サイバー攻撃の「狙い目」を知るために電源遮断する例も――NICT園田氏が語るアタックサーフェス管理の意義：ITmedia Security Week 2025 春

2025年5月、「ITmedia Security Week 2025 春」で、国立研究開発法人 情報通信研究機構（NICT） サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター センター長の園田道夫氏が「いま、そこにある（サイバーの）危機」と題して登壇した。

[宮田健，＠IT]

　サイバーセキュリティの現場で言及されることが増えてきた「アタックサーフェス」（攻撃対象領域）とは何か。本講演では、攻撃者の思考をシミュレートしてアタックサーフェス管理の考え方を読み解きながら、従来のサイバーセキュリティとの差異や期待効果、さらには陥りがちな“わな”などが語られた。

　人材育成にも力を入れる園田氏から、どのような提言があったのか。本稿では、講演内容を要約する。

国立研究開発法人 情報通信研究機構（NICT） サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター センター長 園田道夫氏

変貌するサイバーセキュリティの脅威――牧歌的な時代から悪夢へ

　園田氏は冒頭、アタックサーフェスを「簡単にいえば、攻撃者が攻撃できる入り口や弱点のこと」と述べる。かつて情報資産を守るセキュリティは「境界型防御」の考え方が主流だった。これは、資産価値のある情報がどこに存在し、どこに移動するかを把握し、その出入り口を制限、防御するもので、「洗い出しには相当な作業が必要だが、出入り口が少ない時代なら有効だった」と園田氏は指摘する。

　しかし、そんな平和な時代は終わってしまった。コロナ禍を経てオンラインが日常となり、VPN（仮想プライベートネットワーク）、リモートデスクトップ、スマートフォン、IoT（モノのインターネット）機器、クラウド、グループ企業など、外部との接点や弱点となる可能性のあるものが爆発的に増加している。「これはまるで悪夢のようだ」（園田氏）

悪夢のように増える接点（園田氏の講演資料から引用）

　園田氏は加えて、「この悪夢は見覚えがある」と話す。過去にもP2P（Peer to Peer）ファイル共有ソフトウェアの流行で、ネットワークの境界が“溶けた”時代があった。それと同じように「現代は、便利さを追求する欲求がテクノロジーの進化を促し、セキュリティが後付けになった結果、さらに境界が溶けている」と園田氏は強調する。これこそがタイトルにもある「いま、そこにある危機」だ。

　日本全体の生産性向上が不可欠な中で、DX（デジタルトランスフォーメーション）は加速し、インターネットのWebサイトは情報発信媒体から物販・サービスのプラットフォームへと機能を複雑化している。複雑さは増加の一途をたどっており、それが悲劇を予感させる。開発するのはセキュリティの専門家でも、訓練を十分受けたスタッフでもない。専門家を自組織の中に抱え込むことは難しく、助力を頼むことすら叶わない。

　最大の弱点となるのは「人間」だ。「システムはパッチで対処できるが、人間のリテラシー向上は難しく、ミスやサボり、体調不良など不安定な要素を抱える」と園田氏は指摘する。加えて攻撃者側はプロフェッショナル化しており、守る側は「穴だらけの盾」で戦うような不利な状況にある。

穴だらけの盾でどう守れるか（園田氏の講演資料から引用）

攻撃増加の根源：サイバー犯罪の「ビジネスモデル」化

　サイバー犯罪の被害額は9年間で3倍以上、9.5兆ドルに達しており、インターネットバンキングやクレジットカードの不正利用、ランサムウェア（身代金要求型マルウェア）被害なども高い数値で推移している。日本でもインターネットバンキングにおける不正送金被害が無視できない状況だ。

サイバー犯罪被害額の推移（園田氏の講演資料から引用）

　なぜここまでサイバー攻撃が増えてきているのだろうか。それは「もうかるからだ」と園田氏。このもうけの背景には、悪人たちの間で強固なビジネスモデルが構築されていることが挙げられる。これは「悪のX as a Service」（XaaS）と称されるような、マルウェア、DDoS（Distributed Denial of Service attack）、エクスプロイト、ランサムウェアなどのサービスに加え、インフラ提供やワンストップでのヘルプデスクまで、プロフェッショナルなサービスが提供されている。これにより、資金さえあれば誰もがサイバー攻撃市場に参入できるようになり、参入障壁が劇的に低くなっている。

悪の「X-as-a-Service」（園田氏の講演資料から引用）

　「表の世界のXaaSと同じ理屈で、会費としてサブスクリプションのお金が定期的に入ってくるのは、ビジネスにとって非常にいい要素になってしまっている。収入が見込める以上、投資されやすく、品質や安定性の向上も見込まれる。結果として攻撃の精度が高まり、知識がなくても金さえ払えばサイバー攻撃が可能な世界になってしまった」（園田氏）

　攻撃者は難しい技術的側面をサービス提供者に任せ、攻撃対象の情報収集と分析に注力できるようになる。「側面攻撃、テレワークポリシーの悪用、クラウド経由での認証情報取得など、これまでになかったタイプの攻撃が出現している」と園田氏は述べる。以前は不安定で成功率も低かった攻撃が、このXaaS化によって劇的に効率化され、頻繁に発生するようになったのだ。

防御側の新たな困難：国際化、テイクダウン、生成AIの功罪

　サイバー攻撃の国際化も防御を困難にしている。翻訳ツールの進化によって言語の壁が低くなり、規制が追い付かない国や規制のない国を攻撃者は巧みに利用して攻撃を仕掛けることが可能になった。国際情勢の不安定さも相まって、各国間の連携による規制は非常に難しい問題となっている。もはや水際の感染防止は専門家でも見分けがつかなくなっており、一般人に強いることもできない。

国際化によってテイクダウンも難しくなった（園田氏の講演資料から引用）

　一方、2024年には「LockBit」のテイクダウンが大きく報じられた。しかしこれも一時的な効果にとどまり、犯罪者たちは他のサービスに乗り換えるなど、いたちごっこが続いている。「BlackCat」のように犯罪組織内部での信用問題に起因する「持ち逃げ」のような内部崩壊も報告されている。犯罪者たちのXaaS内部も信用の上に成り立っていることが分かる。

　さらに、生成AI（人工知能）の出現は善悪の両方に影響を与えている。専門家の生産性を向上させる一方で、犯罪者予備軍の参入障壁を著しく低くしている側面がある。知識がなくても、サイバー犯罪に生成AIを利用し、逮捕される事例も出てきている。生成AIサービス提供側の「フィルター」による安全対策は曖昧な指示の解釈があったり、フィルターを備えない生成AIサービスが登場したりしており、完全な防御は難しい状況だ。

生成AIは攻撃側にとってどう役立ってしまっているのか（園田氏の講演資料から引用）

　生成AIサービス提供側が、倫理観を持っていればフィルターによる対策もできるが、悪意あるものが一から生成AIを作ってしまえば、好き放題にそのパワーを使えてしまう。園田氏は「フィルターを完全に外した、社会的倫理感に適合しない、悪魔回路のような生成AIも想定できる」と警鐘を鳴らしているが、現時点ではそこまで大きな脅威にはなっていないようだ。

　このように、サイバーセキュリティの世界では、攻撃側と防御側が常に新しいアイデアを巡って攻防を繰り返す「いたちごっこ」が継続しており、先端技術の研究成果が悪用される可能性といった倫理的な問題もはらんでいる。

現代における防御戦略：アタックサーフェス管理、可視化、そしてプロとの連携

　園田氏はここまでの要点を「犯罪者は簡単に攻撃できる一方、人間という大きな弱点を抱えながら防御することは、多くのハンディキャップがある」とまとめる。その上で「ならば、システムだけでもなんとかする。比較的簡単に守れる大きな穴をなんとかする。それが攻撃の狙い目をふさぐという意味で“アタックサーフェス”が必要とされる理由だ」と指摘する。まずは、穴だらけの盾をなんとかするという考え方だ。

だからこそ必要な「アタックサーフェス」管理（園田氏の講演資料から引用）

　現代のセキュリティにおいて、単に資産価値のある情報に注目するだけでは不十分だ。アタックサーフェス管理では、まず発見、把握が必要となる。具体的な課題としては、「野良○○」「放置××」といった従業員が勝手に導入して放置されてしまった機器やサービスをいかに発見、把握するかだ。

　対応するには、IPアドレスやドメインを基にしたサービス利用やヒアリングが必要になる。園田氏が「場合によっては物理的に電源を遮断して、悲鳴が上がるところをチェックするといった過激な事例もある」と明かすほど、網羅的な把握は困難だ。

　特にテレワークが普及した現在は、従業員の在宅ネットワークまで考慮する必要がある。組織が個人宅のネットワークに介入することは常識的に考えても不可能に近いので、申告や利用ルールの徹底に頼らざるを得ない。同様にクラウドサービスや関係会社、取引先などのセキュリティ品質も把握、管理が難しい。園田氏も関わる情報通信研究機構（NICT）の実践的サイバー防御演習「CYDER」（サイダー）においても、短時間で実施できるオンラインのプレCYDERで、VPN装置から侵入されるシナリオや、協力会社におけるずさんな管理実態を題材にしたシナリオ、またクラウドの一穴から侵入されたシナリオなどが含まれているという。

接点として把握しづらいもの（園田氏の講演資料から引用）

　それらを把握したとしても、それをどう管理するかが次の課題になる。現場が我慢できる程度の不自由さで、いかに生産性を維持、向上させるか、そして破られないルールを作成、運用できるかが重要だ。「向上させられないのならば、それを導入した意味があるのかといった話が出てくる。これを両立させることは難しい」（園田氏）

　これら多岐にわたる複雑な要件を、自社だけで全て把握し、管理し続けることは、コストパフォーマンスを考えると非常に困難だ。多くの場合、プロの専門家に頼ることが現実的な選択肢となる。特に小規模な組織では、専任の担当者を置くことが難しいため、ベンダーとの協力が不可欠と言える。

　園田氏は最後に「AIの進化により、将来的には自社で完結できる部分も増えるかもしれないが、当面は信頼できる専門家を見極めて連携することが現代のサイバーセキュリティで最も重要な戦略となる」とまとめて講演を締めくくった。

資産管理だけでなく、「狙い目」（狙われ目）を把握せよ（園田氏の講演資料から引用）