クラウド／IoT時代の脅威から企業を守れ！――セキュリティ専門部隊「CSIRT」を作る：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[山下竜大，ITmedia]

情報セキュリティの鍵はエンドポイント対策

　セッション1には、日立ソリューションズ トータルセキュリティソリューション部 主任の柴田真里氏が登場。「エンドポイントセキュリティが鍵！　最新のマルウェア対策」をテーマに講演した。情報処理推進機構（IPA）が実施した、情報セキュリティの脅威に関する調査では、1位が標的型攻撃、2位がランサムウェアと報告されている。

日立ソリューションズ トータルセキュリティソリューション部 主任 柴田真里氏

　柴田氏は、「これまでの標的型攻撃は、不特定多数を狙ったものが多かったが、現在は業務を装った巧妙なメールで、特定の企業の情報搾取を目的とするものが多い。一方、ランサムウェアは、ファイルを暗号化して複合キーと引き換えに金銭を要求する攻撃。2017年5月には、WannaCryと呼ばれるランサムウェアが全世界で猛威を振るった」と話す。

　こうした攻撃に対し、政府もガイドラインを公開しているが、その中には「情報セキュリティ対策は経営責任である」と書かれている。柴田氏は、「情報システム部に任せきりにするのではなく、経営者がリーダーシップをとり、社内に体制を確立し、もし事故が起きたら、きちんと事故内容や対応策を公表することが必要になる」と話す。

　効果的な対策として、日立ソリューションズでは、現状分析や診断、CSIRT構築支援などの「コンサルティング」から、検知予防や感染拡大防止などのための「システム構築」、CSIRT運用支援や不正アクセス監視などの「運用支援」までを、トータルにサポート。次世代マルウェア対策製品として、「CylancePROTECT」も提供している。

　「CylancePROTECTは、機械学習を搭載したエンジンにより、99％以上の高い検知率で未知のマルウェアやランサムウェアを検知できる。また、軽量なスキャンにより、業務効率への影響が少ないことも特長の1つ。入口対策だけでなく、エンドポイント対策を強化することが重要になる」（柴田氏）

フォレンジック実践にはツール選びが重要

　セッション2には、EMCジャパン（RSA）事業推進部ビジネスディベロップメント マネージャーの能村文武氏が登場。「現代のサイバー攻撃対策〜急激に求められるフォレンジックスの必要性」をテーマに講演した。能村氏は、「これまでのセキュリティは、攻撃を防ぐことが目的だった。今後は、何かあったときに迅速に把握できることが重要」と話す。

EMCジャパン（RSA）事業推進部ビジネスディベロップメント マネージャー 能村文武氏

　米国国立標準技術研究所（NIST）では、特定、防御、検知、対応、復旧で構成される「サイバーセキュリティフレームワーク」を公開しているが、フォレンジックは、この中の検知、および対応の部分にあたる。フォレンジックが重視されるのは、短絡的な原因の究明ではなく、長期的な対策のための全体像の把握が求められているためだ。

　能村氏は、「フォレンジックの実践は、ツール選びが重要。ネットワークフォレンジックツールには、怪しい通信を可視化するだけのものが多いが、本当に必要なのは、怪しい通信を見つけたら、一定期間内に同様の通信がないか、怪しい通信を出している端末が、ほかにも怪しい通信を出していないかなどが分析できるツールである」と話す。

　RSA NetWitness Packetsは、1台で最大10Gbpsのパケットキャプチャをサポートし、ペタバイト単位の大容量データを保存することが可能。メタデータをインデックス化することで、高速な検索が可能なほか、目的のデータを、メールビュー、ウェブビュー、ファイル抽出など、さまざまな形式で再現することができる。

　「ツール以外にも、EMC CIRC（Critical Incident Response Center）を運営している。また、RSAインシデントホットラインでは、電話やメールによる問い合わせ内容を分析し、解決のためのガイドを実施。アドバイザリサービスでは、製品導入後、定期的に訪問し、ネットワークの分析を行いアドバイザリレポートを提出している」（能村氏）

“あったらいいな”をかなえる製品＆サービス

　ランチセッションには、ネットワールド マーケティング本部 ソリューションマーケティング部 クラウド＆セキュリティソリューション課 次長の大城由希子氏が登場。「ランサムウェアに効く製品群と“あったらいいな”を形にしたマルチベンダーのコンサル＆SOCサービスのご紹介」をテーマに講演した。

ネットワールド マーケティング本部 ソリューションマーケティング部 クラウド＆セキュリティソリューション課 次長 大城由希子氏

　サイバー攻撃には、DDoS攻撃、標的型攻撃、ランサムウェア攻撃の大きく3つがある。中でもランサムウェア攻撃は、暗号化やロックによる金銭要求だけでなく、情報を搾取する新種が登場していることから新たな脅威となっている。大城氏は、「2020年の東京オリンピック開催に向け、日本は最大の攻撃対象国となる」と話す。

　ランサムウェア対策としては、OSやアプリケーション、エンドポイント製品およびパターンファイルを常に最新の状態にし、バックアップを取ることを徹底することで、既知のランサムウェアに関しては、ほぼ防御が可能。未知のランサムウェアの検知や、感染時の対処を自動化するプロアクティブな対策は、内部対策、出口対策の追加が有効になる。

　エンドポイントの内部対策として、Carbon Block Cb Defens、Check Point SandBlast Agentを、エンドポイントとサーバの内部対策として、VMware NSXとTrend Micro Deep Security、Kaspersky Endpoint Security for Business/Security 10 for Windows Serverを提供。出口対策には、RedSocks Malware Threat Defenderを提供している。

　「ネットワールドでは、お客さまの“あったらいいな”をかなえるサービスも提供。教育から診断、検知、初動対応、封じ込め、駆除、対策までのソリューションをトータルに提供する、サイバーセキュリティコンサルティングサービスや、松・竹・梅のレベルでサービスを選べるマルチベンダーSOCサービスも提供している」（大城氏）

クラウドセキュリティで働き方改革を支援

　セッション3には、HDE 取締役 副社長の永留義己氏が登場。「国内3300社、280万ユーザーの活用事例から学ぶ、セキュアな働き方改革」をテーマに講演した。永留氏は、「働き方改革により、便利な働き方を実現し、生産性を向上するためには、どのようにセキュリティを担保しなければならないかについて紹介したい」と話す。

HDE 取締役 副社長 永留義己氏

　現在、働き方改革は、政府主導で推進されているが、最大の理由は人手不足である。中でも情報サービスの人材不足は深刻である。HDEでも、2011年にクラウドセキュリティの「HDE ONE」を立ち上げ、シェアナンバーワンを獲得して業績は向上したが、エンジニアの確保が大きな課題だった。そこで、海外の優秀なエンジニアを採用した。

　また、フルタイムで働けないが優秀なエンジニアや営業職も数多く採用した。海外や在宅でも働くことができる環境が必要になり、クラウドサービスを活用した。さらに、2011年の東日本大震災で、計画停電のためにオンプレミスのシステムが利用できなくなったこともクラウドサービスを活用するきっかけの1つだった。

　「業種や地域に限らず、働き方改革に前向きな企業は多い。目的は、フルタイムワーカーも含めた生産性の向上である。一方、課題としてITツール活用とセキュリティ強化が議論になる。そこで有効になるのが、クラウドサービスとHDE ONEを組み合わせたセキュアな働き方改革の実現である」（永留氏）

　情報漏えいの3大リスクは、誤操作、不正アクセス、紛失である。HDE ONEは、メールの誤送信を防ぐメッセージングセキュリティ、不正アクセスを防ぐアクセスセキュリティ、端末紛失対策のデバイスセキュリティで情報漏えいを防ぐ。永留氏は、「ナンバーワン、オールインワン、ワンストップのHDE ONEで働き方改革を支援していく」と話していた。

シンプル、オープン、自動化でセキュリティ強化

　セッション4には、シスコシステムズ 執行役員 セキュリティ事業の田井祥雅氏が登場。「シスコが推奨する自社で取り組むべき危機管理対策とは」をテーマに講演した。田井氏は、「いまセキュリティ対策で、もっとも問題になっているのは、人材をいかに確保するかである。この問題を解決するための取り組みについて紹介したい」と話す。

シスコシステムズ 執行役員 セキュリティ事業 田井祥雅氏

　シスコでは毎年、約3000人の経営層に対してセキュリティ上の問題を調査した「セキュリティアニュアルレポート」をWebサイトで公開している。2017年版では、アラートの44％は調査されずに終わると報告されている。この未調査のアラートが、ビジネス上のリスクの原因になるため、いかに未調査の割合を減らしていくかが重要になる。

　「過去20年のセキュリティ対策は、問題があればファイアウォールやIPS、サンドボックスなどのボックスの導入で対処してきた。しかし現在、このセキュリティスタックが増え続け、複雑化することが、セキュリティ強化を阻む最大の障害になっている。シスコでは、シンプル、オープン、自動化により、この状況を解決する」（田井氏）

　シスコでは、圧倒的なシェアを持つネットワーク機器からの情報を分析し、脅威を見つけたらエンドポイントやクラウドに通知する。また、ネットワーク脅威の専門家集団である「TALOS」で解析された脅威インテリジェンス情報がビッグデータとして蓄積される。田井氏は、「業界でもっとも効果的なセキュリティポートフォリオを実現している」と話す。

　またシスコでは、エンジニア育成の一環として、シスコ技術者認定制度を世界180カ国で展開。延べ300万人を超える認定エンジニアを育成している。田井氏は、「シスコにおいて、セキュリティは最優先の取り組みであり、年間数千億円を投資している。今後、セキュリティ市場は寡占化が進むが、シスコは市場のリーダーであり続ける」と話していた。

CSIRTの運用を自動化し人材不足を補う

　セッション5には、インテリジェント ウェイブのセキュリティソリューション本部 ビジネス推進部 カスタマリレーション課 マネージャーの倉健祐氏とセキュリティソリューション本部 プロダクトマーケティング部 プリセールスエンジニア課の茂木康高氏が登場。「サイバー攻撃対応はロボにお任せ！〜CSIRT自動化ノススメ〜」をテーマに講演した。

インテリジェント ウェイブのセキュリティソリューション本部 ビジネス推進部 カスタマリレーション課 マネージャー 倉健祐氏（左）とセキュリティソリューション本部 プロダクトマーケティング部 プリセールスエンジニア課 茂木康高氏

　経済産業省の2016年の調査では、2020年に19万人以上のセキュリティ人材が不足すると報告されている。また、IPAの2017年の調査では、約58％のCISOが人材は足りていると答えているのに対し、現場は約46％が足りないと答えている。経営層と現場のギャップを埋める“橋わたし役”が必要になる。

　人材不足の理由は、大きく2つ。1つ目は専任ではなく兼任が多いこと、2つ目は経験やスキルを持った人材が少ないことである。倉氏は、「自社のシステムを熟知し、情報セキュリティの知識に明るく、広範なITスキル、経験を有する人材を短期に育成するのは困難。人材不足の解決策として、CSIRTの自動化をおすすめする」と話す。

　インテリジェント ウェイブでは、ITオートメーションによるインシデント対応システムである「eyeShare」を提供している。eyeShareは、さまざまなインシデント対応プロセスを自動化し、迅速かつミスなく実行するための仕組み。デモでは、エンドポイントでマルウェアを検知したときの、eyeShareによる初期対応が紹介された。

　「eyeShareは、あらかじめワークフローを設定することで判断が不要。事前に設定した条件に基づき、自動的に対処される。また、複数のセキュリティ製品を、テンプレートで柔軟に連携可能。担当者が不在のときにも、メールやIMで判断し、対処を継続できる。CSIRTの運用や人材不足に困っていたら試してほしい」（茂木氏）

機械学習を活用した内部対策重要なポイント

　セッション6には、ピーエスアイ PSIサイバーセキュリティ研究所 室長の福井正輝氏が登場。「新潮流：某証券会社が受けたサイバー攻撃を公表する背景とは」をテーマに講演した。福井氏は、「現在、企業の経営者は、どのような観点でサイバーセキュリティに立ち向かおうとしているのかを紹介したい」と話す。

ピーエスアイ PSIサイバーセキュリティ研究所 室長 福井正輝氏

　「これまで企業では、サイバー攻撃を受けたことを隠そうという方向性だった。しかし現在、隠そうと思っても隠し切れない状況になっている。むしろ、ディスクローズしていくことが今後の主流になる。ただし公表に関しては、攻撃に対して、どのように対処したのかを含めた説明が求められる」（福井氏）。

　米国の半導体企業であるマーコムでは、英国のダークトレースが開発・販売する「Darktrace」を導入することで、サイバー防御を強化するとともに、M＆Aをする企業の情報漏えいや技術情報の搾取を防いだり、企業間のネットワーク結合における作業を可視化したりと、M＆A案件におけるサイバーデューデリジェンスを実現している。

　Darktraceは、英国ケンブリッジ大学で研究開発された機械学習機能を搭載することで、未知のサイバー脅威や内部不正対策のためのソリューション。すでに、3000件以上に導入され、既存のセキュリティツールをすり抜けて侵入した4万8000件以上の進行中のサイバー攻撃を検出した実績がある。日本でも、30件以上の導入実績がある。

　「最近、サイバー被害を受けた企業の経営層と会う機会が多いが、入口対策、出口対策だけでなく、内部対策の重要性に気付きはじめたことを実感している。機械学習を活用した内部対策を取り入れることが、これからのサイバーセキュリティの防御能力を高める重要なポイントになる」（福井氏）