ラック西本とCymulate CEOとCTOが語る、最新の攻撃を再現する「BAS」という次世代セキュリティ対策

BAS（Breach and Attack Simulation）という新たなセキュリティジャンルに注目が集まっています。米ガートナーが発表した「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2022年」は、製品ジャンルとしてのBASが黎明期の最後に差し掛かっていることを伝えています。しかし、日本のユーザーにはまだBASが浸透しているとはいえない状況です。

ラックは2021年から、BASツールを提供するイスラエルのCymulateと協業しています。企業が実施するセキュリティ対策が最新のサイバー攻撃に対して有効かどうかを検証できるツールとしてのBAS製品を提供している企業です。

今回、Cymulate CEOのEyal Wachsman氏とCTOのAvihai Ben-Yossef氏が来日し、当社社長の西本逸郎と対談しました。ユーザー企業が抱えるセキュリティ上の課題と求められる対策に関して、実りの多い意見を交換しました。その様子をお伝えします。

BASが自動かつ継続的に新たな脅威を確認

──BASへの注目度は高まっているということですが、日本のユーザーにはまだ十分に伝わっているとは言えません。CymulateのBASツールは、ユーザーの課題をいかに解決できるのでしょうか。CymulateがBASの事業を始めるに至った経緯を含めて教えてください。

Eyal氏

Cymulateを設立する以前、様々な組織が毎年巨額の費用を払ってセキュリティの製品サービスに投資をしている状況を目の当たりにしてきました。ユーザーは、こうした従来型の製品やサービスが、本当に効果があるという確信を得られていません。そのため、セキュリティの製品やサービスの市場を変えていかなければならないと感じました。

ユーザー企業は、セキュリティ事故や新たな攻撃手法に関するニュースを日々目の当たりにし、自社がどのくらい安全なのか、今この瞬間安全だと考えていいのかを知りたいと考えています。また、今この瞬間の状態だけではなく、継続的かつオンデマンドで、自社が安全かどうかを確認できるシンプルなツールを望んでいるのです。この需要に応えるべく、2016年にCymulateを設立しました。現在、ユーザーはグローバルで600社に達しています。

市場にある複数のBASツールの中で、CymulateはBASのカテゴリリーダーです。包括した技術を持っていること、使いやすいこと、常に新たな脅威をカバーすることなどが評価されています。導入も簡単です。クラウドサービスであるAmazon Web Services（AWS）と連携して動作しますが、ユーザー環境側にはエージェントを導入したパソコンを配置するだけで済みます。

疑似攻撃を仕掛ける侵入テストの有効性とコストの問題

──ラックから見ると、ユーザー企業は、自社が安全かどうかを、どのようにして確認しているのでしょうか。もっとうまく確認したいと悩んでいるものですか？

西本

一般的に、自社が安全かどうかの確認には、脆弱性調査などのセキュリティ診断サービスが使われます。最近では自動で診断するツールも出てきて診断コストは下がってきていますが、診断ツールだけでセキュリティの状況が的確に分かるわけではありません。また、診断結果のレポートを見ても、問題点について対処すべきかどうかの判断がつきにくいのが実情です。

こうした理由から、セキュリティ診断ツールに代わってペネトレーション（侵入）テストも利用されてきました。実際にシナリオを作って攻撃を試みるテストです。例えば、組織内にマルウェアが入って拡散したシナリオや、危険なサイトにアクセスしたシナリオなど、各種のシナリオに沿って実際に攻撃を実行し、どのような脅威が発生し得るのかを試すものです。

しかし、ペネトレーションテストは高額なサービスであるため、実行するのは大変です。このため、常時利用するわけにはいかないという現実があります。

こうした背景から、ペネトレーションテストに近い形で、あらかじめシナリオが用意されていて、企業自ら任意のタイミングで診断できるツールが望まれていました。Cymulateによって、ユーザーにはまさに「かゆいところに手が届く」ツールになるでしょう。特に、CSIRT（Computer Security Incident Response Team）やCISO（最高情報セキュリティ責任者）を支援できると考えます。

サイバー攻撃への対策は、シナリオを考えるだけでも大変な作業です。常に最新の脅威をウオッチしていなければ、対策だけでなく攻撃もテストもできません。この点、Cymulateは、常に最新の脅威に合わせてシナリオをアップデートしています。

──Cymulateは、どのような課題意識をもってツールを提供していますか。

Eyal氏

ユーザー企業は、オンデマンドかつ継続的にセキュリティの状況を検証したいと考えています。しかし、それを可能にするツールはなく、それこそがユーザーの課題だった。それがCymulateを提供する理由です。

ラックが指摘するように、脅威は日々進化しています。ユーザー企業は、進化した脅威に対して、自分たちが脆弱かどうかを知らなければなりません。Cymulateのツールを使うと、自動的かつ継続的に、新たな脅威に対して脆弱かどうかを確認できます。これこそが価値であると考えています。

Avihai氏

新たな脅威は常に発生しています。例えば、2021年末にJavaのログライブラリである「Apache Log4j（アパッチログフォージェイ）」に見つかった脆弱性は、昨今話題になった代表的な脅威の1つです。CIO（最高情報責任者）などの経営層は、どのような脅威から自社を守らなければならないのかを認識する必要があります。

Cymulateを使うと、脅威に対する脆弱性を事前に検証できる。自組織が脅威に対して守られているのか、守られていないのかが分かります。守られていないことが分かった場合は、守るためのアクションを取る必要がありますが、アクションを取るべきか、取らなくてもいいのかも分かります。つまり、Cymulateを使うことにより、将来起こりうるかもしれないインシデントにプロアクティブに対応できます。

「現地現物現実」のセキュリティでCSIRTの能力を拡張

──ラックはどのようにユーザーにCymulateのようなBASツールを提示しようとしていますか？

佐々木

日本企業はこれまで、セキュリティの状況をチェックするための監査に、インタビューやヒアリングシートを用いてきました。セキュリティの状況についての項目1つ1つを確認しています。

例えば、海外子会社のセキュリティ状況を確認するため、チェックリストベースで「できている／できていない」を確認するといったイメージです。しかし、こうしたチェックリストだけでは、海外子会社がどのような設定でセキュリティを運用しているのかは見えてきません。

ここで、Cymulateが提供するツールを使うと、システムから得られる情報をもとに、ヒアリングシートよりも有益な検証ができるようになります。また、コロナ禍の影響などでオンサイトでの確認ができない状況でも、ツールを使えば確認できます。ラックは2021年からCymulateを扱っていますが、需要は増加しています。

西本

BASは、「三現主義」（現地、現物、現実の3つの現を重視する考え方、机上で考えるのではなく、現場に行き、現物を見て、現実を知ることを重視する）のセキュリティと言えるでしょう。

一般的な日本の工場は、「チェックしたのか」や「安全なのか」や「現地で現物を見たのか」を重視する文化を持っています。日本は製造業が強いので、「現地現物現実のセキュリティ」というメッセージは、企業においてセキュリティ施策を考える人々に伝わりやすいと感じます。

BASは「血液検査」にとどまらず「患部」も指摘する

──脆弱性診断との違いとして、どんなことが考えられますか？

西本

健康診断で例えると、血液検査の血糖値から糖尿病の疑いを持つことはできるが、計測値だけでは本当のところは分かりません。本当に病気なのか、病気だとしたら具体的に何をすべきなのかという部分は分からないのです。

脆弱性診断も同様に、どこまでの脅威にさらされているのかまでは分かりません。BASのように、具体的にシステムに踏み込んで調べなければ分からない。脆弱性診断とBASには、こうした違いがあります。

──具体的にどういう場面でCymulateが使えるのでしょうか。

西本

Log4jは分かりやすい例と言えるでしょう。組織の中では大量のコンピュータシステムが動いており、これらのうちのどこかでLog4jが使われているのが一般的です。

従来は、どこでLog4jが動いているのかは、すぐには分かりませんでした。各システムの担当者にヒアリングして、使っているか使っていないかを調べ、使っている場合は対処してもらう必要があります。対処できたかどうかもヒアリングベースで確認したので、現地現物とは言えません。

BASなら、ツールが自動で状況を調査します。実際にインシデントが発生した場合も、現状や対策状況を把握したりなど、1回のインシデントについて3～4回の調査が発生します。ツールがないと、しっかりとした調査はできません。しかし、年に何回かは大きな脆弱性が見つかっています。

Cymulateの使い方をCSIRTにアドバイスすれば、使い方や有益性がイメージできます。

Avihai氏

Cymulateのツールは、限られた人材に大きな力を与えます。例えば、チームが5人しかいなくても、あたかも20人であるかのように仕事をこなせるようになります。CSIRTの能力を拡張するツールとして使えるのです。業務を、速く、容易に、効率的にできるようになります。

ツールによる自動ペネトレーションテストという新たな可能性を提示

──ツールの導入がシステムの本番環境に影響を与えないかが気になります。米公認会計士協会（AICPA）が開発したサイバーセキュリティコンプライアンスフレームワークであるSOC 2（Service Organization Control Type 2）や情報保護管理のための国際標準であるISO27001といったコンプライアンスへの準拠状況も教えてください。

Eyal氏

サイバーセキュリティの世界はダイナミックであり、範囲も広い。こうした状況を鑑みて、クラウドサービスのAWSを使い、サービスを毎日アップデートしています。提供するサービスは主要なセキュリティ認証に沿っており、SOC 2やISO27001にも準拠しています。

西本

日本のクラウド認証には、例えば政府機関が調達するものについてはISMAP（政府情報システムのためのセキュリティ評価制度）があります。ISMAPに準拠していないサービスは、政府機関では使えません。日本でメジャーな製品になった場合は、この辺りも考慮しておいた方がいいかもしれません。

Eyal氏

ビジネスするうえで必要な認証の取得は前向きに検討していきます。

日本の金融機関が注目するTLPT

──日本の金融機関では「TLPT」（Threat Led Penetration Test：脅威ベースペネトレーションテスト）が注目を集めています。金融庁が金融機関に対してTLPTの活用を促しているからです。CymulateはTLPTに使えるのでしょうか。

Eyal氏

使えます。テストの方式として、システムの情報を提供せずに攻撃させるブラックボックステスト、ログイン認証情報などの限定された情報だけを与えて攻撃させるグレーボックステスト、システムに関する詳細な情報を与えて攻撃させるホワイトボックステストなどが可能です。ユーザーの多くはグレーボックステストを実施しています。

Avihai氏

IT資産を検知し、不審なネットワーク活動を監視することで迫りくる脅威を可視化する「アタックサーフェスマネージメント」（ASM）の機能も持っています。今はまだ機能がパーツごとに分かれていますが、これをシームレスにつなげるようにしています。これにより、ASMで収集した情報を利用して攻撃シナリオを作成できるようにするほか、攻撃の最初のフェーズからゴールまでをチェックできるようになります。

西本

現状では、金融庁の声の影響が大きいですが、本来のTLPTは、そういった趣旨の取り組みではありません。BASを活用することで「TLPTはこう実施すべき」というオピニオンを作っていくことが大切です。

Eyal氏

われわれは、12万以上のテストシナリオと1万以上の事前設定された攻撃キャンペーンによるCymulateの継続的なセキュリティ対策の有効性評価、Exposure アセスメントが皆様のセキュリティ対策にお役に立てると信じています。われわれは、ラックと協力しながら、皆様のサイバーセキュリティのリスクをプロアクティブに低減していけることを嬉しく思っています。