日々進化する脅威に対応するためには全体像の「見える化」が重要

セキュリティ対策は、1年前と現在ではトレンドが大きく異なっている。これまではテクノロジー中心の対策だったが、現在はCISOの設置、人材の育成など、経営層の関心も高まっている。今後、日本企業として知っておくべきセキュリティ対策について、米国IBM Security Services Associate Partner, Security Operations & Optimization、デイビッド・マクギニス氏に話を聞いた。

[PR／ITmedia]

PR

　セキュリティ対策に取り組んでいる企業にとっての最大の課題は、いかに顧客の信用を失墜しないかということである。企業が保有している顧客データが、安全ではないと顧客に思われた時点で、その企業に対する信頼は急速に失われることになる。そこで多くの企業では、さまざまな規制やコンプライアンスに準拠することで、一定のセキュリティレベルを担保しようとしている。

　このアプローチは世界的なトレンドでもあるが、コンプライアンスとセキュリティは同義ではない。コンプライアンスに関する、あらゆる監査をクリアしている優秀な企業であっても、データ侵害が起きてしまう事象は毎日のように報告されている。顧客の信頼を失墜することは、会社の業績や利益にも影響する問題であるだけに、IT担当者はもちろん、経営層も関心を持たなければならない。

有効な対策は12カ月前と現在は違っている

米国IBM Security Services Associate Partner, Security Operations & Optimization、デイビッド・マクギニス氏

　マクギニス氏は、「関心を持つべき多数の脅威がある中で、12カ月前には有効だった対策が、今日ではまったく効果を発揮しないという時代です。また以前に比べ、相手にしなければならない敵も、より巧妙にかつより高度に変化しています。テクノロジやコンプライアンスも進化しているのですが、脅威に対応するためには攻撃の見える化が重要になります」と話す。

　高度な攻撃を仕掛けるのは、国の政府やテロリストの小集団、組織犯罪集団など、さまざまである。マクギニス氏は、「中堅・大規模の企業では、毎週2件のセキュリティインシデントを発見するために、160万件のセキュリティイベントの調査を行う必要があります。自社内で担当者が手作業で分析するにしろ、自動でデータ分析するにしろ、高度な攻撃への対応はますます困難になっています」と話す。

　このような高度な攻撃への対応は、「戦術・戦略」「運用管理」「テクノロジ」の3つの領域において、より最適化された手法へとシフトしはじめている。例えば戦術・戦略は、以前はIT部門の管轄だったが、現在は経営層の管轄へとシフトしている。

　さらに運用管理では、リスクやコストを見える化することで、オペレーションをより効率化している。またテクノロジも高度化し、より具体的な脅威、具体的な敵を想定して効果的な対策が可能になった。マクギニス氏は、「セキュリティの脅威への対応の多くは、攻撃を受けた時点での都度対応でした。現在は、事前対応型（プロアクティブ）になってきており、脅威を迅速に可視化する手法を活用することにより、被害を未然に防ぐ、あるいは極小化する方法へと変化してきています」と話している。

自社とパートナーのリソースを組み合わせた"ハイブリッド"を適用

　高度な攻撃に対応するための、より最適化された手法を体系化したのが「IBMの考える運用モデル」である。これは、「戦略」「運用」「テクノロジ」の3層で構成される。各層は、複数の機能、複数のコンポーネントで構成されるが、これを管理するための体制がCSIRT（Computer Security Incident Response Team）である。

　マクギニス氏は、「テクノロジ層は、ミッションを遂行するために必要なプラットフォームとデータを提供し、運用層は“監視”“トリアージ”“対応”で構成されるセキュリティ・インテリジェンスを中心に機能します。この運用局面で昨今重要視されてきているのが、MSEIM（Managed Security Information and Event Management）です。ツールなどの充実により、運用、監視のためのデータやログの収集は容易になりつつありますが企業内での活用はまだ進んでおらず、これを活用するためのノウハウや体制を提供しています。さらに戦略層は、セキュリティ対策の効率・効果の測定はもちろん、企業としてセキュリティーのレベルアップを主導する役割も担っています」と話す。

　日本の企業においては、こうしたモデルの採用が進んでいないのが現状である。マクギニス氏は、「日本の企業のセキュリティ対策は、ファイアウオールや侵入防止システム（IPS）など、基本的なセキュリティ対策はなされています。今後、成熟度を上げていくためには、見える化と効率・効果の両方を底上げし包括的な対策が必要になります」と話す。

　しかし、この包括的なセキュリティモデルを、自社だけで実現するためには大きな労力が必要となる。マクギニス氏は、「脅威の監視をいかに実現するか、自前でやるべきか、パートナーを探すべきかという意思決定は非常に重要になります。そこで社内のリソースや能力とIBMのノウハウを組み合わせる"ハイブリッド・モデル"を採用することで、最適なソリューションを実現できます」と話す。

Security 運用モデル

　自社での対応の（スキルや作業量的に）負担が大きい部分（青で示した部分）を、IBMなどのプロフェッショナルにアウトソーシングすることは、セキュリティ対策における今後のトレンドとなる。内部で行うのか、外部のパートナーに依頼するのかという選択をするためには検討すべき点がある。1つは競争優位性であり、もう1つは必要な機能を実装するための能力が社内にあるかどうかということだ。

　マクギニス氏は、次のように語る。「自社における脅威の監視能力は、競争優位性を持っているかどうか。多くの企業は"いいえ"と答えるでしょう。また脅威を監視する場合、社内に人材がいるか、ノウハウがあるかが重要です。また人材を社内で育成できるかどうかの考慮も必要です。基本的なモデルを理解し、どれを社内で実現し、どれをアウトソーシングするか、正しいバランスを見つけることです」

　人材の育成についてマクギニス氏は、「米国においてCISO（Chief Information Security Officer）という役職は、何年も前から存在しています。この役職は、まったく新しい役職として突然生まれたものではなく、CISOとはこういう役職で、こういう資格が必要であるという定義からスタートしています。定義がはっきりすれば、その役職を目指した必要な部分を学んでいこうと考える人が出てきて人材は育成できます。日本でも今後CISOの育成が課題となってくるでしょう。」と話している。

セキュリティ対策にいくら投資すればよいか

　米国のある流通業で発生したセキュリティ事案では、その対応にかかったコストが4億ドルといわれている。マクギニス氏は、「経営トップは、セキュリティ対策にどれくらい投資すればよいのかを考えるにあたり、実際にデータ侵害が発生した場合に、どれくらいのコストがかかるのかを考えるべきです」と話す。

　どのような脅威があるのか、どのような規制に準拠しなければならないのかなど、まずは要件を明確にし、それに必要なログを定義する。ログの定義ができれば、どれくらいのイベントがあるのか、どれくらいの脅威の可能性があるのかなどで規模が決まる。これにより必要なスタッフの数も決まる。

　「誤ったアプローチとしては、MSIEMを展開して、単にデータの収集だけに注力してしまうことです。そうすると大量のログが集まりますが、それが脅威であるかどうかは別の問題です」とマクギニス氏。

　まずは、どのような脅威が存在して、攻撃から何を守らなければならないのか、準拠しなければならないコンプライアンスは何かなど、要件を明確にすることで、セキュリティ対策の規模感も見えてくるというのがIBMの見解である。このようなアプローチにより、正しいレベルの投資が可能になる。

　マクギニス氏は、「IBMの強みは、豊富なアプローチの仕方が提供できることです。MSIEMの提供はもちろん、企業のセキュリティ体制についてのマネージメントコンサルティングも提供できます。経営層から管理者、現場の技術者まで、すべてのレベルの問題に対するソリューションを持っているのです」と話す。

　例えばカナダの大手銀行では、全社的かつ包括的なセキュリティ実装をトップダウンで決定した。当初は完全な縦割り状態で、戦略も計画もなく、人材育成も行われていなかったが、IBMの提案により、集中化、統一化されたグローバルなセキュリティ・オペレーション・プログラムを展開した。

　セキュリティセンターやテクノロジなどを含めたMSIEMを導入し、集中化したSOCを構築したことで、セキュリティ上どのような問題があり、どのような対策をしたのか、さらにコストはどれくらいかかったのかといったビジビリティレポートを、経営トップに月次で提供することが可能になった。

　また米国の保険会社では、集中化したITセキュリティを構築するというアイデアは持っていたが、実行能力が伴っていなかった。IT環境に関しても無駄が多かった。そこでIBMの提案により、セキュリティモデルそのものの再構築を実施。人材育成や人事異動なども含め、セキュリティプログラムの最適化を実現した。

　IBMではコンサルティングサービスを提供することで、新たな3年計画の立案をサポートし、SOCによる監視システムを構築した。現在、フェーズ2として、よりコスト効果を高め、ムダの少ない組織にするなど、さらなるセキュリティ対策の強化に取り組んでいる。

　IBMでは、すべてのレベルに対して、それぞれのニーズにあった形で提供することができる。経営層から管理者、現場の技術者まで、もっとも理解しやすい形でアプローチすることができ、テクニカルな情報を経営者向けに訴求する方法も提供することできる。

　マクギニス氏は、「セキュリティ対策におけるパートナーを選択する基準は、そのベンダーが持っている専門的なノウハウのレベルが重要です。IBMは非常に深いレベルのノウハウを持っており、長年の経験、豊富な人材、数多くの導入実績があり、このようなIBMの能力をお客様のセキュリティ体制の強化に役立ててもらいたい」と話している。