アサヒとアスクルへのランサムウェア攻撃、考えざるを得なくなった“設計の限界” LYZONが指摘：求められるセキュリティ総合力とは何か

アサヒグループホールディングス、アスクルなど著名企業へのランサムウェア攻撃が相次いでいる。こうした事態を受け、企業が改めて確認すべきセキュリティ対策について、システム構築を手掛けるLYZONが指摘した。

[＠IT]

　アサヒグループホールディングス、アスクルなどの著名企業が立て続けにランサムウェア（身代金要求型マルウェア）の被害に遭っている。受注や出荷、生産を停止する事態に陥り、社会に大きな影響が及んでいる。日本企業を狙ったサイバー攻撃がこれまでに増して取り沙汰されている状況だ。

　相次ぐサイバー攻撃とそれに伴う業務停止の事例から明らかになるのは、企業が想定を超える攻撃手法への備えを十分に整えられていない現実だ。一定の対策を取っていても検出し切れない巧みな攻撃グループと企業は対峙していることになる。

アサヒ、アスクルへの攻撃で浮き彫りになる、既存システムの限界

　こうした中、システム構築を手掛けるLYZONは、ブログでアサヒグループホールディングスやアスクルを巡るサイバー攻撃を取り上げ、企業に求められているサイバーセキュリティ戦略について考察。「攻撃を前提とした設計」と、「全社的なセキュリティ総合力」が企業に求められていると指摘した。

セキュリティ総合力に欠けている要素

　アサヒグループへの攻撃では、複数の業務システムが連鎖的に停止した。システム間の依存関係が強かったことを示しており、以下のような対策によって組織全体でのセキュリティ総合力を高める必要性を再認識させた。

• ネットワークのセグメンテーションと通信制御
• 権限管理とアクセス制御
• 監視・検知体制の自動化
• インシデント発生時の封じ込め設計

設計段階から考慮すべき対策

　サイバー攻撃に対する耐性を高めるにはシステムの設計の段階からセキュリティを組み込むことが欠かせないが、実際には、機能性や利便性を優先するあまり、セキュリティ層の分離や冗長構成といった設計要素が後回しにされるケースが少なくないという。攻撃を受けても業務全体に影響が及ぶことがないよう、各層を論理的に分離し、影響範囲を限定する設計が重要になる。

攻撃を前提にした設計

　基本的にはサイバー攻撃を受けることがあることを前提にして、それに「いつ気付けるか」「どこまで耐えられるか」の時代へと変わりつつある。LYZONは企業が取るべき重要な対策として以下4点を挙げている。

• 攻撃を前提にしたシステム分離・冗長化設計
  • 被害を受けても業務が継続できるアーキテクチャを整備する
• 多層防御による侵入経路の最小化
  • 入り口、内部、出口それぞれで段階的に封じ込める。
• EDR（Endpoint Detection and Response）の導入と活用
  • 端末レベルでの振る舞い監視と、異常検知・自動隔離を行う
• セキュリティ運用の標準化と教育
  • ヒューマンエラーや構成ミスを減らすため、組織全体で運用力を磨く

　いずれもここ数年で広く指摘され、対策手段もそろっているものが並ぶが、それらが話題や関心に終わっていないか、自社の現状と実装を点検しておくべきだろう。