Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@s-nomotoin株式会社ナレッジコミュニケーション

【デモで実感】攻撃者の視点を先取りする「侵入経路予測」

Last updated at Posted at 2025-07-14

はじめに

先日開催された AWS Summit Japan 2025 に参加しましたので、その中から特に学びの多かったセッションについてレポートします。
Image (6).jpg

特に私が注目したのは、トレンドマイクロ株式会社の五十嵐 涼さんによる 「【デモで実演】侵入経路予測でプロアクティブなセキュリティを!」 です。

クラウドの利用が当たり前となり、システムが複雑化する中で、「どこから対策すべきかわからない」と感じているセキュリティ担当者や開発者の方は多いのではないでしょうか。このセッションは、そんな悩みに「侵入経路予測」という新しいアプローチで光を当てるものでした。

デモを交えた詳細な解説は非常に分かりやすく、多くの知見を得ることができたため、備忘録として本レポートにまとめます。

なぜ今「プロアクティブセキュリティ」なのか?

セッションは、なぜ今、先回りした対策=プロアクティブセキュリティが重要なのか、という背景説明から始まりました。

脅威の動向:蔓延するランサムウェアと見えないIT資産

まず特筆すべきは、ランサムウェア被害の推移です。
被害は年々増加傾向にあり、警察庁の調べによると2024年には200件を超える被害が報告されています。

その結果、次のようなデータが示されました。

実に7割の組織が、IT資産の管理不足に起因するインシデントを経験

原因として、「クラウドの導入」「DXの推進」「新しい技術の採用」といった技術の高度化が挙げられました。
その結果、セキュリティ対応の負担が増大して管理が追いつかず、結果的にそこがセキュリティホールになってしまうと説明がありました。

つまり、従来の『保護』『検知』『対応』といった対策だけでは、複雑化した現代のIT環境を守りきることは困難であり、コストも膨大になります。

そこで、これらの対策の土台として、インシデント発生を未然に防ぐために必要となるのがプロアクティブセキュリティという位置づけです。

【デモ】攻撃シナリオと侵入経路予測の実演

想定される攻撃シナリオ

① 初期侵入: 攻撃者が、外部公開されたWebサーバの脆弱性を悪用して侵入開始
② 内部探索: 侵入したサーバを踏み台に、内部ネットワークで横展開(ラテラルムーブメント)
③ 権限の永続化: 保守作業サーバが持つ権限を悪用し、攻撃用の権限を作成して、いつでも侵入できる状態を維持(権限の永続化)
④ 情報窃取: 永続化した権限を使い、内部のデータベースに接続して機密情報をダンプ
⑤ 暗号化: ストレージに保存されている重要ファイルを、攻撃者の用意したキーで暗号化し、身代金を要求(ランサムウェア)

攻撃者の視点からのデモ実演

デモでは、実際にターミナルを操作しながら、このシナリオが実行されていきました。
image.png

パスワードを使わずに権限を悪用して内部に侵入し、情報を窃取するデモを通じて、攻撃の巧妙さとその脅威を改めて認識しました。

プロアクティブな対策がなかったら…

もしクラウド資産の管理が不十分で、プロアクティブな対策を講じていなければ、この攻撃に気づくことすら難しいかもしれません。被害が発生して初めてインシデントが発覚する、という最悪の事態も想定されます。

Trend Vision Oneによる「侵入経路予測」

ここで登場するのが、トレンドマイクロ社のTrend Vision Oneです。

もしプロアクティブセキュリティを導入していたら、この攻撃を未然に防げたかもしれない、という視点でデモが続きます。

Trend Vision Oneは、膨大なクラウド資産の中から、以下の項目を支援するソリューションです。

  • どこにリスクがあるのか? (可視化)
  • どのリスクから対処すべきか? (優先度付け)
  • どのように対処すべきか? (対策)

そして、このセッションの核心である「侵入経路予測」機能が紹介されました。

先の攻撃シナリオのような攻撃者の侵入経路を、攻撃を受ける前に可視化します。

  • なぜエントリーポイントとして表示されているのか?
  • なぜ外部公開サーバから保守作業サーバまで繋がっているのか?
  • なぜ保守作業サーバからストレージやデータベースにアクセスできるのか?

これらの疑問に対し、「この設定不備があるからです」「この権限が付与されているからです」といった形で原因を特定し、具体的な修復方法まで提示します。

これはまさに、攻撃者の視点を先取りし、プロアクティブに対策を打つための強力な武器になると感じました。

まとめ

本セッションを聴講し、以下の点を改めて強く認識しました。

  • クラウド資産は、私たちが想定する以上に「拡大・複雑化」している。
  • 攻撃者の技術も高度化しており、従来の事後対策(検知・対応)だけでは、「管理負担・コスト」が増大し続ける。

  • 次世代セキュリティの鍵は「予測」にある!!

非常に学びの多い素晴らしいセッションでした!

その他セッションのオンデマンドもこちらで配信しておりますので、ぜひご確認ください。
備考:https://aws.amazon.com/jp/summits/japan/

参考文献

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?