銀行は日本で言えば日銀に相当します。このような銀行が被害を受けたことは世界中に大きな衝撃を与え、日本の金融機関も本腰を入れてサイバーセキュリティ対策に取り組むようになりました。
S. A 我々KPMGインドは世界各国の金融機関で発生しているセキュリティインシデントの対応を支援しています。KPMGはサイバーセキュリティの分野において世界的なトップリーダーだと自負しています。KPMGにはサイバー攻撃にまつわるスレットインテリジェンス(脅威情報)が豊富に蓄積されており、我々の知見は他の追随を許しません。
──クライアントのシステムに対して擬似的に攻撃を行うプロジェクトとのことですが、詳しく教えていただけますか。
薩摩 本プロジェクトも金融系のクライアントになります。クライアントからの依頼を受けてプロジェクトが発足、クライアントのサイバーセキュリティ対策が本当に実効性のあるものかどうかを検証していきます。ここでは、我々KPMG側が攻撃者役となってクライアントのセキュリティシステムに実際に攻撃を仕掛けます。この攻撃者役、つまりサイバー攻撃の犯人役のチームを「レッドチーム」と呼びます。今回の案件で「レッドチーム」の中心的なメンバーとなったのがK. KとR. M、そしてKPMGインドのA. Mでした。
A. M 私はKPMGインドのオフィスから遠隔で参加しました。打ち合わせ等はビデオ会議などで行いました。レッドチームとしてのサイバー攻撃も、現実のサイバー攻撃者と同様にインターネット経由で行いました。
R. M 今回は、クライアントの実際のネットバンキング内にあるセキュリティで守られた領域に、攻撃目標となるダミーファイルやダミーアカウントを用意していただきました。そして実際のサイバー攻撃者と同様にインターネット経由でネットバンキングにアクセスし、システムの脆弱性や設定不備、抜け道を探して攻撃するなど、様々な手法を用いてシステム内部への侵入と目標の奪取を試みました。セキュリティを突破してログインできると、やはり達成感を感じます(笑)。
K. K 確かに達成感はあるね(笑)。
A. M 遠隔操作ツール(RAT=Remote Administration Tool)をクライアントのシステム内に仕掛け、遠隔操作を行って管理者権限を奪取するというようなこともあります。ただ、こうした攻撃で重要なのは、“やり過ぎない”ということです。
攻撃者は秘密裏に攻撃を行いますが、我々の攻撃がディフェンス側であるクライアントに容易に検知されてしまったら演習の実効性が損なわれます。また、実際に稼働しているシステムに対して攻撃を行うわけですから、本当に情報漏えいやシステム停止を起こしてしまわないよう、ギリギリのところで止めておかないといけません。実害を発生させたらクライアントとユーザーに多大な迷惑をかけてしまうし、社会的な大問題にもなりかねませんから。攻撃者の行動を可能な限り再現して攻撃可能性を検証しつつ、実害が出るほど不可逆な攻撃になってしまっていないか、そのギリギリのところを見極めて仕掛けていくところが、サイバーセキュリティのプロとしての腕の見せどころですね。
S. A サイバー攻撃だけではなく、リアル(現実世界)での擬似攻撃も「レッドチーム」として実施する場合があります。わかりやすいところでは、顧客のふりをしてクライアントのコールセンターに電話をかけて「パスワードを忘れてしまった」と偽り、パスワードを聞き出そうとするようなことも行います。案件によっては、社員や取引業者のふりをして実際にクライアントのオフィス内に侵入するというケースも考えられます。要するに、サイバー、リアルを問わず、攻撃を行う犯人が取り得るあらゆる行動が対象となります。攻撃していることがすぐに見破られてしまっても意味がありません。電話でパスワードを聞き出そうとするときも、すぐにフェイクだと見破られないよう、コミュニケーション力も必要です。
薩摩 コミュニケーション力は、我々の仕事にとって非常に重要ですね。我々攻撃側が「レッドチーム」と呼ばれるのに対して、ディフェンス側のクライアントは「ブルーチーム」と呼ばれます。そして案件全体を統括するのが「ホワイトチーム」であり、「レッドチーム」だけでなく「ホワイトチーム」の支援も行います。「ホワイトチーム」との調整・連絡にも正確なコミュニケーションが必要です。サイバーセキュリティと聞くと、部屋に閉じこもってコンピュータだけを相手にしているというイメージを持たれがちですが、そんなことはまったくありません。人とのコミュニケーションはとても大切な要素です。
──「レッドチーム」の疑似攻撃が終わるとどうなるのですか。
薩摩 案件にもよりますが、疑似攻撃はおおよそ1ヵ月ほど行われます。その間「ブルーチーム」ではログを取っておき、後で「レッドチーム」の攻撃と突き合わせて振り返ります。ディフェンス側であるクライアントが、我々の攻撃を検知できていたか、検知した攻撃に対して有効な防御策を発動できていたかを検証するのです。例えば、疑似攻撃が行われた際にシステムからアラートが出ているか、アラートに対して対応が行われたか、昼間と深夜とでは対応に差はなかったか、などを検証していきます。
R. M アラートが出ているのに、担当者が見ていなかったというケースは結構ありますね。
K. K アラートが鳴っても「またか」と、“オオカミと少年”のような扱いをしていた、というケースもあります。システム面の脆弱性だけではなく、人為的なオペレーション面でのセキュリティ体制の脆弱性をも突き止め、より強固なセキュリティ体制を構築していくためのサポートへとつなげていきます。
薩摩 今ご紹介したような、シナリオに即した疑似攻撃によるセキュリティの評価方法は、「レッドチーム演習」あるいは「脅威ベースペネトレーションテスト(TLPT=Threat-Led Penetration Test)」と呼ばれます。よく混同されるのですが、単なるペネトレーションテストというものもあって、これはシステムの脆弱性や弱点の発見だけを目的としたシンプルな調査です。それに対して我々が手がけるレッドチーム演習は、実際のサイバー攻撃に似せた様々な攻撃を通じてシステム面・オペレーション面での脆弱性を発見し、さらにより強固なセキュリティ体制をどう構築すべきか、規約の策定といったレベルにまで踏み込んだ提案を行います。報告する相手も、通常のペネトレーションテストの場合はシステム担当者レベルであるのに対し、我々の相手はクライアントの経営陣になるという違いもあります。つまり、企業のリスクマネジメントそのものに貢献できるという点が大きな違いでしょう。これはSIerやITベンダーと、コンサルティングファームとの違いと言ってもいいかもしれません。
R. M 私は前職がITベンダーだったのでよくわかるのですが、ベンダーだとどうしても自社製品に結びつけた提案を行わなくてはなりません。KPMGではそういう縛りもなく、クライアントにとってベストなソリューションを提案できる点が嬉しいです。
K. K テクノロジーを見ながらマネジメントも見る、という面白さがあります。私の視野もずいぶん広がったと感じています。
──KPMGインドとの連携は今後さらに強くなっていくのでしょうか。
S. A 2018年からセキュリティなどの分野で、我々KPMGインドとジャパンは連携を深めることでシナジーを高め、クライアントに対してより価値ある貢献をしようという取組みを進めています。Takato S.もKPMGインドのオフィスに足を運んでくれ、お互いのリレーションを深めることができました。
薩摩 S. AやA. Mをはじめ、KPMGインドは極めてハイスキルな人材を擁しており、この分野ではまさに世界トップレベルにあると実感します。例えば、バグバウンティ(脆弱性報奨金制度)の常連や銀行ATMのハッキングチームがあるなど、専門性だけでなく多様性もあり心強いですね。
K. K A. Mたちとは、“わかってるなあ!”という感覚で仕事ができるんです(笑)。C言語だからどうする、Javaだったら、みたいなレベルの話じゃなくて、セキュリティの本質のところで同じステージに立ってわかりあえている実感がある。セキュリティのプロフェッショナル同士が仕事をしているという手応えは、とても心地いいですよ。
R. M 彼らと同じチームで仕事ができるというのは、まさにKPMGならではの魅力ですね。社交性も高いですし、ハイコンテクストなコミュニケーションができます。
A. M 日本のメンバーと同じプロジェクトで仕事をしたのは初めてでしたが、まったく違和感なく、楽しくできました。
──今後、活躍の場はさらに広がっていきそうですね。
薩摩 間違いないですね。ミッションクリティカルな要素が高いということで、まずは金融業界からこうした疑似攻撃を使った防御策の有効性評価が広がっていきました。
K. K 次はインフラ系、そして各業界のリーディングカンパニーへと広がっていくでしょう。冒頭でR. Mが例に挙げた医療系でのニーズも高まっていくと思います。
薩摩 “何をどう守るか”という基本的な枠組みを構築するうえで、現実的なリスクに即した疑似攻撃を行ってみるという方法は、その出発点といえるほど重要です。そうした重要な取組みを、世界トップレベルの知見を有するインドのチームと一緒にできたことは、非常にやりがいを感じました。
R. M 金融系、政府系といった、真っ先にサイバー攻撃の矢面に立つクライアントをサイバー攻撃から守るということは、ひいては日本や世界全体のサイバーセキュリティに関する取組みを向上させることに通じると思います。そういった活動にテクノロジーとマネジメントの両面から寄与できることは私たちの大きな誇りです。