ラックの監視サービスとエルテスの内部不正対策が強力に連携、セキュリティインシデントの8割をカバーへ

セキュリティベンダーのラックとエルテスは、2021年12月に業務提携を交わしました。ラックが得意とするサイバー攻撃対策と、エルテスが得意とする内部不正対策を組み合わせ、セキュリティ対策のカバー範囲を広げるのが狙いです。

具体的には、平時の対応として、情報漏えいなどのセキュリティインシデント（事故）を予防するための監視活動を高度化します。さらに、有事（インシデント発生時）の対応も高度化します。今回、エルテスの代表取締役社長を務める菅原貴弘氏とラック代表取締役社長の西本逸郎が、両社の連携の狙いについて対談しました。

不正アクセスなどのサイバー攻撃の監視はラックが得意とするセキュリティ領域。外部からの不正侵入やマルウェア感染などを早期に検知して防御するための監視サービスを提供しており、独自のセキュリティ監視センター「JSOC」も運営しています。インシデントに対応するサービスも提供しています。

一方、エルテスが得意とするセキュリティ領域は「内部不正の検知」です。メール送受信やファイル操作のような従業員の行動が分かるログデータを相関分析し、内部不正の予兆を検知します。さらにエルテスの菅原氏は、インシデント発生時の風評被害への対策などソーシャルリスクの管理も得意とすることについても触れます。

ラックが運営する「サイバー救急センター」に届くインシデントの相談のうち、サイバー攻撃は7割、内部不正が1割を占めています。このため、サイバー攻撃に強みを持つラックと、内部不正対策に強みを持つエルテスが組むことで、セキュリティインシデントの8割をカバーできるようになるわけです。

外部からの攻撃へのガードが堅くなり、内部からの攻撃にシフト

「現在のサイバーセキュリティは、不正アクセスやマルウェアなどの外部脅威への対策だけでは足りなくなっている」と西本は指摘します。こうした外部からの攻撃へのガードが堅くなっていることから、攻撃者の視点は従業員のIDとパスワードを盗み出し、正規の従業員に成りすまして情報を搾取するといった手法へと移りつつあるといいます。結果として従業員が不正を犯してしまう、内部不正への対策の重要度が増しているとの見解です。

西本によると、サイバー攻撃者による初期の攻撃は、ファイアウォールやIDS/IPSのような境界型セキュリティを打ち破って侵入する派手な攻撃でした。例えると、強盗のようにバールでドアを破るようなものだったわけです。業務サーバーなどへの直接の不正アクセスに加えて、Webアクセスやメールを介して、従業員のPCをマルウェアに感染させる攻撃も一般的でした。

しかし、現在のユーザーは、以前よりもガードが堅くなっています。マルウェアに侵入されることを前提に、「侵入したマルウェアの行動をいかに素早く検知して対処するか」というアプローチに変わってきています。このための製品ジャンルとして、EDR/NDRといった対策が急速に普及し始めているわけです。この結果、不正アクセスやマルウェアなどの以前の方法では、攻撃が成功しにくくなってきています。

こうした変化を受けて攻撃者は、ID／パスワードといった従業員のクレデンシャル情報を盗んで本人に成りすまし、正々堂々と情報を盗んでいくようになっています。実際に、ID／パスワードを取得するためのフィッシングサイトは増加の一途をたどっています。また、メールアドレスをIDとして使うサービスが多く、パスワードを使い回しているケースも多いことから、会社のリソースにアクセスするためのID／パスワードが漏えいしやすくなっているという背景もあります。

成りすましや内部不正のように、社外の脅威と社内の脅威の境界が曖昧になった世界では、内部不正に対策する技術の重要性が増します。成りすましの行動を、従業員の行動や振る舞いをもとに検出する必要があるからです。

この用途に、エルテスの内部不正検知サービスが役立つわけです。一方、エルテスから見ても提携のメリットは大きいとエルテスの菅原氏は話します。「例えば、攻撃者が利用するサーバーの情報や攻撃者の特徴といったサイバー攻撃情報をラックから得られ、ログデータ分析の中で、正規ユーザーになりすました外部攻撃を検知や、外部攻撃によって空いてしまったセキュリティーホールの発見なども可能になります」（菅原氏）

産業スパイは製造業など多くの企業に共通するリスク

内部不正への対策は、一部の企業だけの問題ではなく、多くの企業にとって重要なテーマと西本は指摘します。「内部不正が表沙汰になるのは、個人情報が関わったケースだけです。営業機密が盗まれたケースで、あえて発表する企業はないでしょう」（西本）。ラックへの相談の10％が内部不正関係であるように、世の中で起こっている内部不正は相当数あると推測できます。

ユーザー企業が抱える内部不正の主なリスクは産業スパイだと西本は続けます。内部関係者がデータを持ち出して、他社や他国に引き渡すといった具合です。サプライチェーンにおける内部不正も重要になってきます。「製造業は開発競争にさらされているので、書類の持ち出しだけで大きな影響が出る」（西本）。また、金融機関などでは、インサイダー取引も発生します。

海外に事業を展開しているグローバル企業では、退職者がデータを持ち出す事案が問題です。退職時にデータを持ち出すケースは残念ながら少なくないのが実情。「内部不正は当たり前という前提で仕事をすることが大切」と西本は示します。特に、Microsoft TeamsやSlackなどコミュニケーションのデジタル化が進むことによって、データの持ち出しは以前よりも容易になっているのが実情です。

菅原氏も「日本の場合、従業員を信用する企業文化があるので、情報を抜かれやすい」と指摘します。「退職の意思表示をした後、1カ月間程度社内にとどまるケースが多い。この間に情報を抜かれてしまいます。リモートワークの環境も、従業員の行動を把握しにくいので、情報が盗まれやすくなっています」（菅原氏）。

内部不正の観点がこれからの時代には必要

菅原氏は、エルテスが内部不正対策に取り組む理由について、「インテリジェンス（情報）と連動したサービスをやりたかった」と説明します。「日本のセキュリティはインテリジェンスを使わない方向に進んでおり、相手の攻撃手法や、相手自体に関心がありません。需要があるが足りていないサービスとして、内部脅威への対策となるサービスを立ち上げました」（菅原氏）。

西本によれば、ラックは不正アクセスの観点でセキュリティ対策を捉えてきました。ファイアウォールやIDS/IPSによる境界防御、侵入したマルウェアを検知して対処するEDR、ID／パスワードの盗難による成りすましや内部不正に対する行動監視や特権ID管理、などが具体例です。

これに対してエルテスは、最初から内部不正の観点でセキュリティ対策を捉えています。こうしたエルテスの観点とラックの観点がつながることで新たな事実が見えてくる、と西本は期待しています。従業員が急に夜間に働き出したとか、今まで関わらない部署の部分と関わり始めたなど、普段と違う従業員の行動が見えてくるわけです。

有事の際のインシデント対応においても、エルテスのソーシャルリスク管理サービスが役立ちます。ラックは、フォレンジック調査やマルウェア解析、侵入手口の解析などを得意とする一方、エルテスは、炎上対策や流出情報の調査といったソーシャルリスク管理を得意とします。2者が協力することで、対応可能なインシデントの範囲が広がるわけです。

将来はスマートシティを見守るサービスを提供

ラックとエルテスは、協業を生かして、順次新たなリスク対策サービスを提供していきます。将来的には、2者がともに着目している分野として、スマートシティを見守るビジネスに進出したいという構想を持っています。

概念的には、「ラックは『脅威となる道具』を見つけることが得意。エルテスは『辺りをうろついている不審者』を見つけることが得意です。2者の得意分野を組み合わせれば、スマートシティ時代のセキュリティに貢献できる」と西本は話しています。