2020年に向けた新たな社会インフラのリスクマネージメントを考える

7月4日に開催された「第30回記念 ITmedia エグゼクティブセミナー」では、2020年の東京オリンピック開催に向けた新たな社会インフラの構築と、それに伴う情報セキュリティ対策およびリスクマネージメントの重要性が明らかにされた。

[PR／ITmedia]

PR

警備とITの融合で「安全・安心」な社会づくりを支援するセコム

セコム 前会長の木村昌平氏

　基調講演には、セコム 前会長の木村昌平氏が登場。「東京五輪に向けた世界最高水準のIT社会づくり 〜イノベーションと情報セキュリティを考える」をテーマに講演。オリンピックを機にセコムを設立した秘話やITを活用した機械警備へのシフト、今後の新しい社会インフラと情報セキュリティのあり方について紹介した。

　1964年の東京オリンピックの警備を契機に躍進したセコム。あれから50年を経た2014年に、2020年の東京オリンピックの開催が決定した。東京開催が決まった大きな要因の1つが「安全・安心」である。セコムのビジョンは、「あらゆる不安のない社会を実現する」ことであり、「困ったときはセコム」に徹底的にこだわった事業を展開している。

　ITの進化は、産業・社会革命といえるが、その一方でインフラの脆弱性を露呈した。解決のための処方箋は、リアルとサイバーの融合しかない。セコムでは警備業務で培ったリアルの経験やノウハウと、サイバーセキュリティで培ったIT技術を融合することで、2020年に向けた世界最高水準のIT社会づくりを引き続き支援していく。

脅威インテリジェンスで攻撃者をあぶり出すファイア・アイ

ファイア・アイ 技術部 シニア・ディレクター セールス・エンジニアリングの岩間優仁氏

　セッション1に登壇したファイア・アイ 技術部 シニア・ディレクター セールス・エンジニアリングの岩間優仁氏は、「“検知技術”と“脅威情報”による標的型攻撃への対策 〜昨今頻発するサイバー攻撃や、脆弱性に起因するセキュリティ問題」をテーマに講演。サイバー攻撃の防御に関する最新情報および防御策について紹介した。

　2014年4月末、Internet Explorer（IE）の脆弱性が日本のマスコミにも大きく取り上げられた。この脆弱性を世界で最初に発見し、マイクロソフトに報告したのがファイア・アイである。いち早くIEの脆弱性に対する攻撃を検知し告知できたことで、同社製品を利用する顧客に被害や混乱はまったくなかった。ファイア・アイの報告から1週間後の5月2日には、マイクロソフトが緊急アップデートを公開し世界規模の混乱も収束に至っていったが、ソフトウェアの脆弱性によるゼロデイ攻撃の脅威が改めて浮き彫りになった

　こうしたゼロデイと呼ばれる未知の脆弱性を悪用した攻撃は、既存のセキュリティ対策では検知することが難しいが、ファイア・アイ製品が提供している仮想実行環境上での「マルチフロー解析」により発見することが可能だ。パッチが公開されるまで長期にわたって残る脆弱性にも対応できる。ファイア・アイはこの1年間で14個のゼロデイを検知しているが、他ベンダーが年間わずかな数しか発見できないことからも極めて高い検知技術を持っているといえる。

　ファイア・アイの製品では、メールの添付ファイルやダウンロードされた画像ファイル、実行プログラムなども含め、実際に仮想実行環境上に搭載されたユーザー環境を模した仮想実行環境でトラフィックを精査する。あらゆる種類、バージョンのOS上でファイルやプログラムを実行することで、OSやレジストリなどに変更が加えられるなどの悪意のある活動がないか、C＆Cサーバへの通信を偽装したりしていないかなどを精査し、脆弱性を突く攻撃や、新たなマルウェアなどの悪意のあるさまざまな活動を検知する。

　また、未知の攻撃が検知された場合、得られた情報を基に即座にシグネチャを作成するので、同じ攻撃は効率よく検知できる。さらに、このシグネチャ情報はファイア・アイのクラウド上で他のユーザーと共有され、ユーザーはいつでも新たなゼロデイ攻撃に関する対応シグネチャを即座に入手し自社のセキュリティに反映できる。ファイア・アイの仮想化解析テクノロジーは、Web、電子メールへの横断的な入口対策と、全プロトコルの出口対策に有効である。

　ファイア・アイは2014年1月に、インシデントレスポンスの専門企業であるMandiant社を買収。Mandiantは、重大な情報漏えい事故におけるインシデントレスポンスやインテリジェンス情報の提供、インシデントレスポンスに必要となるツールや運営支援サービスを提供している。

　Mandiantでは、世界中で悪意のある活動を行うさまざまな組織を監視している。中国に拠点を置くグループや、金融機関を狙うグループなど200を超える脅威グループについても常時監視しており、独自の技術を駆使して脅威情報の分析を行い、攻撃者の活動範囲や状況を可視化する脅威情報を提供している。

　「いまや金銭、認証情報を狙われたり情報戦争の踏み台にされるなどの脅威が起こっている。迫りくる高度な攻撃に立ち向かうには、ハードによる“検知技術”と“脅威情報”が不可欠だ」（岩間氏）

サイバーリスクを経営リスクにしないマクニカの提案

マクニカネットワークス 取締役 事業戦略統括室 室長の森重憲氏

　セッション2に登場したマクニカネットワークス 取締役 事業戦略統括室 室長の森重憲氏は、「サイバーリスクは本当に経営リスクなのか？ 〜限られた経営資源を重要な事業ドメインに集中投資する」をテーマに講演。経営層によるトップダウンでの投資判断を行うための手法や事例を紹介した。

　昨今のサイバーリスクは、経営にインパクトを与えるほどのリスクなのだろうか。結論としては、経営レベルのリスクとなる脅威を見極めて、そこに重点的に対策投資を行うことが重要だ。自社を標的としている攻撃が最もリスクが高いと考えられるため、（1）高度な攻撃を検知すること、（2）検知した攻撃が自社を標的にしたものかを判断すること、（3）自社を標的とした攻撃であれば、攻撃しているのは誰か、目的は何か、将来どんな攻撃を行う可能性があるのかを見極めること、の3ステップが重要になる。技術的には、自社を標的としている攻撃者がいるということであれば、攻撃者の視点を考えて対策を行うことが重要になる。

　サイバー攻撃にはさまざまな種類があるが、特定の標的を狙って執拗に攻撃を仕掛けるAPT（Advanced Persistent Thread）には注意が必要になる。このほか、Webサイトの改ざんやサービスを止めるDDoS攻撃にも注意が必要だ。

　一般的なサイバー攻撃のプロセスは、攻撃のインフラつまり攻撃のためのマルウェアや遠隔操作を行うC&Cサーバなどの仕組みを準備して、次に標的としている組織の中で狙いやすい部署などを調査し、標的組織の取引先になりすましてフッシングメールなどを送る。最近ではメールを使わずに水飲み場攻撃を仕掛けることも多い。こうした手順を踏むことにより、マルウェアに感染させて侵入、遠隔操作により情報の搾取を行う。また、1台のパソコンにマルウェアを感染させることに成功すれば、周囲の別のパソコンへと侵入を拡大していくため、被害は拡大する。

　企業を狙った攻撃としては、知的財産や入札情報、財務情報などの機密情報を窃取する「産業スパイ」、決済情報やIDなどの個人情報を窃取する「消費者詐欺」、政治的・宗教的な信条に基づき情報を盗むだけではなくわざわざ公開する「ハクティビズム」などがあるが、競争力や信用が低下するなどビジネスへの影響の大きさと影響期間の長さを掛け合わせてリスク判断することが重要だ。

　多くの企業のセキュリティ対策は、広く浅い従来型のセキュリティ対策に予算の大半が投資されており、自社を標的とする高度な攻撃を検知する対策が十分でない。しかし、経営リスクという観点では、自社を標的とする高度な攻撃への対策が最も重要になるため、投資バランスを見直す時期にきているといえる。

　「知財が盗まれた例はニュースになる場合が少ないので、あまり多くないと思いがちだが実際は頻繁に起こっている。企業によって違いはあるが、一般的にはハクティビズムや個人情報の漏えいは比較的被害が限定的でリカバリー可能な場合が多く、知財が盗まれた場合の経営へのインパクトのほうが大きく、長いと考えている。標的型攻撃におけるテクニカルリスクばかりを考えるのではなく、ビジネスリスクをしっかり見極めることで投資対効果を高めることができる。」（森氏）

脅威の早期発見と被害の極小化を監視で支援するラック

ラック キュリティプロフェッショナル本部 理事・エグゼクティブコンサルタントの内田昌宏氏

　セッション3に登場したラック キュリティプロフェッショナル本部 理事・エグゼクティブコンサルタントの内田昌宏氏は、「変化に挑む経営基盤の構築のために〜枢要となる情報セキュリティマネジメントの役割」をテーマに講演。事故を前提とした仕組みや組織作り、そしてモニタリングとインシデント対応態勢の有効性を解説した。

　セキュリティ対策は単独で行うものではなく企業の中で情報や活動を守るために存在するため、リスクコントロールは、事業計画や業務生産性や品質と深く関わることが重要である。グローバル化や法規制などのビジネス環境が変化するなか、海外に重点を置く必要もあるだろうし、スマートデバイスやクラウドなどのワークスタイルやIT環境の変化への対応も必要になってくる。さまざまな脅威の変化に対応しなければならない。

　リスクコントロールだけで網羅的に脅威の変化に対応することは、人的リソースやコストの面からももはや困難である。そこで事業計画を達成するための阻害要因となるリスクの優先順位を明らかにし、その順位に基づき、IT統制を中核としたリスク排除のための施策を効率的に実施することが必要になる。セキュリティポリシ―は大切だが、何のためにやっているのかを理解する必要がある。

　セキュリティ事故は後を絶たないが、モグラたたき的対応は現実的ではない。そこでセキュリティ対策をどこまでやるか、どれだけ投資するが企業にとって大きな課題となる。このとき「組織の成熟度」と「セキュリティレベル」には相関関係があり、組織の成熟度が上がればセキュリティレベル（リテラシ）も向上するという統計結果が参考になる。成熟度の高い企業は、セキュリティを浸透させるためにルールを強制的に守らせるのではなく、現場の人までが何のためにを理解し、自律的に運用していることが多い。人を管理するのではなく仕組み（プロセス）を管理するというアプローチが必要である。

　脅威が顕在化する前に、早く気付いたり予兆を得るためには防御すること、すなわちモニタリングが必要になる。モニタリングは「対策」「確認と発見」「対処」「評価と分析」のサイクルで考えると分かりやすい。現状では対策に多くのリソースと投資をしているケースが多くあるが、このサイクルそれぞれの現状を分析しバランスよくすることが大切で、バランスしてくるとシステムリスクの管理の態勢も整ってくると考えている。

　ラックではモニタリング強化のためのさまざまなサービスを提供している。1日分のログを収集して、相関分析、横断分析を行い、異常を発見した場合には顧客のセキュリティ担当者に連絡。また、急を要するインシデントと判断された場合には、調査、原因究明、対応までを24時間体制でサポートする緊急対応サービスも提供している。

　「リスクを知るために俯瞰的にさまざまな対処を整備する必要があるが、IDの統合やIPの固定など端末と個人の紐付け、利用状況を“徹底的に見える化”するなど、まずは当たり前のことを当たり前に実行することを心がけてほしい。」（内田氏）