CISOを探せ!──セキュリティと経営を理解できる人材がサイバー攻撃から企業を救う:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
相次ぐサイバー攻撃で、情報漏えい事件のニュースを耳にしない日はないほどだ。サイバー攻撃が、ますます巧妙になる現在、技術的な対策はもちろん、社内体制の確立の両面から対応していかなければならない。
7月1日、「待ったなしCSIRT、組織全体で"護身術"を磨け」をテーマに「第16回 ITmedia エグゼクティブ ラウンドテーブル」が開催された。基調講演には、S&J 代表取締役社長 三輪信雄氏が登壇し、「サイバー攻撃対策の最新動向 〜技術的対策と社内体制の構築〜」と題して講演した。
サイバー攻撃の現状と課題
S&J 代表取締役社長 三輪信雄氏日本年金機構がサイバー攻撃を受け、125万件の年金個人情報が流出した事件は記憶に新しい。サーバ攻撃が相次いでいるが、これには、「公開サーバへの攻撃」と、「社内ネットワークへの攻撃」の大きく2つの攻撃がある。日本年金機構など、このところ世間を騒がせているのは社内ネットワークへの攻撃である。
公開サーバへの攻撃は、DDoS攻撃でウェブサイトをダウンさせたり、内容を改ざんしたりする攻撃。一方、社内ネットワークへの攻撃は、ウイルス付きのメールを開いたり、ウイルスが仕込まれたウェブサイトにアクセスしたりすることで、感染したPCが、社内のほかのPCにウイルス感染を拡大させ、情報を収集して盗み出す攻撃である。
「社内ネットワークへの攻撃に関しては、誤解をしている人が多い。最大の誤解は、ウイルスやマルウェアに最初に感染して、外部に情報を送信しているPCを見つけて駆除すれば終わりだと思っていることだ。最初の1台が感染した後は、ほかのPCにも感染が拡大しているので、感染したすべてのPCを駆除しなければ意味はない」(三輪氏)。
サイバー攻撃への技術的対策とは
ウイルスやマルウェアの感染を完全に防ぐことは難しい。そこで、感染をいち早く検知し、少しでも早く正しい対処をすることが必要になる。ウイルスやマルウェアへの対策は、ウイルス対策ソフトウェアによる防御だけでは十分ではなく、防御、検知、対処の3つの対策をバランス良く実行しなければならない。
また予兆からインシデントの判定、影響範囲の特定、エスカレーション、インシデント対策(IR:Incident Response)、業務復旧の応急措置、再発防止策の策定と実施までのIRライフサイクルも重要な取り組みの1つ。予兆を見逃すとインシデントが進行し、被害が拡大することになるので、早い段階での対応により被害を最小にしなければならない。
「インシデント対応は、初動で結果が大きく異なる。多くの企業では"怪しいメールは開封せずに削除すること"で対応しているがこれは間違いだ。たとえ1人が怪しいと感じて削除しても、別の人が開けば感染してしまう。怪しいと感じた人が、削除ではなく怪しいメールを周知すれば、他の人の感染を防げる」(三輪氏)
怪しいメールを受け取ったら、開かず、削除せず、すぐにセキュリティ管理者に連絡することが必要である。しかし、それでもウイルスやマルウェアに感染してしまうことがある。その場合、どうすればよいのか。三輪氏は、「ウイルスやマルウェアの感染が発覚した場合、複数台の感染が疑われる場合、すぐにネットワークを遮断することだ」と言う。
ネットワークを遮断すると業務が止まってしまうが、業務が止まることよりも情報が漏えいすることの方が問題は大きい。外部への不審な通信が確認されており、人間がブラウザなどの操作により発生した通信であるか、正規のアプリケーションが行った通信であるかの調査がすぐにできない場合にはネット遮断はやむを得ない。一方、不審な通信がWeb関連のアクセスのみで、メールによる不審な通信がないことが確認できた場合には、Web関連のアクセスのみを遮断するネット制限でもいいだろう。
三輪氏は、「まずは、最大限の対策を初動で行うべき。その後、確認しながら徐々に解除していくことが必要になる。逆に最小限の対処方法で初動を行ってしまうと、徐々に感染が拡大していくことになる」と話す。ネット遮断ではなく、ネット制御にするために事前に準備しておかなければならないのは、以下の4つのポイントである。
- ウェブアクセスのホワイトリスト
- メール制限の手段
- 予備のPC
- 避難訓練
マルウェアに感染して情報が漏えいした場合、ネット遮断をすると業務影響がでてしまう。そこで業務で必要なウェブアクセスのホワイトリストを事前に準備しておくことで、業務を止めることなく、ネット制限で対応することができる。
また情報が漏えいするルートは、ウェブとメールの大きく2つ。ウェブに関してはホワイトリストで対応できるので、メールに関しては送信データを1つひとつ承認しながら送信できる手段を準備しておく。
日本の企業は、マルウェアに感染したPCもマルウェアを駆除して使い続ける。ウイルス対策ソフトで見つけることができないマルウェアがどれだけ潜んでいるか分からないので、1つでも感染が見つかったPCは使い続けるべきではない。そこで最低限必要な数の予備のPCを準備しておくことが望ましい。
これらの準備も含め、定期的に避難訓練を実施する必要がある。そのためには、事前に緊急時に対応するためのチームを確立しておくことが重要になる。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 世界で最も歩きやすい都市トップ10が発表
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 自動物流道路導入に向け岸田首相がルート選定指示へ 22日のデジタル行財政会議
- 「ITmedia エグゼクティブ DX eマガジン 2024春」(PDF)の提供開始
- AI時代に求められるデータドリブン経営 大事なのは「顧客理解」
- 日産、高性能EVへ「リチウム金属負極」 採用の全固体電池 エネルギー密度、従来の2倍
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。