ホワイトハッカー目線で解説する情報セキュリティ対策の初歩とマインドセット

どれだけ高額なセキュリティソリューションを導入しても、「完璧な防御」は存在しません。我々ホワイトハッカーがペネトレーションテストを行う際も、システムの隙間だけでなく「人の心理的隙間（ソーシャルエンジニアリング）」を突くことが多々あります。

本記事では、セキュリティ対策の予算や専門人材が限られている企業の方に向けて、「攻撃者の視点（オフェンシブセキュリティ）」の考え方と、今日から取り組める具体的な対策をホワイトハッカーの立場から解説します。

1. 攻撃者の視点（オフェンシブセキュリティ）を持つ重要性

攻撃者は「最も弱いリンク（Weakest Link）」を狙います。それは脆弱なまま放置されたテストサーバーかもしれませんし、パスワードを使い回している従業員のアカウントかもしれません。防御側もこの「攻撃者の視点」を持ち、自社の資産を客観的に評価することが重要です。

攻撃者が最初に行う偵察（Reconnaissance）

実際のサイバー攻撃やペネトレーションテストでは、まず「偵察」フェーズが行われます。攻撃者は以下のような公開情報を収集し、攻撃の糸口を探します。

• 企業のWebサイト、採用情報、プレスリリースからの技術スタック推定
• DNSレコード、WHOIS情報、SSL証明書の公開データ
• GitHubやQiitaなどの技術投稿からの内部情報の漏洩
• LinkedInやSNSから従業員のメールアドレス形式や組織構造の推測
• ダークウェブ上で過去に漏洩した社員の認証情報の検索

これらの情報だけで、攻撃者はどのシステムが狙いやすいか、どの従業員が標的になりうるかを高い精度で判断できてしまいます。

「うちは狙われない」は最も危険な思考

中小企業の経営者からよく聞かれるのが「うちのような小さな会社は狙われない」という声ですが、これは明確に誤った認識です。近年のサイバー攻撃では、大企業に侵入するための「踏み台」として、セキュリティ対策が手薄な取引先の中小企業を狙う「サプライチェーン攻撃」が急増しています。

実際に、2022年にはある大手自動車メーカーが、取引先の部品メーカーへのランサムウェア攻撃の影響を受け、国内全工場の稼働を停止する事態に至りました。

2. 企業がまず取り組むべき5つの基本対策

セキュリティ対策は「完璧」を目指すと際限なく費用がかかります。まず取り組むべきは、攻撃者が最も頻繁に悪用する「基本的な隙」を塞ぐことです。以下の5つの対策は、コストが比較的低く、効果が非常に高い"基礎固め"です。

対策①：多要素認証（MFA）の全社導入

パスワードだけの認証は、もはやセキュリティとして機能しません。ダークウェブ上ではパスワードリストが大量に流通しており、漏洩したパスワードを使った「クレデンシャルスタッフィング攻撃」は、最も一般的な不正アクセスの手法です。

全てのクラウドサービス（Microsoft 365、Google Workspace、AWS等）、VPN、社内システムへのログインに多要素認証（MFA）を導入することで、パスワードが漏洩しても不正アクセスを防ぐことができます。

対策②：最小権限の原則（Principle of Least Privilege）

従業員には、業務に必要な最低限の権限のみを付与しましょう。全員が管理者権限を持っている環境は、攻撃者にとって格好の標的です。一人のアカウントを奪取するだけで、システム全体を掌握できてしまいます。

• 定期的な権限レビュー（四半期ごと推奨）
• 退職者のアカウント即時無効化
• 特権アカウント（管理者）の利用を最小限に

対策③：ソフトウェアの即時アップデート

既知の脆弱性を放置することは、「鍵のかかっていないドアを開けたまま運営する」のと同じです。OS、ミドルウェア、アプリケーションのセキュリティパッチが公開されたら、可能な限り迅速に適用しましょう。

特にApache、Nginx、WordPressなどのWebサーバー/CMSは標的にされやすいため、自動更新の仕組みを整えることを推奨します。

対策④：従業員のセキュリティ意識向上（フィッシング訓練）

技術的対策だけでは防ぎきれないのが「人」を狙った攻撃です。フィッシングメールやビジネスメール詐欺（BEC）は、攻撃の入口として最も多用されています。

定期的なフィッシング訓練を実施し、従業員が不審なメールを見分ける力を養うことが重要です。訓練を繰り返すことで、開封率・クリック率は確実に低下します。

対策⑤：バックアップの3-2-1ルール

ランサムウェア攻撃を受けた際、データのバックアップがあるかどうかが企業の存亡を分けます。3-2-1ルール（3つのコピー、2種類のメディア、1つはオフサイトに保管）に従ったバックアップ体制を構築しましょう。

特に重要なのは、バックアップがネットワークから隔離されていることです。ランサムウェアの中には、ネットワーク上のバックアップファイルも暗号化するものが多数存在します。

3. ゼロトラストという新しいセキュリティの考え方

従来の「境界防御モデル」（社内ネットワークは安全、社外は危険）は、リモートワークの普及やクラウドサービスの利用増加により破綻しつつあります。

ゼロトラストモデルでは、「社内・社外に関わらず、全てのアクセスを検証する」という前提に立ちます。具体的には以下の原則に基づきます。

• 全てのリソースへのアクセスにおいて認証と認可を要求する
• アクセスは「セッション単位」で許可する（一度許可されても永続しない）
• ネットワーク上の全通信を暗号化する
• デバイスの健全性を継続的に検証する

中小企業がゼロトラストを完全に導入するのはハードルが高いですが、MFAの導入やVPNの導入、端末管理（MDM）の導入など、段階的にゼロトラストの要素を取り入れていくことが現実的なアプローチです。

4. インシデント発生時の対応準備

セキュリティ対策で最も見落とされがちなのが、「攻撃を受けた後の対応準備」です。100%の防御はあり得ない以上、インシデントが発生した際に被害を最小化するための体制を事前に整えておくことが重要です。

• インシデント発生時の連絡フロー（誰に報告するか）の明文化
• 初動対応マニュアルの整備（ネットワーク隔離、証拠保全手順）
• 外部の専門機関（フォレンジック調査会社、弁護士）との事前契約
• 個人情報保護委員会への報告義務（改正個人情報保護法対応）

まとめ：攻撃者の視点を持つことが最強の防御

情報セキュリティ対策は、「投資」であり「経営課題」です。「攻撃者がどう考え、何を狙うか」を理解した上で、自社のWeakest Linkを特定し、優先順位をつけて対策を講じることが最も効率的なセキュリティ投資です。

まずは基本の5つの対策から始め、自社のリスクレベルに応じて段階的にセキュリティ体制を強化していくことを推奨します。

「自社のセキュリティレベルが実際にどの程度なのか分からない」「何から手をつければよいか判断できない」という場合は、専門家による客観的なペネトレーションテストを受けることで、自社の現状が明確になります。

---

よくあるご質問 (FAQ)

Q. 情報セキュリティ対策は何から始めればよいですか？
A. まずは「多要素認証（MFA）の全社導入」と「ソフトウェアの最新化」から始めましょう。この2つだけで、最も一般的な攻撃手法の大部分を防ぐことが可能です。

Q. セキュリティ対策に専門知識を持つ社員がいない場合はどうすればよいですか？
A. 外部のセキュリティ専門企業にアウトソーシングすることが最も現実的です。まずはペネトレーションテストや脆弱性診断で自社のリスクを把握し、対策の優先順位を立てるところから始めましょう。

Q. 中小企業のセキュリティ対策の予算目安はどのくらいですか？
A. 一般的に、IT予算の10〜15%をセキュリティに充てることが推奨されています。限られた予算の中では、基本的な対策（MFA、パッチ管理、バックアップ）の徹底が最もコストパフォーマンスが高い施策です。

セキュリティ診断ならシースリーレーヴ

セキュリティ対策でお悩みの方は、ぜひシースリーレーヴ株式会社までお問い合わせください。

弊社では、海外で活躍するホワイトハッカー集団「Nulit・ナルト」によるペネトレーションテストを60万円〜の低価格で提供可能です。

さらに毎月定期的に侵入テストを実施したり、ホワイトハッカーのロゴをサイトに掲載したりすることで、サイバー攻撃の予防を高めることができます。

また自社でのセキュリティ対策が難しい場合は、ホワイトハッカーおよびエンジニアが開発を行うことも可能です。

これまでに大手企業様や、上場企業様など、数多くのペネトレーションテスト実績を持っております。

セキュリティ面に関するお悩みをお持ちの方は、まずはぜひ一度ご相談ください。

最後までお読みいただき、ありがとうございました。