BCPの観点でサイバー攻撃対策をトータルに支援：ランサムウェアに感染しても、あなたの会社は事業を継続できますか？

サイバー攻撃はもはや情報システム部門だけの問題ではない。事業停止や、サプライチェーンへの被害拡大など、社会に大きな影響を及ぼしかねない経営課題となっている。ネットワークやエンドポイントといった個々の「防御策」にとどまらず、事業継続の観点からインシデント発生後の対応など含めた対策を検討すべき時期に来ている。

[PR／ITmedia]

PR

　マルウェア感染や情報漏えいといった事態が発生すると、企業にとっては深刻な問題となる。だが人によっては、「深刻といっても、PCが使えなくなってWebやメールが見られず困ったという程度の、情報システム部門だけの問題」と捉えることもあるようだ。しかし、その認識は少々古い。何の手も打たないままサイバー攻撃の被害に遭うと、企業経営そのものに大きな影響が生じる恐れがある。

　例えば、標的型攻撃を受け、しばらくその事実に気付かず個人情報の漏えいにつながれば、顧客に多大な影響を及ぼしてしまう。きちんと説明しておわびしようにも原因を追及し、再発防止策を検討しなければ話にならないが、そうした作業には想定以上の時間とコストがかかることが多い。業種によっては監督官庁への報告が求められる上、報道によってブランドに傷がつく可能性がある。こうしたもろもろのコストを積み上げていくと、コツコツ積み重ねてきた利益を失うことになるかもしれない。

　また、2017年以降猛威を振るうようになったランサムウェアは、もっと直接的に業務に影響を及ぼす恐れがある。PCや重要な情報が格納されたサーバだけでなく、情報システム側のデータを参照している生産ラインの制御用PCまでが感染し、データが暗号化されてしまうと、工場が数時間、場合によっては数日単位で停止してしまう。その逸失利益は計り知れない。実際に工場が停止し、数億円単位の被害が生じた事例が国内外で報告されている。仮に社会インフラを担う企業でこうしたインシデントが発生すれば、一企業のみならず社会全体に大きな影響を及ぼしかねない。

　このように考えていくとサイバー攻撃対策は、単に情報システムの問題ではなく、経営に直結した問題になりつつある。もちろん、経営を左右する要素は、自然災害や紛争、為替変動などたくさんあるが、それらと同じようにサイバー攻撃のリスクも織り込み、不測の事態が発生してもいかに速やかに対応体制を整え、復旧策を実施し、業務を継続させていくか、つまりBCP（事業継続計画）の観点からの対策が問われるようになっているのだ。日立ソリューションズと日立システムズではこうした課題に直面する企業を、「サイバー攻撃対応BCPソリューション」という形で支援している。

サイバー攻撃の特性を踏まえたBCPをPDCA全体で支援

　これまで「BCP」というと、地震や台風、水害といった自然災害を想定して検討されることが多かった。ただ、従来のBCPとサイバー攻撃対応BCPとでは、いくつか異なるポイントがあるという。

日立ソリューションズ クロスインダストリソリューション事業部 セキュリティソリューション本部 セキュリティマーケティング推進部 部長 扇健一氏

　「そもそも、サイバー攻撃を受けたときにどう対応するか、どう体制を組み立てるかも決まっていないことが多い。自然災害は起きたことがすぐに分かるが、サイバー攻撃はなかなか気付きにくく、どんなアラートを受け取ったらBCPを発動するかを検討しておく必要がある。また復旧宣言を出すには原因究明が必要だが、その部分も検討されていない」と、日立ソリューションズ クロスインダストリソリューション事業部 セキュリティソリューション本部 セキュリティマーケティング推進部 部長の扇健一氏は指摘する。日立システムズと日立ソリューションズでは、こうしたサイバー攻撃の特性を踏まえた上で、「点」ではなく、PDCAサイクルの全プロセスにまたがり、総合的な視点から事業継続を支援する。

従来の「IT-BCP（災害・パンデミック）」と「サイバー攻撃対応BCP」の違い

　もちろん多くの企業は、これまで何もサイバー攻撃対策をしてこなかったわけではないだろう。しかしその多くはウイルス対策ソフトやファイアウォールの導入に代表される境界防御に偏重しがちで、事業継続という観点が抜け落ちがちだった。

　サイバー攻撃対応BCPソリューションではまず「何らかのインシデントは起こる可能性がある」という前提に立ってリスクを分析し、対応体制や攻撃分析体制、業務再開手順や業務復旧手順の策定を支援するコンサルティングを実施する。その上で、こうしたリスクを低減するさまざまな対策とともに、いざインシデントが発生した際の対応策を提供し、「Plan」と「Do」の部分をサポートする。

　また、昨今のサイバー攻撃、特に標的型攻撃は巧妙化しており、1つの機器、1つのログだけでは気付きにくいことが多い。そこでサイバー攻撃対応BCPソリューションでは、Security Operation Center（SOC）による24時間365日体制での監視を行い、不審な挙動を早期に検出し、警告することで「Check」をカバーする。

日立システムズ ネットワークセキュリティサービス事業部 主幹技師長 山野浩氏

　「“アラートは出すが、何をすべきかは自分で考えてください”式のサービスではなく、どの程度深刻な状態なのか、推奨対策は何かといったアドバイスまで踏み込んで提供していく」と、日立システムズ ネットワークセキュリティサービス事業部 主幹技師長の山野浩氏は語る。

　一歩進んだ企業の中には、インシデント前提型の対策の必要性を認識し、いざというときに備えてインシデント対応プロセスやCSIRT（Computer Security Incident Response Team）を整備するところも増えてきた。だが、「見よう見まねで作ってみたものの、本当にこれで大丈夫か、見落としはないか」を不安に感じる声も多いという。サイバー攻撃対応BCPソリューションでは、そうした企業に対し専門家の視点から評価を行い、さらなる改善に向けて何に取り組むべきかをアドバイスする「Action」も支援する。

　「特に最近増えているのが、標的型攻撃メール訓練に加え、CSIRTがいざというときにきちんと機能するかを確認するインシデント対応演習だ」（山野氏）。実践的な演習を行いたいというニーズは高く、演習用インフラを備えたセンターは連日盛況となっているほどだ。また「管理職向けの演習、あるいは技術者だけでなく広報などさまざまな部門の担当者を集めて連絡体制を確認する演習なども用意しており、さまざまな側面から対応体制の実効性を確認できる」と扇氏は言う。

　これらを、プライバシーマークやISO27001（ISMS）認証取得やPCI DSS対応支援を通じ、豊富な経験とコンサルテーション力に定評のある日立ソリューションズと、グローバルで24時間365日の監視体制を備えるとともに全国各地に拠点を持ち、インシデント発生時の速やかな初期対応可能な日立システムズが手を組むことで、PDCAサイクル全体を手厚くカバーしていることも特長だ。「両社を合わせると2000人規模のセキュリティ要員が支援する。それも、システム構築、運用監視から分析、さらには脆弱性を見つけ出すホワイトハッカーに至るまで、さまざまな分野のセキュリティエキスパートがそろっている」（扇氏）。自社の経験も踏まえつつ、GDPR（General Data Protection Regulation）対応をはじめ、セキュリティ全般のよろず相談事にも応じる体制がある。

　もう一つの特長はソリューションの幅広さだ。コンサルティングから監視、緊急対応、演習・教育といったさまざまなサービスに加え、Doの対策についてはエンドポイント保護から次世代ファイアウォール、UTM、WebフィルタリングにDDoS対策、暗号化と150種類に上る製品やサービスが網羅されており、「国内でこれだけ幅広い商材をそろえたソリューションは他にない」と扇氏は断言する。

　「部分的な対応に終わってはあまり効果が期待できない。一方で企業が投入できるリソースは限られ、セキュリティ人材も豊富とはいえない。こうした中で、われわれが日々の運用監視業務やバージョンアップ作業、企画立案などを肩代わりすることで、お客さまがやるべきことを限定し、本来の業務に専念できるよう支援をしていく」（山野氏）

お客さまの規模・予算に応じた事業継続計画の策定・運用をトータルに支援

企業の生命線、制御システムも視野に入れた対策を提案

　サイバー攻撃対応BCPソリューションにはさらに重要な特長がある。いわゆる情報システムだけでなく制御システム（ICS）やOperation Technology（OT）も視野に入れ、製造ラインなどの現場も含めた事業継続を支援することだ。

　「これまで、閉じた環境を前提としていた制御系システムが、ビジネスのスピードアップといった要請もあってインターネットにつながるようになってきた。それに伴ってBCPの在り方を見直したいという声が増えてきている」（山野氏）

　情報システムでは当たり前になってきた「パッチの適用」や「パターンファイルの更新」だが、常に動き続けることが求められ、再起動すら許されない制御システムではご法度だ。正式なサポートが終了したOSがいまだに使い続けられている環境も少なくない。

　サイバー攻撃対応BCPソリューションには、パターンファイルの更新が不要でオフラインでも動作する次世代マルウェア対策製品をはじめ、そんな「止められない環境」ならではの特性に適した製品やサービスも含まれている。メニューの中には、制御システムを対象とした監視サービスもある。「監視のための回線を経由してサイバー攻撃を受けるのではないか」という心配を抱く企業もあるというが、両社はISMSに加え、国際標準に基づく制御システムセキュリティ分野の認証、CSMSも取得しているため、そうした懸念とは無縁だという。

　何より大きいのは、日立グループとして蓄積してきたものづくりの経験、知見がベースにあることだ。現場のことを考慮しない、地に足の着いていない理想論ではなく、製造業をはじめ、化学・薬品プラント、あるいは社会インフラなど、業種・分野ごとの事情を踏まえた上で相談に乗り、最適な提案が行える。

　例えば「一つのやり方として、データがどこをどう流れ、どこにリスクがあるかを踏まえた“データのフローベース”のアプローチを提唱している。どこにリスクがあり、万一止まったらどのくらいの影響があるかが分かれば、優先順位も決まってくる」（扇氏）。また「止めてはいけないのか、それとも一部の復旧を優先するのかなど、顧客それぞれの判断基準に基づいた対応を、コンサルティングの中で提案できる」（山野氏）という。

サイバー攻撃対策は経営課題、ぜひBCPの観点から再検討を

　「サイバー攻撃対策はいまや経営課題」と山野氏は強調する。サイバーセキュリティに関してさまざまなガイドラインが出ており、万一それらを満たさない状態で情報漏えいなど不測の事態が発生すれば、経営者の責任追及は免れない。サイバー攻撃を受けるということは、自社が被害者になるだけでなく、顧客やビジネスパートナーに迷惑を掛け、社会に必要なサービスを停止させ、加害者になってしまうことを意味するからだ。

　それでなくても、企業がこの先の競争に打ち勝ち、生き残るためにもサイバー攻撃対応BCPの検討は欠かせない要素になるだろう。例えば、米国ではNIST（National Institute of Standards and Technology）のサイバーセキュリティガイドラインに準拠することが、政府の調達要件として求められている。サプライチェーン全体のセキュリティが重視される中、取引条件の一つとして一定のセキュリティ水準を満たすよう要求する企業も増えてきた。セキュリティ対策を怠ることは、市場から排除されるリスクを負うことでもあるのだ。

　システムが大きくなればなるほど、どうしても弱い部分も生じてしまい、攻撃者はそこを狙ってくる。そんな状況の中で自社のビジネスを継続させるためには、どこから手を付ければいいのか、果たして自力で全てできるのかと悩む企業は多いし、対策に着手してみたものの、抜け落ちている部分があるのではないかという心配を抱くケースも珍しくない。日立ソリューションズと日立システムズでは、それぞれの強みを生かしながら、お客さまの悩み事を解決していく。

12月11日 ITmedia エグゼクティブ勉強会開催のお知らせ

「攻撃されても事業継続できる」「すぐに復旧できる」レジリエントな企業のあるべき姿とのギャップを把握し、今あるリスクを可視化、それらに優先順位をつけて、最も危険な脅威から効果的にリスクを低減していくためには？