日本マイクロソフトは2月26日、年次のセキュリティカンファレンス「Microsoft Security Forum 2024」を開催した。基調講演では、セキュリティインシデントの経験を基にセキュリティと事業継続の確保や生産的な働き方の両立を目指すスカパーJSATや大阪府立病院機構 大阪急性期・総合医療センターが取り組みを発表した。
なりすましの不正アクセス攻撃を経験したスカパーJSAT
スカパーJSATは、2023年6月にサイバー攻撃者のなりすましによる不正アクセス攻撃を受け、取引先や従業員の個人情報が漏えいするインシデントを経験した。講演では、情報システム部長の阿曽村一郎氏が「事業継続を見据えた、当社OAネットワークの現在のセキュリティ対策と今後の計画」と題して、現状を紹介した。
スカパーJSAT 情報システム部長の阿曽村一郎氏
同社は、アジア地域最大規模の衛星通信事業者であり、船舶・航空や遠隔地、災害時などの放送・通信を担う重要インフラ企業でもある。阿曽村氏は、同社のオフィスオートメーション(OA)環境におけるセキュリティ対策の考え方として、「重要インフラを担う立場として事業継続の確保が必須であり、セキュリティは最優先事項。侵害を前提とする設計が重要になる」と述べた。
2023年6月に発生したインシデントは、まず攻撃者が同社ネットワークへ侵入を図るも失敗し、次に関連会社のVPN経由で侵入。これに成功して関連会社のPCを乗っ取り、正規のアクセス権を不正に取得した。さらに関連会社と同社子会社との間のVPNを介して侵入範囲を広げ、最終的に同社へ侵入した。阿曽村氏は、正規のアクセス権の悪用による侵入の検知が難しいと指摘する。
従前のセキュリティ対策は、多要素認証やメール起点の標的型攻撃、ウェブ経由のマルウェア感染、データの持ち出しの防止だったという。このインシデントで、新たに関連会社からの侵入リスクやネットワーク全体の監視体制の不足、ログの管理や分析の不備などが新たに課題として顕在化した。
そこで包括的な再発防止策として、関連会社の対策ではVPN接続の停止、監視体制の強化ではエンドポイント型脅威検知・対応(EDR)での端末監視やセキュリティ情報イベント管理(SIEM)によるログの統合管理や分析、経路別のリスク評価を実施。これらを支える仕組みとして、マイクロソフトの「Microsoft 365 E5 Security」を中心とする各種セキュリティソリューションを統合的に活用している。
例えば、侵入段階への備えでは「Microsoft Defender for Office 365」によりフィッシングメールの不正サイトへのリンクやマルウェア添付に対処し、万一の侵入と攻撃者の不不正通信などへの対策には「Microsoft Defender for Endpoint」を活用。正規のアカウント情報の窃取や悪用による攻撃者の侵入拡大には、「Entra ID Protection」や「Microsoft Defender for Identity」を利用してIDの不審な利用などの監視、検知、遮断を講じる。また、追加事項として、SaaSアプリケーション利用時の保護として「Microsoft Defender for Cloud Apps」の利用を検討中だという。
スカパーJSATでのセキュリティ対策例
阿曽村氏は、事業継続性の確保する上でサイバーリスクを最小化することが重要だと話す。それには、サイバー攻撃の全容を踏まえた対応が必要になるが、従来の方法では不十分だったため、広範なマイクロソフトのセキュリティソリューションを採用して対応できる体制を目指していると説明した。
なお、E5 Securityでカバーしていないほかのシステムやサービスなどの監視と対応では、SIEMの「Microsoft Sentinel」を用いている。これにより、常にログを分析可能な状態で保持し、長期におよぶ侵害攻撃にも調査対応などを取れるようにしている。
今後の取り組みでは、セキュリティオペレーションセンター(SOC)を導入して24時間体制で脅威の監視と対応を行い、万一のインシデントに即時対応するインシデント対応チームを設置するという。マイクロソフトのセキュリティ向け生成AI機能「Security Copilot」も活用して、セキュリティ運用や脅威対応における業務の効率化や迅速化も図っていくという。
阿曽村氏は、万一のサイバー攻撃などにも事業を止めないセキュリティ対策が重要であり、脅威の侵入を未然に防ぐだけでなく侵入後の被害を最小減に抑える設計が肝心だと語った。