「敵を知り己を知れば」── サイバー攻撃にも孫子の兵法で

次々と露呈する脆弱性、それらを衝き、一段と巧妙化するサイバー攻撃の前に企業の対策は後手に回りがちだ。20年にわたる経験と実績を生かし、「技術」「人材」「情報連携」という3つの観点でセキュリティに取り組むNEC。その司令塔であるサイバーセキュリティ戦略本部松尾本部長は、次の新たな一手は敵を知り己を知る「先読み対策」だと話す。

[PR／ITmedia]

PR

　昨年は、顧客情報漏えいや標的型攻撃などセキュリティ関連のニュースがこれまでになくメディアを騒がせ、社会に大きな不安を与えた1年だった。また、ICTの基幹をなすソフトウェアに深刻な脆弱性がいくつも見つかり、サポート切れとなったOSの存在も大きな危険をはらんでいる。企業の対策は後手に回りがちだが、打開の糸口はあるのか？　「技術」「人材」「情報連携」という3つの観点でセキュリティに取り組む日本電気（NEC）のサイバーセキュリティ戦略本部松尾好造本部長に話を聞いた。

企業のみならず社会全体に影響を及ぼすサイバー攻撃

浅井：最近のサイバー攻撃に見られる傾向からお聞かせいただけませんか？

日本電気サイバーセキュリティ戦略本部 松尾好造本部長

松尾：最近のサイバー攻撃の特徴としては、金銭などを目的としたプロのサイバー犯罪集団による組織的な攻撃が増えているということが挙げられます。この結果、狙われてしまうと被害を防ぐのが非常に難しくなりました。また、JPCERTコーディネーションセンターのインシデント報告対応レポートによると、国内における事件・事故の報告件数はこの2年間で約4倍に増加しています。しかし、それも恐らく氷山の一角に過ぎないでしょう。未公表の事件や気付いていないケースも含め、実際にはその何倍もの事件や事故が発生していると思われます。

浅井：ひとたび事件・事故が起これば、その企業の存続が危うくなるだけでなく、社会にも大きな影響を及ぼすと言われています。手をこまねいているわけにはいきませんね。

松尾：はい。2014年11月には「サイバーセキュリティ基本法」が成立し、国家としてサイバーセキュリティを確保・維持する姿勢を明らかにしました。その一環として、「サイバーセキュリティ戦略本部」が設立され、また、これまで実務を担ってきた内閣サイバーセキュリティセンター（NISC）も法制組織化されました。NECは、社長の遠藤が「サイバーセキュリティ戦略本部」の本部員に就任する等、国の取り組みと緊密に連携しています。

　NECによるサイバーセキュリティへの取り組みは商用インターネットの利用が本格化した1990年代から始まります。今日のようにICTが社会インフラに深く浸透してくると、その前提となるサイバーセキュリティの確保・維持は、個々の企業のみならず、社会全体のあらゆるものを対象としていかなければならないと認識しています。ICTベンダーとして長年培ってきた技術やノウハウを生かし、社会に貢献していくことがわれわれの使命です。

これからのセキュリティに求められる「技術」「人材」「情報連携」という3つの観点

浅井：プロのサイバー犯罪集団による攻撃は、ますます巧妙になるでしょう。対抗するために企業はどのような取り組みが必要でしょうか？

日本電気サイバーセキュリティ戦略本部松尾本部長（左）と聞き手のアイティメディアエグゼクティブ・プロデューサー 浅井

松尾：サイバーセキュリティの確保・維持には、「技術」「人材」「情報連携」の3つを融合した取り組みが必要だと考え、われわれ自身もそれらの機能強化を図ってきています。

　まず、技術に関しては、社内の大規模ICT環境を運用する中で培った技術をはじめ、NECの得意分野であるSoftware Defined Network（SDN）やビッグデータと連携したセキュリティソリューションなど、いろいろな側面から開発を進めています。

　次に人材強化ですが、国内でも屈指のホワイトハッカーが所属している「サイバーディフェンス研究所」や、セキュリティ監視のノウハウが豊富な「インフォセック」といったセキュリティ専業の企業を傘下に迎えました。もちろん、NECの社内でも公的資格の取得推進や、技術研修の実施、社内資格制度の拡充を図っています。また、セキュリティ人材は、社会全体で不足が指摘されており、NECもさまざまな角度から貢献できるよう取り組みを進めています。例えば、シンガポール政府と共同でサイバーセキュリティ専門家の育成に取り組んでいます。国内では、総務省のサイバー防衛演習「CYDER」の演習プログラムを開発し、各省庁や重要インフラ事業者向けの実践的な演習を支援しています。さらに、北陸先端科学技術大学院大学（JAIST）に、サイバーセキュリティ人材育成のための寄付講座を開講します。

浅井：情報連携というのは、どのような取り組みですか？

松尾：グローバルでは、インターポールと提携しています。彼らがシンガポールに新設する活動拠点、「The INTERPOL Global Complex for Innovation」（IGCI）にトップクラスの技術者を派遣し、世界のサイバー犯罪の調査・分析をはじめ、各国の警察官向けの教育プログラムの開発なども共同でおこなっています。国内では、昨年11月に、米国で実績のある「NCFTA」（National Cyber-Forensics and Training Alliance）の日本版である「日本サイバー犯罪対策センター」（JC3：Japan Cybercrime Control Center）が設立されました。これは、産官学で情報共有を進め、サイバー犯罪を未然に防ごうという取り組みですが、NECも参画し、取締役執行役員常務 兼 CMOの清水が代表理事に就任しています。

　このように技術と人材、そして社内外の情報を集結する拠点として「サイバーセキュリティ・ファクトリー」を開設しました。サイバーセキュリティ・ファクトリーでは、セキュリティ専門ベンダーとも強力に提携し、セキュリティ監視や技術検証をおこなっています。

後手に回るのではなく、インテリジェンスを活用した「先読み」セキュリティ対策を

浅井：「技術」「人材」「情報連携」を融合することで、どのようなセキュリティ対策ソリューションが生まれ、お客さま企業に提供されていくのでしょうか。

松尾：従来のセキュリティ対策の課題は、「既知の脆弱性ですら対応が追い付かない」「どこをどう対策していいのか分からない」という状況の中、次々と新たな脆弱性やマルウェアが発見され、対応が後手に回ってしまうことです。対策しようにも、情報もスピードも足りません。残念ながらプロのサイバー犯罪集団は、攻撃者同士が情報やツールを共有しており、防御側に比べて圧倒的に優位に立っています。ですから、守る側の政府や企業の情報連携がより重要です。

　こうした現状を踏まえてNECでは、「プロアクティブサイバーセキュリティ」というコンセプトを提唱しています。次々と登場する新たな脅威を前に対策が間に合わず、攻撃と対策のレベルにギャップが生じています。攻撃を受ける前に先読みしながら対策を打つことでこのギャップを埋めていこうというのが、プロアクティブサイバーセキュリティの狙いです。

　この「先読み」を実現するための鍵となるのが、先にお話した情報連携をベースとした「セキュリティインテリジェンス」です。NECではICT環境に潜む脆弱性を迅速に特定・対処するために必要となる情報を専門家が分析し、セキュリティインテリジェンスとしてリアルタイムに提供します。

「プロアクティブサイバーセキュリティ」の狙い

浅井：脅威情報や脆弱性情報などインテリジェンスの提供に取り組む企業が増えていますが、NECのセキュリティインテリジェンスの特長はどこにありますか？

松尾：グローバルなインテリジェンスについては先ほどお話したとおりです。ただ、日本の企業を守るには、日本固有のインテリジェンスが重要だと考えています。実は、NECのサイバーセキュリティ・ファクトリーで検知した攻撃を分析すると、そのうち約8割が日本を標的とした攻撃であることが分かっています。NECは、日本における最新の攻撃情報もいち早く得ており、それらをフィードバックしています。

NEC自身の経験とノウハウを生かしたセキュリティソリューション

浅井：プロアクティブサイバーセキュリティを構成する大きな要素として、インテリジェンスが位置付けられているのですね。もはや「境界の壁を高くして守る」というアプローチは過去の話になりつつあり、「見える化」に取り組む企業が増えつつあるのを私も実感しています。実際のところ仮想環境が容易に構築できるようになったこともあり、最新の構成や脆弱な箇所を把握するだけでも一苦労ですよね。

松尾：多層的に対策機器を配置し、SIEMを導入することで未知の攻撃の早期検出や防御をおこなうことが各所で声高に言われていますが、その前提にあるのが攻撃全体の90％以上を占めると言われる既知の攻撃から防御するための脆弱性管理です。

　大切なのは、自社の情報システムのどこにリスクがあるのかを迅速に分析し、状況を正確に把握することです。NECでは、近年、あるソフトウェアに情報漏えいにつながる脆弱性が発見された際には、わずか1時間で、PCやサーバ18万台の中から対処が必要な端末を特定しています。

「プロアクティブサイバーセキュリティ」を実現する2つのソリューション

浅井：セキュリティを確保・維持していく取り組みは、日々運用業務に追われるシステム管理者にとって大きな負担となります。ソフトウェアに脆弱性が発見されても、すぐに機器を詳細に調査するのは難しい上に、何をどこまでやるのか判断しづらい、という声を企業からよく聞きます。

松尾：おっしゃるとおりですね。特に、企業システムの中にはメールサーバやWebサーバのように24時間動いていて、パッチ適用のために停止することができないシステムもあります。同じ脆弱性でも同一の対処をおこなうことはできません。突然、脆弱性が公表された場合、ICT環境に潜むリスクに優先度をつけ、適切に対処する上で、脆弱な箇所や異常の痕跡をその都度見える化する「オンデマンド構成管理」と「セキュリティインテリジェンス」は欠かすことができないと考えています。これは、これまでの構成管理では実現できていませんでした。

　そこで、プロアクティブサイバーセキュリティでは、脆弱性のあるサーバや端末を探し出すだけではなく、用途とリスクを評価した上で、緊急に対処が必要なもの、最低限対処しなくてはならないものを判断しやすいようソリューションとして仕立てています。これはNECが社内のシステム運用で長年培ってきたセキュリティマネジメントシステムをベースとしています。

　このように、オンデマンド構成管理とセキュリティインテリジェンスを活用し、迅速な対策を打つことで、既知の不正プログラムによる攻撃を防御することができます。さらに、SIEMにセキュリティインテリジェンスを組み合わせることで既知の攻撃パターンに基づく偵察行動を察知し、初期の段階で攻撃を食い止めることができます。

R&Dを加速、社会インフラ全体のセキュリティ対策へ

浅井：プロアクティブサイバーセキュリティのその先では、どんな分野に注目していますか？

松尾：現在、NECの中央研究所では、システムセキュリティとデータセキュリティという2つの領域で研究開発を進めています。具体的には、SDNのセキュリティ領域への活用や、いわゆるビッグデータに基づくインバリアント（不変関係）分析により、いつもと違う動きを検知して未知の攻撃を見えるようにしていく取り組みなどがあります。

浅井：サイバーセキュリティの脅威が社会インフラにも及ぶとなると、そうした最先端の取り組みがますます重要になるでしょうね。

松尾：はい。これまでのICT領域にとどまらず、あらゆるモノがつながる「IoT」（Internet of Things）も視野に入れ、社会インフラ全体のサイバーセキュリティを確保・維持していくことに貢献したいと考えています。特に、2020年の東京オリンピックに向けて重要インフラの保護は大きな課題になるでしょう。またサイバー攻撃の脅威から、企業の信頼、安定した事業の継続を守るため、NECでは今のサイバーセキュリティ要員600人体制をさらに増員、底上げし、取り組みの強化を進めていきます。