セキュリティ業界は、FireEye の情報漏洩と、米国財務省、国土安全保障省、およびおそらく他の複数の政府機関が (少なくとも一部は) SolarWinds へのサプライ チェーン攻撃によりハッキングされたという発表で大きな反響を呼んでいます。
これらの侵害は、誰もがリスクやハッキングから逃れられないことを改めて認識させてくれます。FireEyeとSolarWindsはどちらもセキュリティを非常に重視していることは間違いありませんが、どの企業も同じ現実に直面しています。それは、セキュリティ侵害は避けられないということです。
私がこれらの出来事を判断する基準は、誰かがハッキングされたかどうかではなく、侵入を実質的な侵害に変えるために敵がどれほどの労力を費やしたかです。FireEyeは機密ツールとアクセスの保護に尽力し、ロシアに侵入に多大な労力を費やすよう強いたと聞いています。
FireEyeのセキュリティへの献身は、対策ツールの公開に迅速に動いたことにも表れています。SolarWindsの侵害は即座に甚大な影響をもたらしましたが、事件の全容が明らかになるまではSolarWindsに関するコメントは控えたいと思います。なぜなら、サプライチェーンを横断する侵害は極めて稀であるものの、完全に阻止することは不可能だからです。
つまり、このニュースは私にとって驚くべきものではありません。セキュリティ組織は敵対者にとって最大の標的であり、ロシアのような国家がFireEyeの顧客保護能力を妨害するためにあらゆる手段を講じるのは当然のことです。FireEyeは多くの企業と信頼関係を築いており、スパイ活動にとって格好の標的となっています。政府機関や大企業を多数顧客とするSolarWindsは、その活動を最大限に活かそうとする敵対者にとって格好の標的です。
Solarwindsを一度ハッキングすれば、ロシアは同社の重要顧客の多くにアクセスできるようになります。国家レベルの敵対勢力がサプライチェーンを狙うのは今回が初めてではありません。そして、これが最後になる可能性も低いでしょう。
セキュリティリーダーにとって、これはテクノロジーソリューションへの依存と信頼を振り返る良い機会です。これらの侵害は、目に見えないリスク負債を改めて認識させるものです。組織は、プロバイダーを通じて膨大な潜在的な損害を負っていますが、通常は十分に対応できていません。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「MSSP、セキュリティベンダー、あるいはその他のテクノロジーベンダーが侵害を受けたらどうなるのか?」という問いを自問する必要があります。Solarwindsのハッキングだけを単独で捉えてはいけません。自社環境にアップデートをプッシュできるベンダー全てに目を向けるべきです。
絶対に故障しないツールは一つもありません。
FireEye、SolarWinds、そして環境内の他のすべてのベンダーが、最終的には侵害を受けることを想定しておく必要があります。障害が発生した場合、「残りの計画は十分だろうか?組織は回復力を維持できるだろうか?」と自問する必要があります。
これが失敗した場合の代替案は何ですか? わかるでしょうか?
セキュリティ プログラムが FireEye に大きく依存している場合 (つまり、主要なセキュリティ プラットフォームである場合)、セキュリティ プログラムは FireEye による独自のプログラムの実装、実行、監査に依存しており、管理者はそのことを受け入れる必要があります。
多くの場合、組織はVPN、ファイアウォール、監視ソリューション、ネットワークセグメンテーションデバイスなど、複数の機能をカバーするために単一のセキュリティソリューションを購入します。しかし、その場合、単一障害点が生じます。つまり、機器が動作を停止したりハッキングされたりすると、すべてが機能しなくなります。
構造的な観点から言えば、SolarWindsのようなシステムが侵害のきっかけとなり、広範囲にわたる影響を及ぼさないというのは難しいことです。しかし、SolarWindsのOrionプラットフォームを信頼し、環境内のあらゆるものと連携・統合していれば、今回のような侵害は発生しないというリスクを負うことになります。私は、あらゆるツール(またはサービス)の利用を考える際に常に、「もしこれが故障したりハッキングされたりしたら、どうやってそれを知り、どう対処すればいいのだろうか?」という疑問を抱きます。
答えは「保険レベルのイベントだ」というシンプルなものになることもありますが、多くの場合、防御側に何らかのシグナルを送る他の方法を考えています。今回のケースでは、Solarwindsが攻撃ベクトルとなっている場合、スタック内の他の何かが、ネットワークがロシアにトラフィックを流出させているという兆候を示してくれるでしょうか?
回復力のあるセキュリティプログラムを構築するのは容易ではありません。実際、解決が非常に難しい問題です。完璧な製品やベンダーは存在しません。これは何度も証明されています。制御を階層的に構築する必要があります。「何が起こるか」というシナリオを徹底的に検討してください。多層防御と前方防御に重点を置く組織は、より回復力の高い立場を築くことができます。ハッカーが情報にアクセスするには、どれだけの失敗が必要でしょうか?重要なデータがロシアの手に渡るには、一度の事故では済まないでしょう。
ベースラインセキュリティへの偶発的な変更を防ぐため、確率と可能性の観点から考え、適切な対策を講じることが不可欠です。最小権限をデフォルトとし、綿密なセグメンテーションによって急速な横展開を防止します。監視とアラートによって対応を開始し、万が一大きな逸脱が発生した場合にはフェイルセーフが作動するようにしてください。レッドチームによるセキュリティプログラムを実施し、自社のセキュリティレベルを検証し、失敗から学びましょう。
FireEyeの侵害によるセキュリティへの影響は大きく取り上げられました。しかし実際には、ロシアはFireEyeから盗まれたものと同等のツールを既に保有しています。そのため、専門家はツール自体を大々的に報道したがるかもしれませんが、今回の漏洩は、2017年のNSAツールの漏洩のような過去の事例を彷彿とさせるものではないでしょう。
NSAから公開されたエクスプロイトは注目に値するものであり、攻撃者にとってすぐに利用できるものでした。そして、これらのエクスプロイトこそが、Shadow Brokersのハッキング後に業界が経験した一時的なリスク増大の原因でした。ルートキットやマルウェア(FireEyeで盗まれたのはそれらでした)ではありませんでした。FireEyeのケースでは、ゼロデイ攻撃やエクスプロイトが盗まれなかったように見えるため、この侵害が大きな衝撃を与えるとは考えていません。
この規模の侵害は必ず発生します。組織がこうした事態への耐性を持つ必要があるのであれば、備えておくことが最善です。
米国の政府機関を襲ったハッキングはどれほどひどいのでしょうか?
