JPCERT/CCアナリストに聞く、
サイバー攻撃激化時代の初動対応戦略

サイバー攻撃が激しさを増す中、企業の多くは、こうした脅威に備えてさまざまなセキュリティソリューションを導入し、対策を講じています。しかし、サイバー攻撃のリスクをゼロにすることはできません。むしろ「攻撃を受けること」を前提に備える姿勢が求められています。重要なのは、攻撃や事故が発覚した際に、いかに迅速かつ的確に初動対応を行えるかという点です。

今回はJPCERTコーディネーションセンター（以下、JPCERT/CC）で脅威アナリストとして活動している佐々木勇人氏をお招きし、NTTドコモビジネスでセキュリティソリューションの開発・セールスを担当する門田剛、同社が提供する「マネージドSIEM/SOAR」の開発責任者である加藤淳也との鼎談を実施。サイバー攻撃が高度化する今、企業が改めて知るべきセキュリティインシデント対応時の重要ポイントについて探ります。

---

調査・対策コストの高いインシデントが増加する時代に

門田剛（以下、門田）：佐々木さんは、JPCERT/CCにてインシデント対応の支援や注意喚起、企業や業界ごとの情報共有の支援を行われています。最近の脅威について、最新動向を教えてもらえますか？

佐々木勇人氏（以下、佐々木氏）：まず、報道などでサイバー攻撃件数が増えていると言われていますが、必ずしも実態を捉えているとは言えません。ここ4～5年で被害規模が大きいランサムウェア攻撃が増加していることは間違いないのですが、表面化したものが増えたというのが正しい見方になります。

それを踏まえて当センターから見た場合、インシデント対応をしなければならない規模の事案への遭遇率が増えました。従前はヒヤリハット的だったものが、今はネットワーク機器の脆弱性が出た瞬間にバックドアが仕掛けられていたというように、インシデントのレベル感が全く異なり、調査や対策にコストがかかる事案の割合が増えています。実際に、脅迫につながっているケースも少なくありません。

門田：当社が相談を受ける中でも、海外拠点のVPN機器から侵入されるサプライチェーン攻撃が増えていると感じています。脅威が認知される件数が増えた理由は何でしょうか？

佐々木氏：3つの複合要因があります。1点目は、セキュリティ製品の導入に伴いアラートが増えたことです。今まで気づかなかったインシデントも可視化されるようになりました。2点目は、国内の個人情報保護法改正です。漏えいなどが起きてから3~5日以内の報告が義務化されたため、報告件数が増えたのです。3点目は、海外や取引先の事案が自社の情報漏えいにつながるというように、インシデントの形態や類型が増えたことです。

ランサムウェアも被害に遭った直後の相談より、途中で検知された段階での相談が増えつつある印象です。数年前なら内部でクローズしていたレベルのものでも相談が来るようになりました。

門田：企業の意識改革が進んできているのですね。当社のセキュリティソリューションである「マネージドSIEM/SOAR」へのニーズが高まっている背景にも、同じことが言えるのでしょうか？

加藤淳也（以下、加藤）：はい、やはりランサムウェアが契機になっていると感じています。近年のサイバー攻撃は分業化やビジネスモデル化が進み、攻撃スピードがとても速くなっています。その中で被害を最小化するには、攻撃を迅速に捉えて早期に封じ込めることが大切という意識が高まっています。それゆえに、SIEMでインシデントを検知してSOARで迅速に対応するというニーズが増えてきているのです。

企業に求められる「事前対策」と「事後対応」