サイバー攻撃対策の重要なポイントは「知る・守る・続ける」
サイバーテロ対策フォーラム 講演レポート

ito-4

日経BPイノベーションICT研究所が主催するイベント「サイバーテロ対策フォーラム」が2015年12月1日、秋葉原コンベンションホールで開催されました。企業だけでなく、国や自治体、公共機関などに対するサイバーテロが世界的に増えています。電気・水道・ガス・鉄道・航空・物流・金融・病院・通信といった重要な社会インフラがサイバーテロに遭えば、私たちの生活が脅かされることになります。

2020年の東京オリンピックなどの重要なイベントを控えて、今後日本におけるサイバーテロが増えていくことが予想されています。本セミナーイベントは、サイバーテロの現状や企業における課題、対策の必要性について、警視庁の情報セキュリティスペシャリストや大学の研究者などによる専門的な解説が行われました。

20年以上にわたって企業ユーザーを中心にセキュリティ技術の導入や運用を手がけてきた伊藤忠テクノソリューションズ(CTC)からは、クラウド・セキュリティ事業推進本部 セキュリティビジネス部 部長代行の伊藤英二氏が登壇し、「社会インフラを襲うサイバー攻撃への対策と運用の在り方」と題した講演を行いました。

サイバー犯罪・脅威と自社の問題・課題を把握する

CTCが情報セキュリティ分野における製品の提案、導入、運用保守、教育といったセキュリティサービスを提供し始めたのは、1990年代にまで遡り、すでに20年以上の歴史を誇ります。保護対象となるシステムを熟知したうえで、総合的なセキュリティサービスを提供できるシステムインテグレーターとして、時代の移り変わりとともに多様なセキュリティソリューションやサービスを多数のユーザーへ提供してきました。

ITシステムの企画から検討、設計・導入、運用・保守にいたるまで、ユーザーが抱える様々なセキュリティに関する課題に対して、セキュリティ分野に特化したエンジニアがあらゆる面でサポートするのが、CTCのセキュリティサービスの特長です。2014年には、防衛産業分野において世界有数の企業であるBAE Systemsと提携してセキュリティオペレーションセンター(SOC)を開設し、24時間365日のセキュリティ運用監視サービス「CTC-MSS」(MSS:Managed Security Serviceの略)を開始し、トータルにセキュリティサービスを提供できる環境を整えました。

ito-4

伊藤氏は、NISC(内閣サイバーセキュリティセンター)が公開している標語からことばを借りて、サイバー攻撃からシステムを保護するためには、知る」「守る」「続ける」という3つの柱が重要だと説きました。

「知る」というのは、サイバーテロが発生する要因を知るということです。サイバー犯罪者らがどのような目的でどのような攻撃を仕掛けるのか、自社にはどのような弱点が存在するのか、正しい情報を得ることが必要です。

アカウントの運用不備や権限付与のミス、不用意な端末の共用化、初期設定のままの運用、設計上のミスなど、まさかと思うようなミスや対策漏れは実際に存在し、いまでもどこかに残されているものです。伊藤氏らは、そのような状況を数多く経験してきたと言います。

「セキュリティレベルというものは、対策を開始してから時間の経過とともに、劣化するということを知ってください。攻撃手法の進化や新しい脆弱性の発見といった外的要因だけでなく、資産の増加や人員の変化などの内部要因によって、状況はどんどん変化してきます。セキュリティレベルの維持とは、システム導入時の状態を維持することではないのです」(伊藤氏)

ito-16

高度な知識と情報量が必要なシステムリスク管理

次に重要なことは、サイバー攻撃からいかにシステムやデータを「守る」かという点です。このためには、セキュリティレベルを“劣化させない”ための仕組みがポイントとなります。時間とともに変化するリスクを、どのように管理していけばよいかという視点で考える必要があります。

効果的にシステムリスク管理を行うためには、「保護すべき資産の特定」「脆弱性情報の収集」「脆弱性診断の実施」「リアルタイムな攻撃の検知」といったプロセスを継続することが重要です。

とはいえ、脆弱性の管理には多大な労力が必要で、システムやビジネスへの影響度を鑑みると、安易にパッチを適用したり、設定を変更したりできないのが実情です。また、膨大な数の脆弱性情報を把握し、自社にとって重要かそうでないかを判断することは、非常に困難です。

「実は、脆弱性情報やシステム環境を適切に調査・分析してみると、極めて重要で優先して対策すべきものは一部に限られます。しかし、それは企業やビジネスによって千差万別で、高度な知識がないと適切に判断することは困難です。そこで活用したいのが、専門家のサービスです。例えばCTCでは、IT資産情報を預かったうえで、膨大な脆弱性情報や診断結果を分析し、本当に危険度や影響度の高いものから対策を提案・実行します」(伊藤氏)

このようにして守るIT資産のシステムリスク管理を行った上で、攻撃を検知・防御するセキュリティ対策製品の運用を実施していきます。冒頭に紹介したCTC-MSSでは、SOCに常駐するセキュリティアナリストが、継続してユーザーのセキュリティ対策製品を監視し、必要に応じて報告や対策を実施します。ユーザーのもとに届く情報は重要度の高いものに限られるため、運用の負荷を増大させることがありません。

運用を継続するためには人材を維持することも重要

最も重要なのは、セキュリティ運用を「続ける」ことでしょう。適切な運用を続けることによって得られるメリットは多岐に渡ります。

伊藤氏によれば、あるユーザーは、CTCのセキュリティサービスを運用しはじめた当初、脆弱性診断で発見した多数の優先度・高の脆弱性に対する処理が中心で、対処する時間も多くの時間が必要となり、それ以外に対応する余裕はありませんでした。しかし運用を継続した結果、現在では発見した脆弱性の総数を大幅に減らすことができ、新しい脆弱性が発見されても迅速にユーザー自身で対応できるようになりました。

またあるユーザーは、サンドボックス製品を比較検討する目的で一時的に製品評価した際に、複数のマルウェアが発見され、さまざまな対策やシステム強化を図る必要がありました。しかし前述したようなセキュリティ運用を継続し、1年後に同じような製品を導入してから半年の間に発見されたマルウェアは製品評価時と比較して激減しました。

伊藤氏によれば、さまざまな企業やシステムを対象に、セキュリティ運用を続けてきた経験から、いくつかの課題やポイントが見えるとのことです。

「第一に、資産情報を把握することが重要です。第二に、セキュリティ運用を定型業務化すると、マンネリ化してしまうということです。時代に合わせて手法を常に変化させたり、定型化されたものは当社からユーザーへスキルトランスファーしたりして、適切に継続できる仕組みが必要です。最後に重要なこととして、人材の維持があげられます」(伊藤氏)

他の業務部門と同様に、異動や退職によって優秀なエンジニアを失うことは十分に考えられます。専門性の高い分野であるがゆえに、特定の人材に依存しているのはリスクが高くなりがちです。そこで伊藤氏は、「セキュリティ部門のみに任せるのではなく、全社的に取り組んで、人材の強化を図ることが重要」だと主張します。

最後に伊藤氏は、CTCにおいても、人材育成は非常に重要な要素だと述べました。最近では、競技を中心に参加者同士がセキュリティスキルを研鑽する「Hardening」というイベントに参加して、実践力を磨いているとのことです。そうしてスキルアップを果たした強力なエンジニア・アナリストが、ユーザーのシステムを守っているのです。

本公演資料は以下のフォーム入力をしてくださるとダウンロードできます。

 

講師:
クラウド・セキュリティ事業推進本部
セキュリティビジネス部 部長代行 伊藤 英二
編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント