頑張れだけでは持たない、ひとりCSIRTの悩み：セキュリティ対策、現場の負荷を減らす道は

マルウェア感染で業務が停止するリスクがある今、セキュリティ対策に取り組む必要性を感じる企業が増えてきた。だが、「よろしく頼む」と現場に指示するだけでは、ただでさえ他の業務を抱えながら対応している担当者がパンクするだけだ。解決策のヒントを探る。

[PR／ITmedia]

PR

日立システムズ ネットワークセキュリティサービス事業部 ネットワークセキュリティオペレーション本部 第二部 主任技師 吉田智仁氏

　一昔前ならば、経営層にとってセキュリティは「ひとごと」。情報システム部門やセキュリティ担当者に「何とかしておいて」という程度で済んできたし、たとえ何かあっても「うちはそんなに重要なデータを持っていないから大丈夫」という態度が通用した。しかし、情報システムが社会や事業を支えるようになった今は違う。情報システムを狙った脅威は巧妙化を続けている。標的型攻撃による情報漏えいはもちろん、WannaCryをはじめとするランサムウェアによって事業や社会サービスの継続すら影響を受ける状況だ。

　日立システムズ ネットワークセキュリティサービス事業部 ネットワークセキュリティオペレーション本部 第二部で主任技師を務める吉田智仁氏は、「情報漏えいによる影響も深刻だが、WannaCryの登場によってリスクが変化した。たとえ重要なデータを保有していなくても、サイバー攻撃によって自社の本来の業務が止まってしまう恐れがあり、決してひとごとではなくなっている」と指摘する。

日立ソリューションズ セキュリティソリューション本部 セキュリティサービス部 主任技師 熊谷好志朗氏

　日立ソリューションズ セキュリティソリューション本部 セキュリティサービス部 主任技師の熊谷好志朗氏はさらに一歩踏み込み、「止まる時間が長くなればなるほど、ステークホルダーへの影響も大きくなる。つまり、被害者になるだけでなく、自社が踏み台となって加害者の立場になるリスクもある」と述べた。最近では、入札時の条件やサプライチェーン契約の際にセキュリティ管理体制の整備など、サイバー攻撃によって調達に遅延を生じさせないよう求めるケースもあるという。

　このような動きを背景に、サイバー攻撃対策を事業継続に欠かせない要素と捉え、経営課題として取り組む機運が高まってきた。問題はそれを業務の現場にどう落とし込むかだ。

　残念ながら「ひとりCSIRT状態、時には情報システム部門との兼任で何とか対応している企業が大半だ。だからといって、単純に人を増やせば問題が解決するわけではない。セキュリティ人材には高度なスキルや知識が必要で人材育成には時間がかかる。また、雇い入れるにしても相応の待遇が必要になる」（熊谷氏）

現場に負荷をかけない形で必要なセキュリティ対策を推進

　こんな悩みを持つ企業を、日立ソリューションズと日立システムズでは「サイバー攻撃対応BCPソリューション」という形で支援している。対応体制や手順を整え、プランに沿って対策を実施し、運用・監視を行い、対策の効果を測定して次の計画に生かしていく……という形で、サイバー攻撃に特化したBCP（事業継続計画）をPDCAサイクルの全プロセスにおいて支援するものだ。

　「最近では経営層も危機感を持ち担当者に“対策しろ”と言ってくるが、現場は現場で、限られたリソースで日々の業務に対応しながらセキュリティ対策を進めなければならない。やみくもに新しいツールを入れても運用が大変になるのではないかという懸念もある。われわれはこの部分を肩代わりし、現場に負担をかけない形で対応を支援する製品とサービスを提供している」（熊谷氏）

　まず大事なのは、現状を把握し、どこから取り組むかの優先順位を付けることだ。「世の中にはいろいろなセキュリティ製品が出てきているが、それらがどんなところをカバーしているかが整理できていない。まずはそこを整理した上で、優先順位を付けて対策を進める必要があるし、その際にはシステムだけで守るのではなく、社員のセキュリティリテラシー教育も必要だ」と吉田氏。サイバー攻撃対応BCPソリューションでは、アセスメントやコンサルティングなどを通じて、そうした部分を支援するという。

PDCAサイクルで支援する「サイバー攻撃対応BCPソリューション」

攻撃の変化に応じ、セキュリティ対策も変化を

　計画を立てたら次は対策の実施だ。この「Do」の部分に関しては、既に多くの製品やサービスが登場している。ただ「最近では、今まで使ってきたツールが時代遅れになりつつあることを、企業自身が認識するようになってきた」と熊谷氏は述べた。

　典型例が、エンドポイントセキュリティだ。この分野では長年、パターンファイルに基づくアンチウイルス製品が中心的な役割を担ってきた。これは既知のマルウェアを解析して作成したパターンファイルと比較することによって悪意あるファイルを検出する仕組みで、基本的には「後追い」であり、未知のマルウェアや少しずつ姿を変えて毎日のように登場する亜種は検出できない。そこで、AI（人工知能）を活用した検知エンジンにより、マルウェアの特徴を元に脅威を検知する次世代マルウェア対策製品「CylancePROTECT(R)」のような製品への注目が高まっているという。

　サイバー攻撃対策においては、まず「Do」の部分で対策を講じてマルウェアの侵入を水際で防ぐことが重要だが、セキュリティの世界には100％はあり得ない。そのため、万一インシデントが発生したときでも事業を継続させるという視点も併せ持つ必要がある。

　そんなときにはマルウェアの流入経路を調べ、被害状況を把握した上で適切な手を打つことが重要になる。だが、「どうして感染してしまったのか」を調べるのもまた一苦労。ログを収集して突き合わせ、時系列に沿って分析していく作業にはやはりスキルや知見が必要だ。限られたリソースでセキュリティ運用を回しているひとりCSIRT、ひとり情シスにとってはどうにも負荷が大きすぎる。

　このような状況を支援するソリューションとして、ここ1〜2年特に注目されているのが「EDR（Endpoint Detection and Response）」だ。ただ、EDRは単純に導入しただけではアラートが増えるばかりで効果的とはいえない。運用も含めたサービスとセットにすることによってはじめて、次の対策につながる知見が得られる。サイバー攻撃対応BCPソリューションでは、CylancePROTECTのオプション機能としてEDRを追加する「CylanceOPTICS(TM)」と、その運用監視や分析、インシデント対応を行うマネージドサービス「MDRサービス※ for Cylance(R)」を提供し、「Do」から「Check」までをサポートする。

※MDRサービス: 外部脅威対策の運用として、インシデント対応などを支援するサービス。MDR: Managed Detection and Response

　EDRを適切に運用して「Check」を実践すれば、万一対策の網をすり抜けてきたWannaCryのようなランサムウェアに感染したとしても、いつ、どの端末がきっかけとなり、どのような経路で拡散したかをたどることも可能になる。例えば「メールの添付ファイルが原因だ」と分かれば、その部分の対策を底上げしていくための取り組みが必要だ……という具合に、足りない部分を補い、次の「Action」につなげていくことができるだろう。

「MDRサービス for Cylance」はCylanceOPTICSの運用から対策までのサイクルをワンストップで提供

従業員のセキュリティリテラシー向上と現状の可視化を支援する訓練サービス

　サイバー攻撃対応BCPソリューションの中で、現状を評価し、足りない部分の底上げを支援するメニューの一つが教育関連サービスだ。システムによる対策は進化しているが、それだけで100％防ぎきれるものではなく、その部分を補うには、実際に利用するユーザーのセキュリティリテラシーの向上が必要である。

　「メールは平等に皆が使うツールであり、標的型攻撃メールのリスクを知らずに使っていると、マルウェア感染はもちろん、他の社員に転送したりしてまき散らす恐れもある。自分の目で攻撃メールを見抜くためのポイントはある程度パターン化されており、それを身に付けることが必要だ」（吉田氏）

　このような背景から、疑似的な標的型攻撃メールを従業員に送付し、攻撃のリスクを身を以て体験し、警戒意識を高める「SHIELD 標的型攻撃メール訓練サービス」への引き合いは増えているという。さらには、定期的に訓練の前後にリテラシーを高めるためのセキュリティ教育とセットで実施する先進的な企業も増えてきた。

　というのも、せっかく訓練を実施しても、開封してしまった従業員にただ「注意しろ」といって終わるだけではあまり効果は得られない。なぜ標的型攻撃メールを開くと危険であり、具体的にどこに注意を払うべきか、そして万一開いてしまったらどうすればいいかといった、社員それぞれの行動に落とし込んだ形で理解が得られなければ、訓練の真の意味がないということに、企業側も気づき始めたからだ。

　もちろん、人間のやることである以上、開封率を0％にするのは不可能だ。また攻撃と防御はいたちごっこといわれる通り、対策を見越し、実際に社内外でやりとりされているメールや添付文書をコピーして流用するといった、いっそう手の込んだ攻撃メールも報告されている。だが、だからといって、「リテラシーが低い状態を放置するのは、システムの脆弱性対策をしないのと同じことだ」（吉田氏）

　ただ、訓練や教育の必要性は重々承知しながらも、そこまで手が回らず実施に二の足を踏むひとりCSIRTは少なくない。そこで、なるべく手間のかからない方法で実施できるように、標的型攻撃メール訓練と、訓練の前後にはクラウド上で簡単に、目的やレベルにあったeラーニングでの教育（SHIELD セキュリティ教育クラウドサービス）を組み合わせて、パッケージで提供している。ユーザーのリテラシー向上はもちろんだが、日々多くの業務に追われるセキュリティ担当者の悩みを解消するものとして、採用も増えているという。

　これにはもう一つ効果がある。標的型攻撃メール訓練を実施すれば、会社として、組織としての対応力がどの程度なのか、セキュリティレベルが可視化される。拠点ごと、部署ごとに開封率を分析して、どこから重点的に教育や対策を実施するべきか優先順位を付ける目安にもなるし、自社のセキュリティレベルを踏まえ、対策にどの程度投資すべきかを経営層に説明する材料としても活用できる。

訓練と教育を組み合わせた「セキュリティ訓練＆教育パック」

「入れっぱなし」から「きちんと回る」セキュリティ対策へ

　セキュリティ対策は長い間、製品を入れてあとは放っておくというパターンが多かった。しかし「人の流れも、テクノロジーの進化もものすごいスピードで動いている中、PDCAを回して自社の状況を知り、今の現実に合っているかを評価していくことが重要だ」と熊谷氏。そのために、アセスメントやコンサルティングにはじまり、評価・レポートに至るまで、幅広いメニューを提供している。

　この先、「働き方改革」によって場所を問わずに業務をするのが当たり前になってくれば、守られた社内環境とは異なる場所での利用も増える。となると自ずと、マルウェア感染などのリスクも高まるだろう。現場に求められる対策はますます増えるだろうが、教育とツール・サービスを組み合わせ、支援していく。

　まだ温度差はあるが、仮にサイバー攻撃を受けて機密情報が流出したり、業務が停止したりすれば、自分たちの会社は終わってしまうという危機感を持つ企業も増えてきた。だが熊谷氏の言う通り、「十分な体制がある、といえる会社はほとんどないのが現実」だ。その中で対策を進めるには、適切に外部のリソースを活用することが鍵になる。

　「平常時に教育や訓練を通じて社員のセキュリティレベルを上げ、かつ次世代の対策製品やサービスを導入して適切に監視し、アラートを減らしていく。そうして残ったもの、判断が必要なもののみを精査する形にしないと運用が回らないことに、多くの会社が気づき始めている」（熊谷氏）。両社はサイバー攻撃対応BCPソリューションを通じて、少ない人数で対応している現場になるべく負担をかけない形でセキュリティを担保する製品やサービスを提供していく。

2月21日 ITmedia エグゼクティブ勉強会開催のお知らせ

サイバー攻撃による事業停止リスクが高まっている今、セキュリティ強化を経営課題として取り組む企業も増えているが、サイバー攻撃に特化したBCP（事業継続計画）を現場レベルでどう取り組むか、人材もスキルも不足している現状で何ができるか、苦悩する情報システム部門・CSIRTが増え続けている。こうした悩みに対して、負担をかけない対策、組織としてのセキュリティ意識向上策とは？