[レポート] ISMS認証制度、なぜ今はもはや有効ではないのか?
韓国情報セキュリティ認証制度の技術的不条理と現実との乖離に関する分析レポート
概要と背景
韓国の情報保護管理体制(ISMSなど)およびセキュリティ適合性認証制度は、企業や機関のサイバーセキュリティを保証するための必須基準を提示してきました。しかし、急激に変化する技術環境や脅威の様相に比べ、一部の認証基準は過去のセキュリティパラダイムにとどまっており、現実との乖離が発生している事例が指摘されています。本レポートでは以下の4つの事例を中心に、このような技術的不条理と現実の乖離を分析します:
1. 侵入防止システム(IPS)構築義務の構造的問題
侵入防止システム(IPS)の必須構築要求は、今日の暗号化中心の通信環境と技術現実との乖離を最も明確に示す代表的な事例です。 現在、インターネットトラフィックの95%以上がHTTPSなどのSSL/TLSベースの暗号化された形式で構成されており、一部のTLSトラフィックは復号化装置により限定的に分析が可能であるとしても、SSH、RDP、VPN、私的な暗号化プロトコルなどは技術的に復号および検出が事実上不可能な状況です。
それにもかかわらず、IPSは依然として韓国内のセキュリティ認証制度(ISMS、セキュリティ適合性認証など)において必須のセキュリティ装置とみなされており、その保有有無自体が評価要素として機能しています。 これは1990〜2000年代の平文トラフィックを前提とした境界型セキュリティモデルの残滓であり、実際のセキュリティ効果とは無関係に「構築した」という事実のみで認証要件を満たす形式的評価の代表的弊害といえるでしょう。
結局、暗号化されたトラフィックにより「見えない」環境で、内容も確認できない装置の導入を強制する政策は、セキュリティの実効性を保証できないばかりか、予算と人的資源の浪費に繋がっています。 このような構造は、セキュリティの本質を技術ではなく形式に置く制度的限界を示しており、根本的な改革が必要な分野です。
2. 年1回の脆弱性点検および模擬ハッキングの実効性問題
年に1度実施される脆弱性点検および模擬ハッキングは、持続的かつ急激に変化するサイバー脅威環境に実質的に対応できるのかという疑問を強く提起します。 現在の攻撃者は脆弱性が公開された直後、数時間以内に攻撃を開始し、システムの変更や新サービスのローンチ周期も速いため、脅威への曝露可能性は年中続きます。それにもかかわらず、多くの認証基準は定期的に年に1回診断を行い、報告書を提出するレベルで要件を満たすと見なしています。
特に模擬ハッキングは、事前に合意されたIP範囲とテストアカウントのみで実施される方式が一般的であり、 実際の攻撃者の予測不可能性や回避手法をまったく反映せず、「手続き上の点検」にとどまっています。 このような形式的手法は、実際の侵入可能性を検証したり、組織の検出・対応能力を確認するのにほとんど役立たず、結果として「年中行事」レベルの点検が制度の本質を損なっているという批判が出ています。
3. アンチウイルスソフトウェア導入慣行の問題
アンチウイルスソフトウェアの使用に関する慣行は、技術の進化および現実のセキュリティ運用環境の変化と乖離した評価基準をそのまま踏襲している点で問題があるといえます。 代表的にはMicrosoft Defenderが近年、AV-TESTなどで最高レベルの検出性能を認められており、 振る舞いベースの検出、リアルタイム保護、クラウド連携分析など多様な機能がWindows OSに標準で搭載されています。
それにもかかわらず、一部の認証審査や内部評価ではDefender単独使用時に外部のウイルス対策製品の未導入を問題視したり、 「正規セキュリティソリューション購入の有無」自体をセキュリティレベルの間接的指標と見なす傾向が依然として存在します。
これはセキュリティの本質を**「何を購入したか」で判断する旧時代的認識の延長線**にあり、無料でも十分な性能を提供するソリューションさえも過小評価される現象を引き起こしています。 結果として、製品ブランド中心の認証評価方式は、技術ベースのセキュリティ能力を歪めかねない代表的な事例です。
4. 最新の攻撃手法に対する認証基準の対応の不備
Credential Stuffing や Living off the Land(LoL)など、近年サイバー攻撃者が頻繁に活用する手法は、従来のシグネチャベースのセキュリティソリューションや標準化された制御方式では効果的に対応することが困難です。 Credential Stuffing は、漏洩したアカウント情報を自動的に入力して正規のログイン手続きを通じて侵入するため、ファイアウォールや IPS では検知自体が不可能であり、MFA の適用や異常行動分析体制が必須です。
LoL 攻撃も PowerShell、RDP、WMI などシステム内部の正規ツールを悪用して検知を回避する方式で、ファイルレス(fileless)の振る舞いベース攻撃に分類されます。しかし、現行の認証基準では**このような最新攻撃手法に特化した対策を明確に要求しておらず、**従来のアクセス制御、アカウント管理、ログ監査レベルで限定的に言及されているだけです。
その結果、セキュリティ脅威のトレンドは進化しているにもかかわらず、それを前提とした認証基準は停滞しており、これにより「基準を通過した組織」でさえ最新の脅威に無防備にさらされる構造的な空白が生じています。これは現実に基づかず制度中心の評価体系が招いた限界といえます。
各事例ごとに最新の技術動向とセキュリティの現実、関連する認証基準および評価項目、国際セキュリティ標準(NIST、ENISAなど)のアプローチを比較・分析し、実際の侵害事例や報道を通じて示唆を導き出しました。最後に、要約表により各技術課題の制度反映状況と政策的な見直しの必要性を整理しています。
1. IPSと暗号化トラフィック:過去の規定 vs 現在の現実
技術的背景とセキュリティの現実
過去のネットワークセキュリティは主に平文トラフィックを基に侵入を検知・遮断するモデルが主流でした。従来の侵入防止システム(IPS)はパケットの内容(payload)を検査し、既知の攻撃シグネチャを検出して遮断する方式で動作します。しかし現在のインターネットトラフィックの大多数はHTTPS などの SSL/TLS ベースの暗号化トラフィックで構成されており、一部報告によると 2024 年時点で95%以上のトラフィックが暗号化されているとされています。加えて、SSH、RDP、VPN、私的な暗号化プロトコルなども組織内外で広く使用されています。
このような環境では、一部の TLS トラフィックは SSL プロキシや復号化装置を使って限定的に分析可能であるとしても、SSH、RDP、VPN、BPFDoor のようなカスタム暗号化チャネルに対しては復号および分析が事実上不可能です。たとえば、最近発見されたBPFDoor マルウェアは、**パケットフィルタリングを回避して TCP ポートが開いていない状態でも SSH トラフィックを装って通信を行い、**暗号化されたチャネル内部でコマンド制御を隠す手法で、従来の IPS 検知を無力化した事例です。
結果として、IPS はこのような暗号化トラフィックを識別したり内容を分析することが難しく、実質的な対応能力を喪失しているにもかかわらず、韓国のセキュリティ認証制度では依然として必須のセキュリティ装置とみなされています。これは1990〜2000年代の平文ベースネットワーク環境を前提としたセキュリティモデルに基づく制度的な遺物であり、現実と乖離した代表的な政策的誤りといえます。
認証制度基準および評価項目との比較
ISMS などの国内セキュリティ認証基準では、ネットワークセキュリティシステムの一環として侵入遮断システム(ファイアウォール)および 侵入検知/防止システム(IDS/IPS)の構築・運用を事実上の基本統制項目として要求しています。特に重要な情報資産を保有する機関であるほど、IPS の導入が当然視され、審査においてもそれを備えているか確認される場合が一般的です。これは、当該基準が策定された時点のセキュリティパラダイム(すなわち、内部-外部ネットワークの境界でパケット内容を確認し悪性行為を遮断するモデル)に基づくものです。
例えば、個人情報保護に関する管理体系の要件には「個人情報処理システムへの不正アクセスおよび漏洩を防止するためにセキュリティシステムを設置・運用しなければならない」といった条項があり、ここで言うセキュリティシステムには WAF、DLP などとともに、ネットワーク IPS も含まれると解釈されています。しかしこれは、暗号化トラフィックに対する可視性の確保を含んでおらず、実際には機関が IPS 装置を保有していても、HTTPS、SSH、VPN のような暗号化通信内部に存在する攻撃を識別または遮断できない状況が頻繁に発生しています。それにもかかわらず、認証審査では「IPS 装置を備えているか」だけで要件を満たしていると見なされる場合が多く、形式は整っていても実質を欠いた評価構造が継続しています。
国際的セキュリティガイドのアプローチ
国際的には、暗号化トラフィック内の脅威に対処するため、複数の補完戦略が推奨されています。NIST はネットワークベースの IDS/IPS の限界を認めつつ、暗号化前または復号後の区間でモニタリングを行うことを推奨しています。これは、例えば SSL プロキシを介して中間復号後に検査したり、エンドポイント(クライアント/サーバー)にエージェントをインストールして通信内容を確認する方式です。ENISA などヨーロッパのガイドラインでも、TLS 可視性の確保およびゼロトラストアーキテクチャの必要性を強調し、暗号化環境でもセキュリティ可視性を維持するために、振る舞いベースの検知、メモリフォレンジック、コマンドラインのロギングなどの技術活用が推奨されています。
一方、次世代ファイアウォール(NGFW)や SSL 可視化ソリューションが国際市場で注目されているのも同じ文脈です。2023年の Gigamon レポートによると、調査対象機関の 70% 以上が**暗号化トラフィックを検査できずに内部ネットワークへ通過させており、**これに対する可視性確保技術が 2024 年のセキュリティチームの最優先課題になると指摘されています。多くのグローバル企業は、TLS 検査プロキシ、SSL オフロード装置、EDR(Endpoint Detection & Response)などによって、IPS の限界を補完または代替する方向に移行しています。
実際の事例と示唆
現実には IPS のみに依存した場合、暗号化されたトラフィック内に隠れた攻撃を検出できず、侵害事故につながる可能性があるという点は、すでに多数の事例で確認されています。 国内外の様々な APT 攻撃やマルウェア拡散事例において、攻撃者は HTTPS や SSH で暗号化された C2(Command & Control)通信を利用し、IPS やファイアウォールを回避して内部情報を流出させました。
特に、BPFDoor は暗号化された SSH セッションを装って バックドアコマンドを隠蔽し、侵入防止装置に捕捉されない高度な攻撃を実行した事例として代表的です。このように、攻撃者は SSL にとどまらず、SSH、RDP、VPN、私的な暗号化プロトコルなど、様々な暗号化チャネルを通じて検知回避を試み、これらのトラフィックはほとんどが現在の IPS では内容分析が不可能な領域です。
結果として、「IPS を運用している」というチェックボックスは埋められても、実質的な脅威検知・遮断能力を備えているとは言い難い状況が繰り返されています。これらの事例は、認証制度の見直しの必要性を強く示唆しています。
現行基準は IPS 装置の保有有無だけを求めるのではなく、、暗号化トラフィックに対する可視性確保対策の有無を統制要件に含めるべきであり、TLS 復号技術や EDR などの代替的なセキュリティ措置を講じた場合、それを通過基準として認める柔軟な評価体系が求められます。
最終的には、1990 年代型の 「ネットワーク境界ベースのセキュリティ」パラダイムから脱却し、、ゼロトラストおよび振る舞いベースのセキュリティ戦略を反映した制度改編が急務です。
項目 1: IPS 構築の義務 vs 暗号化トラフィックの現実 – 比較整理
| 項目 | 現行認証基準の慣行 | 現実のセキュリティ環境の変化 | 国際的な勧告および事例 | 制度改善の必要性 |
|---|---|---|---|---|
| IPS 構築の義務 | ネットワーク境界に IDS/IPS の設置が必須。該当機器の運用有無を重視 | 大半のトラフィックが SSL/TLS で暗号化 ⇒ IPS は内部内容の分析が不可能。攻撃者は暗号化で IPS を回避 SSH、RDP、VPN、私的暗号化などは復号不可能 |
NIST: 復号区間でのモニタリングを推奨 ENISA: TLS 可視性確保およびゼロトラストを強調 グローバル企業: SSL 検査プロキシ、EDR 導入の事例 |
IPS 要件の再定義: 暗号化トラフィックの可視化対策まで含めるよう基準を補完。IPS の代替統制(例:SSL プロキシ、EDR、行動ベースの検知)を認める必要 |
2. 年1回の脆弱性診断およびペネトレーションテスト規定の限界と廃止の必要性
現実と乖離した高コスト・低効率構造
今日、ほとんどのセキュリティ認証およびコンプライアンス基準では、いまだに「年1回以上の脆弱性診断およびペネトレーションテスト(pen-test)」が義務化されています。しかし、このような年次中心のアプローチは、セキュリティの実効性とはますます乖離してきています。
まず、中小・中堅企業、さらには大企業であっても、年1回のペネトレーションテストは数千万ウォンから1億ウォンに達する高コストで、現実的には実施不可能、もしくは最小範囲に留まるケースが多いです。また、1年という時間間隔は、セキュリティ脅威が常時発生する現実と一致せず、点検が行われない期間中に新たに登場した脆弱性に対する対応が完全に空白となります。それにもかかわらず、認証審査では「年1回実施したかどうか」だけを確認し、自動化レベルや実戦対応力など、実質的なセキュリティ能力は評価していません。
このように年次点検は、実際には「文書用イベント」にとどまりやすく、予算と人材の浪費に繋がると同時に、脅威対応の空白を生み出します。何よりも「高コスト方式は強制し、低コスト・常時対応の代替案は全く評価されない」という点において、この制度は構造的に誤って設計されていると言えます。
グローバル基準は常時・自動・リスクベースモデルへ移行中
NIST のサイバーセキュリティフレームワーク、PCI-DSS 11.x、欧州の TIBER-EU などの国際基準は、すでにこうした問題を認識し、年1回の点検方式から脱却しつつあります。これらは自動化されたスキャニングツールや SaaS ベースの継続的な点検を週次または日次単位で実施するよう推奨しており、重要なインフラにはリスクベースのレッドチームテストを併用しています。また、企業の規模やセキュリティレベルに応じて、バグバウンティやアタックサーフェスマネジメント(ASM)を通じた常時テスト体制の柔軟な導入が進んでいます。
すなわち、頻度やコストは固定された規制ではなく、自律的に調整可能な項目とするべきであり、高コストの年次イベントを廃止することがむしろグローバルスタンダードとなりつつあります。
繰り返される侵害事故が示す制度の限界
このような構造的な問題は、実際の侵害事故でも繰り返し確認されています。2017年の Equifax ハッキング事件は、年次点検を終えた後の 60 日以内に、未パッチ状態だった脆弱性が悪用され、1億4千万件の個人情報が流出した代表的な事例です。韓国内でも年末の点検が完了した後に新たな脆弱性が公開されたにもかかわらず、次の点検まで何の対応もなく数か月が経過し、侵害事故が発生した事例が存在します。
攻撃者は常に「点検と点検の間の隙間」を狙っています。そして現在の制度は、このような隙間を減らすのではなく、制度的に固定してしまっている状況です。
廃止の必要性と新たな体制の方向性
従来の年1回点検中心の規定は、もはや有効とは言えず、実質的な対応力を確保するためには全面的に廃止されるべきです。その代替案としては、自動化されたスキャニングシステムによって週単位で点検を行い、パッチの平均処理時間(MTTR)を 7 日以内に維持するように管理する体制が推奨されます。また、模擬ハッキングについても、画一的な年次テストではなく、常時運用されるバグバウンティプログラムや主要インフラに対する年 1〜2 回レベルの高度なレッドチーム活動に置き換えることが効率的です。
対応訓練も選択事項ではなく必須項目として認識されるべきであり、四半期ごとの Table-top 訓練や Blue-team 訓練を通じて、実際の危機対応能力を継続的に強化できるように運用すべきです。
このような方式は単にコストを削減するだけでなく、組織のセキュリティレベルを実際に引き上げる方法であり、従来の定型化された規定ベースの審査から、実質的な対応能力中心の評価体制への転換が不可欠です。
結論として、年に一度の点検方式はすでにセキュリティ現実の中でその役割を終えました。認証制度は今や常時かつ低コスト、そしてリスクベースで設計された新たな枠組みへと全面的に切り替えなければ、実質的なセキュリティ効果を期待することはできません。
項目 2: 年 1 回の脆弱性診断/模擬ハッキング – 比較整理
| 項目 | 現行認証上の要件 | セキュリティ現実および問題点 | 国際的な模範事例および勧告 | 改善および改革の方向性 |
|---|---|---|---|---|
| 脆弱性点検頻度 | 一般的に 年1回以上 の定期点検を実施することを要求 | 新たな脆弱性が随時発生 → 年1回の周期では対応に空白が生じる 点検後に公開された脆弱性は次の点検まで放置されるリスク |
PCI-DSS: 年1回 + 主要変更時に追加テスト グローバル: 継続的なスキャン/ペンテスト 傾向 |
常時評価体制の導入: 四半期ごとのスキャン、随時パッチ確認など 年間を通じた継続的管理 を認証に反映 |
| 模擬ハッキングの現実性 | 範囲・シナリオを事前に合意し 安全に実施(準コンプライアンス目的) | 実際の攻撃は予告なしに多様な経路で実施される → 現行の模擬ハッキングは 攻撃者シナリオと乖離 テストが知られていると防御効率が過大評価される恐れ |
金融業界の TIBER-EU 等 脅威ベースの自律的模擬ハッキング の導入 NIST など 定期的な侵入訓練 を推奨 |
シナリオの多様化: 不意の侵入、内部者脅威を想定した 実戦型訓練 を評価要素に追加 攻撃面管理 および Threat Hunting 体制の評価 |
3. アンチウイルスソリューション:Microsoft Defender vs サードパーティ製品
最新の技術動向とセキュリティの現実
過去数十年間、PCおよびサーバーのセキュリティ基本原則の一つは「アンチウイルス(ウイルス対策)ソフトのインストール」でした。Windows XP/7 時代までは、OSに内蔵されたセキュリティ機能が限定的だったため、市販の AhnLab、Symantec、Trend Micro などのサードパーティ製ウイルス対策製品が必須とされていました。しかし、Microsoft が Windows 10 以降で標準搭載した Defender アンチウイルスは、年を追うごとにその性能が大きく向上しています。近年では AV-TEST などの権威ある評価で、Microsoft Defender は検出率、使いやすさ、性能の面で満点(6点満点中で継続して6点)を獲得しており、業界平均を上回る成果を示しています。これは Windows Defender が 有料のウイルス対策ソフトに匹敵する保護水準を提供していることを意味します。実際、セキュリティ専門家の間でも「Windows に標準搭載されたセキュリティで十分」という意見が増加しており、別途ウイルス対策ソフトをインストールしなくても、OS提供機能と定期的なアップデートのみで、一般的なマルウェアの脅威に対応可能という認識が広がっています。
また、Microsoft Defender は単なるウイルススキャン機能を超えて、振る舞い検知、メモリ保護、クラウド連携によるマルウェア評価などの高度な機能を備えており、組織単位では Defender for Endpoint として EDR(Endpoint Detection & Response)機能まで拡張されています。Windows 環境で追加費用なしに活用可能である点も大きな強みです。要するに現在の現実は、「ウイルス対策 = 有料ソフト」という公式が崩れ、OS標準のセキュリティとクラウドAIを連携させた次世代エンドポイントセキュリティへと発展しています。一方で、一部のサードパーティ製ウイルス対策ソフトは依然としてランサムウェア専用保護機能、パスワード管理、VPNバンドル提供などの付加機能を前面に打ち出して差別化を図っていますが、これらの機能は専門ソリューションに比べ品質が劣るか、システムに負荷を与える場合もあり、「多ければ良い」というわけではないという指摘があります。さらに近年の脅威は従来型ウイルスよりもファイルレス(Fileless)攻撃や Living-off-the-Land のように進化しており、一つのウイルス対策ソフトだけでは防ぎきれない時代でもあります。最終的に現代のセキュリティ現実は「単一のウイルス対策ソフトよりも総合的なエンドポイント防御」を要求しています。
認証基準と慣行の比較
韓国国内の情報セキュリティ管理体制基準では、「マルウェア対策の策定」を一つの要件としており、通常はウイルス対策ソフトのインストールおよびアップデート、マルウェア警報時の対応などを確認します。ここで言うウイルス対策ソフトが特定の製品である必要は明記されていないものの、実務的にはすべての組織のPCにウイルス対策ソフトを導入して運用することが前提とされています。問題は、一部の審査やガイドラインにおいて Windows Defender のような標準搭載ソリューションの利用に対する明確な言及が不足している点です。過去には Defender がアンチスパイウェア程度の水準だったため、「ウイルス対策ソフト = サードパーティ製品」という認識が定着し、現在でも多くの組織が慣習的に別のウイルス対策ソフトの導入を当然視しています。たとえば、内部監査のチェックリストに「ウイルス対策ソフト(AhnLab V3 など)の導入有無」を確認する項目があったり、Defender のみを使用している場合に追加説明を求められるケースが報告されています(これは公式なガイドラインというよりも、現場の慣行に近いものです)。
また、調達および予算の観点からウイルス対策ソフトの購入が一つの項目として反映され、別途製品を導入してこそセキュリティに配慮したと評価される雰囲気も少なからずあります。加点要素の言及もこの文脈を反映しており、例えばある機関の情報セキュリティ評価において「国内外で公認されたウイルス対策製品の使用有無」をプラス要因とした事例があります。一方で、Defender のように標準搭載されている場合は目立たないため、セキュリティ投資が不足していると誤解される可能性もあります。要するに、認証制度自体は外部ウイルス対策ソフトの使用を明文化していないものの、審査官と組織の双方が慣習的に「外部ウイルス対策ソフト = セキュリティ強化」と受け取る傾向があるということです。
こうした慣行は、前述の現実とはやや乖離しています。最新の Windows 環境では Defender で十分なセキュリティ性が確保できるにもかかわらず、これを「無料の標準ウイルス対策なので信頼できない」と低く評価したり、別途コストをかけてこそセキュリティ対策を行ったと評価する認識は見直されるべきです。認証基準の本来の趣旨は「エンドポイントにおけるマルウェア対応能力の確保」のはずですが、現実にはそれが「有名ウイルス対策ソフトの運用有無」に置き換えられている場合があるのです。
国際的観点および事例
国際標準(例:ISO/IEC 27002)ではマルウェア対策の管理策が明記されていますが、特定製品の使用は求めていません。 組織の環境に応じて柔軟に手法を選択することが認められています。実際、多くのグローバル企業は Windows Defender の機能向上を評価し、従来の有料アンチウイルスから Defender へと移行する傾向を示しています。ガートナーなどでも Microsoft をエンドポイントセキュリティのリーダーとして評価しています。米国連邦機関では「推奨製品リスト(Approved Product List)」に Defender のような基本機能が含まれていることもあり、CIS ベンチマークなどでもDefender の設定最適化がベストプラクティスとして提示されています。これは、Defender を含む OS の基本保護機能も適切に構成すれば企業利用に十分対応可能という国際的認識が存在することを意味します。
また、多層防御(マルチレイヤーセキュリティ)の観点から、国際的なガイドラインでは単なるウイルス対策ではなく、振る舞い検知、アプリケーションホワイトリスティング、EDR などの統合的対策が推奨されています。たとえば、オーストラリア・サイバーセキュリティセンター(ACSC)の必須8項目(Essential Eight)には、アプリケーション制御、メモリ保護、マクロ実行の制限などが含まれており、従来型アンチウイルスへの依存を減らすアプローチが取られています。NIST SP 800-83(マルウェア対策)でも、シグネチャベースのアンチウイルスの限界を指摘し、補助的手段(behavior blocking など)の活用を提案しています。要するに国際的な動向は、「特定のAV製品を使っているか」よりも「エンドポイントで多様な手法で悪意ある行動をどれだけ検出・防止できるか」に重点を置いています。このような背景から、Windows Defender の高度化はエンドポイントセキュリティの基盤強化事例として評価されており、国際基準もこれを排除するのではなく、積極的な活用を促進する流れにあります。
示唆点および改善方向
現場の事例を見ると、一部の機関では Defender のみを使用していたことで監査・審査時に追加指摘を受けた事例もあります。一方で、外部のアンチウイルスを導入していたにも関わらず、アップデートが不十分で放置されていた事例もあります。重要なのは「使用中のソリューションの有効性」であり、「ブランド」ではありません。2019年のある製造業に対するハッキング事件では、有料のアンチウイルスを使用していたにも関わらず初期侵入を防げず、後にEDR ソリューションを導入して振る舞い検知を強化し、再発を防止した例があります。このような事例が示すように、従来型のアンチウイルスだけでは現代の脅威(特にファイルレス攻撃やスクリプト型攻撃)に対処しきれず、EDR などでの補完が不可欠です。
したがって政策的改善としては、認証評価時に**「エンドポイントセキュリティソリューションの運用」に関する評価を、単なるツールの有無ではなく、実際の防御能力に基づいて行う必要があります。例えば、Defender を使用していても、中央管理コンソールで警告をモニタリングし、クラウド保護を有効化していれば高い評価を受けるべきです。逆に、ある機関が外部アンチウイルスを導入していても、アップデートが数ヶ月放置されていたり、警告ログを一切見ていなかった場合は低い評価を受けるべきです。そのためには審査ガイドラインの細分化**が求められます。また、OSの基本的なセキュリティ機能の活用ガイドを提示し、予算や人材の不足した中小機関が無理に複数のソリューションを購入するのではなく、標準で提供されるセキュリティ機能を適切に活用できるよう誘導する方が効果的です。究極的には「何を購入したか」ではなく、「どれだけ対応できているか」を評価する体制へと進むべきです。
項目 3: アンチウイルスソリューション導入慣行 – 比較整理
| 項目 | 従来の認証慣行 | 現実的なセキュリティレベル | 国際的動向および事例 | 改善方向 |
|---|---|---|---|---|
| アンチウイルスの使用 | PC/サーバーにサードパーティ製アンチウイルスの導入有無を重視 (Defender などの標準ソリューションには言及少ない) |
Windows Defender の性能が大幅に向上 → 別製品なしでも高水準の検出率 EDRなどの高度機能も統合提供 |
多くのグローバル企業が Defender に移行中 AV-TESTでの満点評価 ISO/NIST: 特定製品より機能重視 |
機能重視の評価: どのソリューションでも、最新アップデート・振る舞い検知等によるエンドポイント保護が確実であれば可 Defender 活用ガイド提示、別購入の強制は避ける |
| 認証上の認識 | 外部アンチウイルスの導入を「セキュリティ投資の指標」と見なす傾向 標準アンチウイルス利用時に説明要求や加点不利の可能性 |
外部製品も管理が不十分なら無意味 標準保護機能も適切に設定・モニタリングすれば有効 |
ガートナー MQ: MS Defender をリーダーに分類 国際的規制: OS 標準機能の活用を推奨(例:CIS Benchmarks) |
評価基準の改善: 「アンチウイルス購入有無」ではなく「マルウェア対策体制全体」を評価 Defender 含む各種アンチマルウェア活用を認定・奨励 |
私たちは1~3番までで、ISMS認証制度における問題点を技術的な事例とともに見てきました。しかし、より深刻な問題は、こうした構造的限界だけでなく、認証制度そのものが最新のサイバー攻撃に対して実質的なガイドラインすら備えていないという点です。
例えば、近年セキュリティ業界で繰り返し指摘されているCredential Stuffing(クレデンシャルスタッフィング)やLiving off the Land(LoL)攻撃といった高度な脅威に関して、ISMS認証基準のどこにも、これらを明示的に検知または対応可能とすることを求める項目は存在していません。
既存の認証項目がアカウント管理、アクセス制御、ログ分析といった包括的な領域を言及していても、それらの多くは過去の攻撃モデルに基づいた一般的レベルに留まっており、今日の精巧で巧妙な攻撃手法への実質的な対応能力を確認または検証するには不十分です。**
結局これは、認証制度が単に「基礎的なセキュリティ対策の履行状況」のみに焦点を当てた結果であり、実際の攻撃状況における検知能力や対応体制を評価しないという構造的欠陥につながっています。
今こそ、既存のセキュリティ管理ではなく、「攻撃者の視点」からシステムの脆弱性を検証し、それに応じた実質的な対応力が備わっているかを確認する基準へと転換する必要があります。そのためには、Credential StuffingやLoL攻撃のような最新の脅威タイプを認証制度に明示的に反映し、検知および遮断体制の有無を具体的に評価することが求められます。
4. 最新攻撃手法(Credential Stuffing、Living off the Landなど)に対する認証基準の対応
背景:クレデンシャルスタッフィング & LoL攻撃の台頭
クレデンシャルスタッフィング(Credential Stuffing)は、今日においてアカウント乗っ取り攻撃の代表的手法として注目されています。攻撃者は大量に流出した他サービスのID/パスワードリストを入手し、それを自動化スクリプトで他のサイトに入力してアカウントログインを試行します。ユーザーが複数のサービスで類似のパスワードを使っている場合、成功率が高まり、一度突破されると該当アカウントの個人情報や金銭情報が奪取される深刻な被害につながります。
実際に2023年以降だけでも、韓国国内でGSリテール、スターバックス、韓国奨学財団などがクレデンシャルスタッフィング攻撃により数万〜数十万件の個人情報流出事故が連続して発生しました。例えばGSリテール事件では、攻撃者が複数経路で入手したID/PWを無作為に入力して約9万人分の顧客情報を盗み出し、セキュリティ専門家は対策として多要素認証(MFA)導入や異常ログイン検知の重要性を強調しました。
このようにCredential Stuffingは非常に一般的な攻撃手法となっていますが、従来のセキュリティ制御(例:ファイアウォール、アンチウイルス)では防げず、認証段階での補完策、特にMFAやログイン異常行動の検知体制が必要です。
LoL(Living off the Land)攻撃は前述の通り、システムに本来存在する正規ツールを悪用する攻撃手法です。例えばWindowsのPowerShell、WMI、MSHTA、DLLなど管理ツールを通じて悪意のある行動を実行するため、攻撃者が別途マルウェアファイルを設置せず(ファイルレス攻撃)、正規プロセス内で活動するため従来のセキュリティソリューションでは検知が困難です。 LoL攻撃はAPTグループやランサムウェア組織でも広く活用されており、2023年のある報告ではファイルレス/LoL攻撃が前年比で14倍(1400%)に急増し、MITRE ATT&CKでも最も多く報告された攻撃技術となったとされています。特に北朝鮮のハッカー組織による韓国への侵入では、内部管理者用ツールを用いて検知を回避した事例すらあり、LoLは高度攻撃の代名詞となりつつあります。
これらの最新攻撃手法に共通する点は、従来のシグネチャベース防御や定型的な制御では対処が難しいということです。Credential Stuffingは正規アカウントでのログイン試行であるため、ファイアウォールやIPSでは捕捉されず、LoLは正規プロセスが動作するためアンチウイルスでも悪性と認識されません。検知と対応は、セキュリティチームの可視性の確保、異常行動分析、セキュリティモニタリング体制にかかっています。 問題は、現行の認証制度にこれらの攻撃を想定した明確な制御項目が存在するかどうかです。
認証制度における関連コントロールとその限界
ISMS-Pなどの管理体系要件を見ると、アクセス制御、アカウント管理、ログおよびモニタリングといった項目があり、無作為なログイン試行の検知や管理者ツールの使用制御と一定程度関係しています。たとえば「システムまたはサービスの異常兆候のモニタリング」「無許可アクセス試行に関するログ分析」などが一般論として含まれていたりします。しかし、**「クレデンシャルスタッフィング防止」**や「LoL手法の検知」のような具体的な用語で基準に明記されているわけではありません。現実の認証審査では、アカウントロックポリシーの有無、ログイン失敗時のアラート設定などは確認されますが、数万件のID/PW入力試行が分散IPで行われる場合にどう検知するかまでは詳細に評価されません。同様に、管理者権限の乱用や内部ツールの悪用を検知するためのEDR/UTMの活用有無も明示的にはチェックリストに含まれていません。
要するに、認証基準は包括的には記載されているものの、最新の攻撃手法に特化したコントロールはやや不足しています。たとえば、個人情報保護管理体系ではアカウント乗っ取り防止のためにパスワードの複雑性やアカウント共有禁止などを扱っていますが、すでに流出したパスワードの使用を検知する方法(MFAや漏洩パスワードとの照合など)についての記述はありません。また、内部者によるツールの悪用に備えて「プログラミングツール使用の制御」のような項目がある場合もありますが、それをAPT攻撃のLoLシナリオと結びつけて点検することは現実には行われていません。まとめると、基準にはそれらしいことが書かれていても、実際の評価と対策点検は不十分な部分といえます。
国際標準およびガイドラインのアプローチ
国際的には、クレデンシャルスタッフィングのような認証攻撃への対策を推奨する動きが活発です。ENISAや欧州個人情報監督機関(EDPS)などは、クレデンシャルスタッフィングを主要な脅威として指摘し、多要素認証(MFA)の導入、パスワード漏洩モニタリング(たとえば「Have I Been Pwned」とのDB照合)、ログイン試行パターンの分析などを推奨しています。NIST SP 800-63B(電子認証ガイド)でも、ユーザーが過去に漏洩したパスワードを新しいパスワードに設定できないように、漏洩リストとの照合を明記しています。また、OWASPではCredential Stuffing対応チートシートを提供しており、IP単位のレート制限、Captcha導入、MFA、ログイン失敗のモニタリングなどの具体的手段を案内しています。特に金融機関や大規模プラットフォームサービスでは、ユーザー保護の観点から異常ログイン検知システム(例:同一IPからの複数アカウントログイン試行、同一アカウントの地理的に異なる場所からの同時ログインなど)を構築しています。
LoL攻撃に関して国際ガイドは、行動ベースの検知と予防的ブロックの両立を強調しています。たとえばMITRE ATT&CKフレームワークでは、PowerShellの使用やスクリプト実行などのTTP(戦術・技術)をカタログ化し、セキュリティチームがそれをモニタリングできるよう支援しています。NSAおよびCISAではファイルレスマルウェア対策ガイドラインを発行し、メモリフォレンジック、コマンドラインロギング、スクリプト実行の制限などを推奨しています。EDR製品はこうしたLoL行為をリアルタイムで検知するよう設計されており、MicrosoftのDefender for Endpointも疑わしいPowerShellコマンドのブロック機能などを提供しています。ENISAのサイバー脅威報告書でも「合法的なシステムツールの悪用が増加しており、セキュリティ制御はそれを識別できるよう高度化されるべき」との記述があります。
結局、国際的なベストプラクティスは「最新の攻撃手法を前提としたセキュリティ制御」を導入する方向です。たとえばアクセス管理分野では異常なログインの検知および遮断(UEBA技術の活用)と強力な認証の導入が基本であり、エンドポイントセキュリティ分野では行動分析ベースの検知、メモリ監視、アプリケーション制御などが追加されています。ゼロトラストモデルも、これらの細かな技術を統合した戦略といえます。
実際の侵害事例と改善への示唆
クレデンシャルスタッフィングによる被害は、前述の多数の事例から警鐘を鳴らしています。GSリテールのケースでは、同社はISMS認証も取得し、自社セキュリティを「十分に実施している」と評価されていましたが、最終的に他サービスで漏洩した情報によるログイン攻撃を防げませんでした。このケースでは、事件発生後に対象アカウントのロックとパスワード変更の通知といった対応が取られましたが、最初からMFAを導入したり異常ログイン検知体制を積極的に稼働させていれば、被害は軽減できたはずです。このように、認証を受けていても現実の攻撃手法への備えが不足すれば事故は起こるのです。これは認証基準が最新の脅威を十分にカバーできていないことによる隙間といえます。
LoL攻撃に関しては、2019年の某金融機関ハッキング事件で、攻撃者が攻撃の全過程で公開ツールではなくWindowsの標準ツール(Netsh、WMICなど)のみを使い、8か月間も検知されなかった事例がありました。当該機関は多数のセキュリティ製品を導入していたにもかかわらず、正規ツールの異常な挙動を検知するルールが存在しなかったため、攻撃を許してしまったと分析されています。その後、EDRの導入やログモニタリングの高度化で対応したものの、すでに大規模な情報漏洩が発生した後でした。この事件は「セキュリティ製品をいくら導入しても、見るべきものを見なければ無意味」という教訓を与え、管理体系認証だけではこうした高リスクシナリオに備えたとは言えないことを示しました。
したがって、政策的な改善方向は明確です。認証制度に最新攻撃手法への備えを明文化することが必要です。たとえば、「アカウント攻撃対応」という項目を新設し、MFA導入の有無、無作為ログイン検知体制、パスワード漏洩確認プロセスなどを評価したり、「異常行動検知」のコントロールを強化し、正規ツールの悪用検知技術(EDR活用など)の導入状況を確認する必要があります。現在一部の基準に分散している関連内容(アカウントロック、管理者ログ確認など)を統合して重点コントロール項目化し、審査時にはこれらを綿密にチェックする体制が求められます。さらに、実際のシナリオに基づく点検(例:レッドチームがLoL手法で侵入を試みる)を導入すれば、表面的な文書確認では見逃されがちな脆弱性を発見することができるでしょう。
まとめると、攻撃者の視点で考える認証制度へのパラダイムシフトが必要です。時代遅れのコントロールを改善し、日々巧妙化する攻撃手法に対応する**「生きた」セキュリティ認証制度**を目指すべきです。
項目4:最新の攻撃手法への対応基準 – 比較整理
| 項目 | 現行認証制度の統制要素 | 現実の攻撃の様相とリスク | 国際的な勧告および対応 | 改善の必要性 |
|---|---|---|---|---|
| Credential Stuffing 対応 | アカウント管理、アクセス制御項目で パスワードポリシー、ログイン失敗制限など間接的に言及 |
大量流出した認証情報による無差別ログイン試行が頻発 → MFA未導入時に無防備 実際に多数の個人情報流出事故の原因 |
ENISA: クレデンシャルスタッフィングを主要脅威と指摘 対応: MFA導入、異常ログイン検知、漏洩PWのブロック OWASPなど具体ガイド提示 |
認証基準の強化: MFA導入有無を評価項目化 異常ログイン行動のモニタリング・遮断体制の明確化 |
| Living off the Land 対応 | ログモニタリング、管理者権限制御など一般的統制で言及 | PowerShellなど正規ツールを装った攻撃の増加 → シグネチャベース検知の無力化 多数のAPTおよびランサムウェアがLoL手法を悪用(ファイルレス攻撃1400%増) |
MITRE ATT&CKによる攻撃手法の識別体系確立 勧告: EDRによる行動ベース検知、スクリプト実行制限、メモリフォレンジックなど |
統制の具体化: 端末EDR/行動ベース検知導入有無を評価 ログに管理ツール悪用の兆候発生時のアラート体制を要求 セキュリティイベントルールにLoLシナリオを含める |
総合比較要約および結論
以下の表は本報告書で取り上げた4つの事例について、現行制度と現実のギャップ、そして政策的改善の必要性を要約したものです。各項目ごとに問題の本質と勧告方向を一目で比較できるように構成しました。
| 事例イシュー(技術) | 現行認証制度における位置 | 現実のセキュリティ環境と課題 | 国際ガイド/事例比較 | 政策的改善の必要性(要約) |
|---|---|---|---|---|
| IPS必須構築(暗号化トラフィック) | ISMSなどで基本セキュリティソリューションとして要求 境界防御を重視 |
トラフィックの大半がTLS暗号化 → 既存IPSでは内部脅威の識別が困難 IPS構築有無に対する実効性が低下 |
NIST:暗号化トラフィックの復号後のモニタリングを提案 グローバル:SSL可視化装置、EDR活用の傾向 |
IPS要件の近代化: 暗号化トラフィックへの対応策を基準に含める 必要に応じてSSL検査または代替統制を認可 |
| 脆弱性点検 年1回(ペネトレーションテスト) | 年1回の診断/ペンテスト実施で要件を満たすとみなす | 新たな脆弱性は常時発生し、攻撃は年中無休 → 年次点検では空白が発生 事前合意されたテストは実際の攻撃と乖離 |
PCI:年1回+随時テストを規定 業界:継続的テストを重視 |
継続的なセキュリティ評価への転換: 四半期ごとのスキャン・パッチ、不意打ち模擬訓練の導入 年1回要件は最低基準として認識を改める |
| アンチウイルスソリューション(Defender vs 外部製品) | マルウェア対応ソリューションの有無を確認 | MS Defenderは無償提供されているが、外部製品の導入を慣例的に要求 → 基本的なセキュリティの過小評価、形式的な導入事例 |
Defenderの性能は立証済み(AV-TEST満点など) ガートナーMQリーダー、EDR統合機能が強調 |
成果重視の評価へ: ソリューションの種類に関係なく、最新の対応能力を備えていればOK Defenderの活用を認め、運用実態を重視した評価に転換 |
| 最新攻撃手法への対応(Cred. Stuffing, LoL) | 関連統制は一部あるが、具体的要件は不在 | アカウントリスト攻撃の頻発、ファイルレス攻撃の急増 → 従来型の統制では検知困難 | 勧告:MFA適用、異常行動検知(UEBA)、EDRの活用 ※ 攻撃手法中心の対応体制が拡大中 |
統制項目の明示化: MFAなどのアカウント保護要件を追加 行動ベースの検知・対応能力の評価を強化(実戦シナリオによる点検) |
結論:もはや有効ではない認証制度、根本的な転換が必要です
現在の韓国の情報セキュリティ認証制度は、かつて一定水準のセキュリティ体制を整えるうえで一定の貢献をしてきました。しかし、その貢献は2000年代初頭までで、すでに20年前に終わったと見なすべきです。 現在の認証制度は、技術環境の急激な変化と攻撃者たちの進化した戦略についていけておらず、実効性のない形式的な手続きを繰り返す慣習に堕しているのが実情です。
IPS構築、年次点検、外部製品のウイルス対策ソフトを好むといった旧時代的要件は、もはや現実のセキュリティ成果とは何の関係もなく、 Credential StuffingやLoLのような最新の攻撃に対する検知・対応基準すら存在しないという現実は、 この制度が現場とどれほど乖離しているかを如実に示す証拠です。
結局、今日の認証制度はセキュリティのための制度ではなく、セキュリティを装った行政手続きにすぎず、 「規定さえ守れば安全だ」という危険な錯覚を持続的に広めています。 もはや「形式的な合格」という名分で現場の対応力を妨げる制度を維持するのではなく、 現実的な合格基準、すなわち実際の防御能力を基準とする全く新しい枠組みへと転換すべき時期なのです。
結論として、もはや認証制度という名の下で形式のための形式を繰り返してはなりません。 今こそ「この制度が実際に何を守り抜いたのか」という問いに堂々と答えられるべきです。 実際に脅威を防げる制度だけが存在価値を持ち、そうでないなら廃止されるのが当然です。 それこそが真のセキュリティへの第一歩なのです。
したがって、今私たちが変えなければならないのは技術そのものではなく、この技術を捉える政策の枠組みそのものです。
参考 (References)
- シン・ジウン、「GSリテール、クレデンシャルスタッフィング攻撃を受け9万人の顧客個人情報が流出」、セキュリティニュース(2025-01-05)。
- 個人情報保護委員会、「韓国奨学財団ホームページ、クレデンシャルスタッフィングにより3万2千人の個人情報流出」報道資料(2024-11-18)。
- Cloudflare Radar Team, 2024 Year in Review: Encryption on the Web(2024-12)。
- Gigamon, State of SSL/TLS Visibility Report 2023(2023-09)。
- ISACA, 「ファイルレス攻撃の増加:1,400%の増加」(2023-10)。
- AV-TEST Institute, Product Review and Certification Report – Microsoft Defender Antivirus (Windows 10) Nov-Dec 2024(2025-01)。
- Trend Micro, 「BPFDoor: Hidden Controller Used Against Asia, Middle East Targets」(2025-04)