資料の紹介
新技術が登場するたびにサイバー攻撃は高度化してきた。近年の代表例は生成AIだ。例えば、以前のフィッシングやなりすましメールの日本語には不自然さがあったが、生成AIによって日本語に不慣れな攻撃者でも真実味の高い日本語の文章が容易に作成できるようになっている。これに限らず詐欺行為への悪用は続いており、生成AIはサイバー攻撃の参入障壁を下げる大きな要因となっている。
詐欺メールなどをきっかけに社内システムへの侵入に成功した攻撃者は、ラテラルムーブメント(横展開)を繰り返して管理者権限を奪取したり機密情報を盗み出したりする。もはや「侵入されることを前提とした対策」が不可欠だ。万が一侵入された場合にどこまで被害が拡大するのか、事前に見極めておく必要がある。
本資料では、内部侵害時の強度を調査・診断してくれる「ペネトレーションテスト」を紹介する。実際に業務で利用している端末を貸与し、診断担当の技術者がシナリオに基づいてシステム内に侵入。対策の効果や被害の大きさを確認し、報告してくれるサービスだ。これにより、境界防御の有効性、端末の堅牢(けんろう)性、侵入後の展開可否などを詳細に可視化できるとしている。
