[セッションレポート] 【デモで実演】侵入経路予測でプロアクティブなセキュリティを！（AP-09）#AWSSummit

本記事は 2025 年 6 月 25 - 26 日の 2 日間開催された AWS Summit Japan 2025 のセッションレポートです。

セッション情報

• セッション ID : AP-09
• タイトル : 【デモで実演】侵入経路予測でプロアクティブなセキュリティを！
• スピーカー : 五十嵐 涼（トレンドマイクロ株式会社 セールスエンジニア）
• テーマ : Security
• セッション概要（引用）

  脅威動向から導き出した、実際に起こりうる AWS 環境へのサイバーインシデントをデモで実演。不正アクターが事前準備、初期侵入から内部探索、ランサムウェアの実行するまで各ステップをお見せします。また、そのような巧妙化する脅威から自社を守るため、AWS 利用者が行うべきセキュリティおよびリスクマネジメントを解説します。そして、トレンドマイクロが提供する AI を用いた侵入経路予測機能によって、どのように事前に侵入経路が予測でき、侵入される前にプロアクティブな改善を図ることができるのか紹介します。

• セッションのオンデマンド配信はございませんが、こちらから登壇資料が閲覧可能です！

セッション内容

アジェンダ

• 脅威動向とプロアクティブセキュリティとは
• プロアクティブセキュリティの実現
• [デモ]被害が想定されるインシデント
• プロアクティブセキュリティの導入効果

脅威動向とプロアクティブセキュリティとは

昨今の脅威動向

• ランサムウェアが蔓延しており、2018 年には 6 件だった確認事例が 2024 年には 84 件に増加している
• トレンドマイクロ社のインシデントレスポンスの事例によると、7 割以上が標的型攻撃とランサムウェア
  • 被害企業規模はまんべんなく受けており、他人事ではない
• トレンドマイクロ社が 21 の国や地域の約 2000 名のセキュリティリーダーに行った資産管理に関する意識調査では、74 %の企業が把握していない、または管理されていない IT 資産に起因するセキュリティインシデントを経験している
• 特にクラウド環境こそ管理を重要視すべき
  
• クラウド資産管理の難しさの要因：クラウド特有のアーキテクチャ、新しい技術の導入などの背景によるクラウド資産の拡大・複雑化
• クラウド資産の管理が不十分であることはサイバーリスクの存在につながり、さらにビジネスインパクトのリスクにもつながる可能性がある

プロアクティブセキュリティ

• 従来のセキュリティは、脅威を受けた際に「いかに止めるか」 「いかに早く検知できるか」を重視している
• 新しいセキュリティの考え方として「そもそも被害を受けない環境を作り出す」ことが重要になってくる（＝プロアクティブセキュリティの存在意義）

プロアクティブセキュリティの実現

• プロアクティブセキュリティを実現するためには、「リスクの可視化」 「リスクの優先度付け」 「リスクの軽減」の 3 要素を継続的に回すことが重要
• トレンドマイクロ社の「Trend Vision One」は、Cyber Risk Exposure Management（略して CREM ）をプラットフォームで提供している
  
• 例：企業全体・組織全体のリスクスコアが表示可能（デバイス、認証基盤、クラウド資産などを含んでいる状態）
  
• クラウド資産の一覧化も可能で、どのようなクラウド資産があり、そのリスクがどのようなものか、リスクの詳細も確認可能

[デモ]被害が想定されるインシデント

• CREM を導入しなかった場合の被害の広がりについて、以下のシナリオがデモンストレーションされました
  
• 現地参加したので、初期侵入 → 内部探索 → 権限の永続化 → 情報窃取 → 暗号化 がコマンド実行で進んでいくデモ動画を実際に見ることができました

プロアクティブセキュリティの導入効果

• CREM を導入すると、被害を受ける前に以下の観点でチェックされるため対応が可能になる
  • リスクの可視化: 環境内の各資産（外部公開サーバー、保守作業サーバー、Amazon RDS、Amazon S3）が持つリスクを事前に把握可能
  • リスクの優先度付け: 各リスクイベント（脆弱性、システム設定、予測分析）に対して優先度（高、中など）が付けられ、対処すべきリスクが明確になる
  • リスクの軽減: 検出された脆弱性や設定不備に対し、具体的な修復手順が提示される
• CREM では、サイバーリスク指標の目標設定、リスクイベントの対処、アラート通知設定も可能
• トレンドマイクロ社の強みは「侵入経路予測（意図しないアクセスルートの把握）」
  • 侵入経路予測には 3 つの条件を使用している
    • エントリーポイントの検索：不正アクターから見た侵入の可能性のある入り口を特定（インターネットにさらされた資産など）
    • 潜在的な内部活動経路：不正アクターが横展開できる可能性のある経路（ルーティング、権限の有無など）
    • 重要情報につながる経路：最後にたどり着いた際に不正アクターにとって侵害する価値のある重要資産（機密情報、クリティカルな資産など）
      
• 実は今回のデモ環境でも、侵入経路予測は出ていた
  • 侵入経路予測を活用することで、なぜ特定のサーバーがエントリーポイントとして表示されるのか？「何かおかしい」という気づきを得て、被害を受ける前に対策を講じることが可能になる
  • 検出原因や修復方法も提示されるので、対処がしやすい
    
• プロアクティブセキュリティは、ビジネスインパクトにつながるリスクを可視化し、対応の優先度付けを行い、効果的な軽減策を提示する

プレビュー機能：ビジネスリスクの定量化

• サイバーリスクを金銭的に定量化する機能がリリース予定
• 開発中のイメージ画像では、金銭的ビジネスリスクを特定し、その被害額が提示されていました
• インシデント対応費用や法的な罰則費用など、損害カテゴリー別の表示も予定されているとのこと
  

感想

トレンドマイクロ社の Cloud One Workload Security の導入支援に関わったことがあるため、Trend Vision One についても知りたいと思ったのと、侵入経路予測というキーワードが気になり聴講しました。
個人的にはシステムに侵入して暗号化まで実施するデモ動画が面白かったです。おもしろい反面、侵入から暗号化までがコマンドで簡単にできてしまうのが怖いとも思いました。
印象的だったのは CREM を導入した場合に事前に把握できる情報量がとても多かった点です。
リスクの可視化・優先度付け・軽減まで表示されるので、ユーザーにとって数あるリスクのうち、どれから、どのように対応すればいいかが分かりやすいのは嬉しいですよね。
また、とあるお客様にこのプレビュー機能の話をした際に、「予防的なセキュリティをやりたくても経営層を納得させられる材料が無くて苦労しているので、サイバーリスクが金銭的に定量化されるのは良い材料になるかも」というコメントを頂き、なるほどなと思いました。（このプレビュー機能、かなり広いお客様に刺さるのでは？）
今回のセッションを聴講して、Trend Vision One の CREM 機能を色々検証してみたいなと思いました。

以上、本レポートが参考になりましたら幸いです。
ご覧いただきありがとうございました。