「100%防ぐセキュリティ対策」は幻想であり、侵入される前提で、被害を最小限に食い止め、短期間で復旧させる組織体制が求められる。そこで企業の経営層は、リスク管理、危機管理として、セキュリティ対策に取り組む必要がある。
「OT、IoT時代のリスクマネジメントとインシデント対応 問われる経営者の責任、“100%防ぐセキュリティ対策”は幻想」をテーマに開催された「第45回 ITmedia エグゼクティブセミナー」の基調講演に、内閣サイバーセキュリティセンター(NISC)重要インフラグループ 内閣参事官の結城則尚氏が登場。「サイバー事案から学ぶ いざというときにも柔軟に対処できる実践的セキュリティマネジメントとは?」と題して講演した。
サイバーセキュリティが登場したのは、2000年ごろにすぎず、マネジメントシステムは、その当時はマネジメントシステムという言葉はなかったが、名将といわれた戦国武将の行動記録を解析すると、その当時から使われてきた長い歴史がある。最近のマネジメントシステムは1990年代後半から本格化してきている。他方、サイバーセキュリティにおいては、こうした一般産業に比べると、10〜20年遅れているのではないか。この遅れを認識がないまま、サイバーセキュリティ対策が進められているため、今一つしっくりいかないのではないかと感じている。
「リアルの世界での危機管理や事態対処は、保安に長く従事してきたことから、これまで数多くを経験してきました。多くの失敗も経験してきましたが、その原因は危機管理の教育が十分ではないこと、人間の特性を理解していなかったことだと思っています。こうした経験から行動学や心理学など、工学以外の知識と経験が重要であると学びました。事態対処に備え、緊急事態に、柔軟に対応できる能力を身に付けることが必要です(結城氏)。
予防が重要であることは言うまでもない。しかしゼロデイ攻撃が当たり前の現在、「予防で100%防ぐセキュリティ対策」は非現実的である。よく問題が発生した後に、「想定外だった」という言葉を耳にする、しかし事態対処では、「想定外を想定する」ことが必要になる。結城氏は、「サイバーセキュリティ対策では、侵入されたことをいち早く知り、適切な対処を講じることが重要になります。一般的には侵入から実被害までには、相応の時間 があることを踏まえ、対策を講じる体制を整備することが重要です」と語る。
CSIRTが機能していることも重要。日本年金機構の情報漏えい事案では、2015年6月1日の公表を受け、同日に事案対処計画を作成されている。結城氏は、次のように語る「事態対処は、“シンプルである”ことが重要です。緊急時には、対処関係者全員に数多くのことは覚えてもらうことはできません。頭の中に残って、行動に移せるものはせいぜい、2つか3つです。また人の緊張と時間は、限られた資源であることを理解しておくことも必要です。こうしたことを踏まえると、対処チームのリーダーは、複雑な課題を概念化して、チームとして対応すべきことをシンプルな指示として発することが重要です。こうした概念化する能力は、チームリーダーに必要となります」
対外公表においては、「精度は低くても早く公表するもの」と「時間をかけても精度を高めて公表するもの」の2つに分類して対処することが必要であるが、実際はこれが機能していな場合がしばしば見受けられている。結城氏は、「対処時は、時間との戦いでもあり、ベターな判断を短時間ですることです。ベストな選択はありません。対処中に教科書に載っていない問題にぶつかることがあると思いますが、メンバー個々人の過去の経験と創意工夫で必ず対処することができることを知った上で、最後まで失望しないこと、諦めないことが必要です」と話す。
実践的なセキュリティ対策において、マネジメントシステムがその基礎になるが、実際は形式的な内容にとどまっている場合も見受けられる。目標は、全ての利害関係者のニーズに取り組むとともに、パフォーマンスを継続的に改善するように「設計」されたマネジメントシステムを繰り返すことである。「PDCAサイクルをまわす」という言葉がしばしば聞かれることに対し、結城氏は、「免罪符のように使われていてあまり好きではない」と話す。
結城氏は、「夢があると希望ができ、希望があると目標ができ、目標があると計画ができ、計画があると行動でき、行動できると結果があり、結果があると反省ができ、反省できると進歩があり、進歩があると夢ができる。これが本当のPDCAサイクルと先輩から教えられました。サイバーセキュリティ対策において、はじめに“夢”を持つことが必要です」と話している。
特別講演には、一般社団法人 金融ISAC 専務理事/CTOの鎌田敬介氏が登場。「セキュリティ人材育成の光と闇」をテーマに、(1)セキュリティ人材育成の全体像、(2)サイバーセキュリティマネジメント人材の育成と課題、(3)技術者の育成に必要な観点、(4)「組織」の成長のために必要なことの4つのポイントを紹介した。
鎌田氏は、「サイバーセキュリティといえば、技術の話に偏りがちですが、実は技術以外の部分で考えなければならないことが多くあります。優秀な技術者を採用したが、1年で退職したという話もよく耳にします。優秀な技術者を抱えられるだけの組織になっていないことが原因であることが多いですが、本当に育てるべきは、人なのか、組織なのかという大きな問題が、(1)セキュリティ人材育成の全体像です」と語る。
人材や組織の育成を考慮する前に、多くのセキュリティ担当者にはサイバーセキュリティを考える上で前提となるITの知識と経験が不足している。エンドユーザーに広げて考えた場合でも、ITのリテラシが不足しているという現実もある。セキュリティを理解するには、ベースになるITの基礎が必要だが、そういった基礎的な事項を体系的に学ぶ機会がなかなか無いというのが現実である。
一方、ITの知識があっても、実際に手を動かしたり業務で深く関わったりした経験がないと技術を応用的に考えることができない。そもそもITは何のためにあるのか、といった観点で考えると文房具の延長から脱していないという問題もある。さらに英語の問題もある。特にセキュリティは、日本語だけでは最新の情報は得られないからである。
(2)サイバーセキュリティマネジメント人材の育成と課題では、サイバーセキュリティをリスク管理、危機管理の問題として捉えているか、ビジネスの文脈で語ることができるかどうかが重要になる。鎌田氏は、「目の前に起きている自社の被害だけを考えるのではなく、その先のお客さまや取引先にどのような被害があるか、長期的な視点で影響がどうなりうるのかを考えることが必要です」と語る。
サイバーセキュリティのマネジメント人材層はさまざまな基礎的な知識や経験が欠けていることから、サイバーセキュリティに対して想像の域を脱していない絵に描いた餅のレベルにとどまっていることが多くある。例えば、マニュアルを用意しておけば事案対処はスムーズに進むと考えていることは少なくない。また、例えば事案対処中に「情報が漏えいした“かも”しれません」という報告に対し、“かも”という言葉に期待し、情報は漏えいしていないと結論づけられる証拠を探すことに注力してしまうような認知バイアスとの戦いも。これらは根本的な原因を探っていくと、組織管理的な課題があることが多い。
(3)技術者の育成に必要な観点では、例えばコマンドラインのオペレーションができない人には、ある程度のレベル以上のことを教えるのが難しくなる。また、自主的に学ぼうとする姿勢に欠けている人は、言われたこと以上はできない技術者になってしまう。相互に教えあうこと、毎日継続的に学びつづける機会やモチベーションも重要になる。さらに、教育者を育成する観点も重要になる。
鎌田氏は、「とにかく手を動かす経験やITの基礎学習が足りていません。ハイレベルな技術者になってくると、スピード感を追求しながらも全体感を持つ、という2つの視点が必要です。その気になれば、学習に必要な情報はどこからでも得られます。知識と経験はもちろん、その先にはやる気とセンスによって学習スピードと深度に差が出てきます」と話す。
(4)「組織」の成長のために必要なことはさまざまあるが、気付きを得る機会として、継続的な内外の情報収集、情報分析、情報共有・発信までのライフサイクルを考えることである。特に多くの組織で不足しているのは情報収集の取り組みだ。個人の自主的な努力による情報収集から情報を得ている場合が多いが、組織として情報収集戦略を確立し実行しなければ、“今どのような脅威やリスクがあるのか”、“自分たちの対策は進んでいるのか遅れているのか”などを把握することができないからである。
鎌田氏は、「収集した情報は、分析を行い、情報共有や発信を行うことが重要です。情報収集活動が成熟してくると情報共有の必要性が理解されるようになります。人材育成の観点では、育成する前に、必要な業務、人材、スキルを明らかにした上で、継続的な人材育成が必要であるという認識を持つことが重要です」と話している。
セッション1には、電通国際情報サービス(ISID)営業推進本部 戦略プロダクツ営業推進室 本部長補佐 兼 室長の矢吹達夫氏とグローバルセキュリティエキスパート 教育事業部 事業部長 兼 EC-Council統括部 部長 執行役員の武藤耕也氏が登場。「2020に向け企業に求められるセキュリティ基準とその取り組み」をテーマに講演した。
矢吹氏は、「2020年に迎える国家プロジェクトは、国内外で注目され、経済効果も高い一方、セキュリティの観点では、非常に脅威です。そこで、国としての戦略が必要になります」と話す。
2018年7月に発表された政府機関等の多作基準策定のためのガイドライン(6.2.2(1)-1)では、不正プログラム対策ソフトウェアを導入する場合、「未知の脅威への対策」「シグネチャに依存しない」「端末負荷の軽減」の重要性が記されている。この3つのポイントに適合しているエンドポイントプロテクション製品が、Blue Planet-worksの「AppGuard」である。
ただし、AppGuardを導入すればセキュリティ対策は終了ではない。武藤氏は、「以前のサイバー攻撃の多くは、個人による政治的、愉快犯的な攻撃でした。しかし、ここ数年は、組織による金銭目的の攻撃がほとんどです。サイバー攻撃は一つ一つが犯罪であり、その裏には犯罪者がいることを忘れてはなりません」と話す。
警察庁の調査では、2017年上半期の国内サイバー攻撃の検挙数は、年間9000件を超えている。しかし、それ以上にサイバー攻撃の件数が増えているのが実情である。サイバー攻撃の種類は、「窃盗」と「詐欺」の大きく2つである。窃盗は公開サーバへの不正アクセスであり、詐欺は標的型攻撃である。
「犯罪者は用意周到なので、守る側も準備が必要です。常に攻撃される前提で、どこにリスクがあり、何を守らなければならないのかを明確にし、犯罪者の攻撃を理解して、共通認識を持つことが重要です。さらに、どのようなソリューションで守り、どのような組織体制で運用するのかが肝になります」(武藤氏)
セッション2には、日立ソリューションズ セキュリティマーケティング推進部 ユニットリーダの原紫野美氏が登場。「マルウェアの脅威からエンドポイントを守る! 検知から再発防止支援まで実現する効果的な対策とは」と題し、次世代マルウェア対策製品「CylancePROTECT」によるエンドポイント対策について紹介した。
「ある調査では、マルウェア件数はこの10年で25倍に増えており、そのうち37%のマルウェアは1度しか使われないと報告されています。つまり60%以上は、未知のマルウェアということです。未知のマルウェアは、従来のパターンマッチング方式による多層防御では防ぐことは困難です」(原氏)。そこで有効になるのが、CylancePROTECTである。
CylancePROTECTは、マルウェアの特徴を人工知能(AI)で学習することで、安全性を予測・判定し、既知のマルウェアはもちろん、未知のマルウェアも検知できる次世代マルウェア対策製品で、すでに6000社以上に導入された実績がある。
また、オプション機能であるCylanceOPTICSにより、感染を検知し、感染した端末を封じ込め、原因を調査して、元の状態に復旧するEDR(Endpoint Detection and Response)機能を実現。さらに、「MDRサービス for Cylance」により、導入から監視、初動対応、調査、復旧・再発防止までを、日立ソリューションズがワンストップで支援する。
原氏は、「次世代マルウェア対策では、(1)エンドポイントでの確実な対応、(2)もしもの場合にも被害を拡大させない対策、(3)セキュリティの専門家による迅速な対応という3つのポイントが重要になります」と話す。
セッション3には、アルファネット 東日本ソリューションサービス部 ソリューション販売課 次長の安本幸史氏が登場。「組織を取り巻くセキュリティ脅威と戦うために 〜訓練、教育、診断の準備は万全ですか!?〜」をテーマに、標的型メール訓練、セキュリティ教育、脆弱(ぜいじゃく)性診断によるセキュリティ脅威への対策を紹介した。
昨今、サイバー攻撃は、巧妙な隠蔽(いんぺい)手段により「気付くことができない攻撃」となっている。そこで、インシデントは発生するという前提で「脅威を早期に発見」し、「被害を最小限に」する対策が重要であり、リスクに対応するための組織、CSIRTが必要である。
安本氏は、「セキュリティ対策で重要なのは、守るべきものや脅威、脆弱性を知り、リスクを認識して、有効性の確認や改善を行うことです。全社員がセキュリティ対策の意識を持ち、自分のことと認識させる必要があります」と話す。アルファネットでは、訓練と教育(トレーニング)およびセキュリティ診断という2つのサービスを提供している。
例えば訓練と教育(トレーニング)では、「標的型メール訓練」を実施。模擬の標的型攻撃メールを訓練対象者に送信し、標的型攻撃メールと気が付かずに、添付ファイルやリンクをクリックしてしまう訓練対象者がどれだけいるかをレポートする。ある企業では、CSIRTへの報告率が、訓練開始当初は5%程度だったが、1年後には30%を超えたという。
またセキュリティ教育では、「サイバーセキュリティトレーニング」や「Webアプリケーションセキュリティトレーニング」を提供。セキュリティ人材の育成やマルウェア感染のリスク低減、Web改ざんリスクの低減などの効果を上げている。さらにセキュリティ診断では、「定期診断」「公開前診断」「スポット診断」を提供している。
安本氏は、「セキュリティの脅威に対しては、何らかの対策が必要になります。しかしセキュリティ対策の必要性が理解されていないのが実情です。巧妙化するサイバー攻撃に対し、ぜひ一緒に取り組んでいきましょう」と話している。
セッション4には、モバイルアイアン・インターナショナル・インク マーケティング シニア リード プロダクト マーケティング マネージャの山中幸代氏が登場。「モバイル・クラウド環境のセキュリティ―新しい脅威への対策」をテーマに、同社の統合エンドポイント管理ソリューションを、デモを交えて紹介した。
ある調査では、クラウドサービスを利用する障壁として、日本企業は欧米企業に比べ、「セキュリティへの不安」が突出している。またモバイルサービスでは、20%の企業がセキュリティ侵害を受けたことがあり、48%の企業がセキュリティ事故の有無は分からないと答えている。さらにスマートフォンの脆弱性は増加し、より深刻になっている。
山中氏は、「AndroidやiOSの品質が低下しているのではなく、AndroidやiOSが攻撃対象として、より魅力的なデバイスとなっているためです。現在、多くのスマートフォンが、ビジネスで利用されていることから、重要なデータをやりとりする機会も多くなります。そこでモバイル・クラウド環境でのデータ管理が重要になるのです」と話す。
「以前の企業データは、データセンターで一元管理されていました。現在、データセンターだけでなく、クラウドサービスでも管理されています。こうした環境では、モバイルデバイス管理(MDM)、モバイルアプリケーション管理(MAM)、モバイルコンテンツ管理(MCM)を組み合わあせた統合エンドポイント管理(UEM)が需要になります」(山中氏)。
UEMでは、個人と会社の領域を分離することで、会社の情報を個人の領域に異動させない仕組みを実現できる。また、デバイスが不要になったとき、会社領域だけを削除することも可能。会社の領域でアプリを活用することで、生産性を向できる。この仕組みを具現化するのが、「MobileIron Threat Defense」である。
MobileIron Threat Defenseの最大の特長は簡単な操作、高い分析力、オンデバイスでの検知である。検出エンジンとして、米国Zimperiumの「Z9」を採用。機械学習を利用して、セキュリティ侵害の兆候を判断することができる。山中氏は、「エンドポイントからクラウドサービスまでをシームレス、かつセキュアに活用するための仕組みを提供します」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授