ニュース
» 2019年12月23日 10時00分 公開

「100%完璧の守り」が不可能な時代に企業の情報セキュリティはどうあるべきか?

情報セキュリティ対策は、セキュリティインシデントの発生を前提とした事業リスク管理体制の構築が求められている。いざという時に備え、緊急事態にも柔軟に対応できる組織力の重要性とそれを高めていくための勘所とは?

[吉村哲樹,ITmedia]

 2019年12月2日、東京にてITmediaエグゼクティブ編集部主催のセミナー「『100%防ぐセキュリティ対策』は幻想 緊急事態にも柔軟に対応できる組織力の構築が急務」が開催された。日本有数のセキュリティ有識者から、企業の経営層に向けて数々の提言がなされた本セミナー。本稿では、その概要をレポートする。

日本年金機構の情報漏えい事案から学んだセキュリティマネジメントの極意

内閣サイバーセキュリティセンター(NISC) 重要インフラグループ 内閣参事官、国立研究開発法人 産業技術総合研究所 サイバーフィジカルセキュリティ研究センター インフラ防護研究チーム 客員研究員 結城則尚氏

 冒頭の基調講演には、内閣サイバーセキュリティセンター(NISC) 重要インフラグループ 内閣参事官、国立研究開発法人 産業技術総合研究所 サイバーフィジカルセキュリティ研究センター インフラ防護研究チーム 客員研究員 結城則尚氏が登壇し、「サイバー事案から学ぶ いざというときにも柔軟に対処できる実践的セキュリティマネジメントとは?」と題した講演を行った。

 結城氏は2013年から現在に至るまでNISCに所属し、その間には2015年に閣議決定された「サイバーセキュリティ戦略」の策定において中心的な役割を果たしたほか、同年に発生した日本年金機構の個人情報流出事案においてインシデント対応の先頭に立った経験を持つ。そんな同氏は、サイバーセキュリティ対策におけるマネジメントの重要性について次のように述べる。

 「セキュリティ対策は、優秀なハッカーの個人戦では到底太刀打ちできないチーム戦です。従って、チームメンバー個々の専門性や強みを発揮させるには、マネジメントの質を高めることが、そのまま組織のセキュリティ対策のレベルを高めることになります。そのためには、組織内のマネジメントシステムにセキュリティ対策の取り組みが適切に組み込まれていることが大事になってきます」(結城氏)

 セキュリティのためのマネジメントシステムというと、ISOをはじめとする認定を取得するための制度やプロセスの整備にどうしても終始しがちだが、本来マネジメントシステムはあくまでもセキュリティを強化するための道具の一つにすぎない。そのため、「決して手段と目的をはき違えてはいけない」と結城氏は指摘する。

 またセキュリティマネジメントを強化するには、経済産業省から出ている「サイバーセキュリティ経営ガイドライン」が大いに参考になるという。その内容を参照しつつ、組織内の各マネジメント階層ごとの管理者に求められるスキルや管理能力を磨いていく必要がある。特に、組織階層の上に行くほどより求められるようになる「概念化能力」が、セキュリティ対策においては重要になってくると結城氏は述べる。

 「日本年金機構の個人情報漏えい事案のインシデント対応において、私たちは即座に対応計画を策定し、かつその内容を事態の推移に合わせて適宜更新していきました。この計画の策定に当たり最も重視したのが、内容をなるべくシンプルにすることでした。また本事案の報告書をまとめる際も、政府職員や一般国民の方々が理解しやすいよう、複雑な事象をなるべく単純化して記載することに気を配りました。つまり、セキュリティマネジメントにおいて求められるのは、複雑な事象や構造を理解した上で全体組織の目標を示すことができる『概念化能力』を備えたリーダーシップなのです」(結城氏)

「安全という虚構」から脱して現実的なセキュリティ対策を目指す

SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏

 特別講演には、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏が登壇し、「安全からの脱出 〜脅威と向かう道標〜」と題した講演を行った。

 「安全と安心は、似て非なるものです。安全を確保できたからといって、人々が安心できるとは限りませんし、そもそも100%完璧な安全を確保するのは現実的に不可能です。ましてや、企業がセキュリティ対策に費やせるリソースには限りがありますから、『100%の安全』という虚構を目指すのではなく、現実的な範囲で最も効果的な対策を考えていく必要があります」

 冒頭で辻氏はこう述べ、そのためには「メディアやベンダーが出す情報に踊らされることなく、自身の目と耳できちんと確かめた情報を基に、地に足の着いた対策を講じていくことが大事だ」と説く。例えば、現在メディアでは2020年の東京オリンピックを機に世界中から大量のサイバー攻撃が仕掛けられるとさかんに報じており、その根拠として「ロンドンオリンピックでは実に2億件もの攻撃を受けた」という事例を挙げている。しかしロンドンオリンピックのCIOが直接語った内容によると、最終エスカーションされた事案はたった6件にすぎず、しかもそれらは全て事前準備をしっかり行っていたおかげで、何の問題もなく対応できたという。

 「このように数字が一人歩きしている状況に踊らされ、必要以上に攻撃を恐れる必要はまったくありません。確かに東京オリンピックを控え、一部のハクティビストや国家を背景にした攻撃、テロリズムなどには注意が必要ですが、これらにしても『知らないから怖い』のであって、きちんと攻撃の背景や内容について知ることができればむやみに恐れることはありません」(辻氏)

 では、具体的にはどのような備えを講じておけばいいのか、辻氏は、極めて優れたインシデント対応の例として、2019年3月にノルウェーのアルミニウム製造大手Norsk Hydro社で発生したランサムウェア被害の事例を紹介した。同社は感染発覚から24時間以内に攻撃を受けた事実を公表し、その後もさまざまなチャネルを通じて継続的に情報を公開し続けたことで、信用失墜を最小限に留めることに成功した。

 また同氏はもう1つの事例として、SBテクノロジー自身が2年前に経験した不正アクセス事故の事例を紹介した。

 「対応に当たっては、事故を引き起こした当事者が情報を隠蔽しないよう、組織全体として当事者を個人的に責めない雰囲気作りに努めました。また社長自身が、対応に当たる担当者に対して『よろしくお願いします』と頭を下げたことで、『これはやらねば!』という機運が高まりました。このようにセキュリティ対策は、システムの話ではあるものの、“人”の要素が大きな割合を占めます。やはり『人もシステムの一部』だということを、このときあらためて強く実感しました」

サイバー・ハイジーンも網羅する次世代エンドポイントセキュリティ製品「Tanium」

Tanium リード・セキュリティ・アーキテクト 楢原盛史氏

 Tanium リード・セキュリティ・アーキテクト 楢原盛史氏による講演「経営目線で理解する! 今取り組むべきエンドポイント・セキュリティ標準化の最前線」では、経営者の立場から見た最新のセキュリティ事情と課題と、それらを解決する手段として同社の製品「Tanium」の紹介を行った。

 楢原氏は、近年におけるセキュリティ対策の議論の中で脚光を浴びているキーワードとして「サイバー・ハイジーン(衛星管理)」を挙げる。

 「近年、インシデントからの迅速な復旧を目指す『サイバー・レジリエンス』の重要性が叫ばれていますが、復旧以前にそもそも脅威の検知や対応、復旧の対象となるIT資産が可視化されていなければ、いくら高価なセキュリティ製品を導入しても意味がありません。そのため、平時から全ての資産を漏れなく可視化し、脆弱性を確実に排除しておくサイバー・ハイジーンの取り組みが重要になってきます」(楢原氏)

 Taniumは、このサイバー・ハイジーンとサイバー・レジリエンスの取り組みの全てを網羅し、NISTが定めるサイバーセキュリティ・フレームワークの主要機能を、単一のクライアントソフトウェアで100%カバーすることをうたっている。同製品の中核を占めるのが、あらゆるOSのコマンドを管理者権限で実行できるソフトウェアプラットフォームで、この上に資産可視化やパッチ配信、アプリケーションの更新・削除、EDR(Endpoint Detection and Responce)といったさまざまな機能に個別に対応するモジュールが載る。

 また従来のセキュリティ製品や資産管理製品のような階層型の管理モデルではなく、「リニアチェーン」と呼ばれる独自の特許技術を用いたリング型トポロジで各端末の管理や制御を行うため、1万台以上におよぶ大規模なシステムにおいてもリアルタイムに漏れなく全ての端末を可視化・制御できるという。

AIの力でネットワーク内の異常を自動的に検知・対処する

ダークトレース・ジャパン 執行役社長 芦矢悠司氏

 ダークトレース・ジャパン 執行役社長 芦矢悠司氏は「The Enterprise Immune System:世界をリードするサイバーAI」と題した講演で、AIを活用した同社の最新セキュリティ製品の紹介を行った。

 ダークトレースは2013年に英国ケンブリッジで創業されたセキュリティ製品ベンダー。同社は「Enterprise Immune System」と「Antigena」という2つの主力製品を持ち、前者は「Immune(免疫)」という名が付いている通り、人間の免疫システムの概念をセキュリティに持ち込んだ製品だという。

 「AIを用いてユーザーのネットワークの挙動を定常的に学習して異常を自己検出するとともに、ネットワークの状態を100%可視化します。IPアドレスが振られているデバイスは全て監視できるため、PCやサーバはもちろん、IoTデバイスやクラウドアプリケーションも監視対象にできます」(芦矢氏)

 ここで検出された異常に関する情報は、もう一つの主力製品であるAntigenaに引き継がれ、自動的に対処が行われる。その際には、異常度が特に高いアクティビティに絞ってプロセス停止などの対処を行うため、正常なアクティビティに影響を及ぼすことなく、ビジネスに与えるインパクトを最小限に抑えることができるという。

 「この2つの製品が連動することで、脅威の検知から駆除、対処までを一気通貫で処理できるようになります。また2019年末から2020年初頭にかけて、セキュリティアナリストの作業の一部をAIで自動化できる『Cyber AI Analyst』という新機能を備えた次期バージョンのリリースを予定しています。このAIの分析結果は日本語化されるため、日本のお客さまにとっても価値を感じていただけるのではないかと思います」(芦矢氏)

EDRの限界を克服した次世代のセキュリティソリューション「NDR」とは?

Vectraジャパン シニアセールスエンジニア 福田一夫氏

 Vectraジャパン シニアセールスエンジニア 福田一夫氏による講演「ネットワーク全体を俯瞰で捉え、内部に侵入した脅威を可視化 ─次世代ネットワーク型AIセキュリティ」では、近年注目を集めているセキュリティソリューション「NDR(Network Detection and Responce)」についての解説と、同社のNDR製品の紹介が行われた。

 Vectraジャパンは米Vectra AI社の日本法人で、2019年夏に設立されたばかり。ちなみに本国のVectra AI社の方は2011年に設立されており、既に世界中で数百社の導入実績を持つ。同社が手掛けるのは「NDR」と呼ばれるジャンルのセキュリティ製品で、内部ネットワークを流れるパケットをAIで解析することで、内部に侵入を許した脅威を検知するというもの。

 内部に侵入した脅威を検知するという意味ではEDRと類似しているが、福田氏によればNDRはEDRにはない強みを幾つか持っているという。

 「EDRは監視対象のエンドポイント端末にエージェントをインストールする必要があるため、エージェントを導入できない基幹サーバやネットワーク機器、IoTデバイスなどはカバーできません。しかしNDRはエージェントレスで、かつパッシブデバイスでもあるため、ユーザーの業務にほとんど影響を与えることなく導入・運用できます」

 また同社の製品が実装するAI分析は、教師なし学習だけでなく教師あり学習と相関分析も加えることで、極めて精度の高い脅威検出を実現しているという。

 「大抵のNDR製品はどうしても誤検知・過検知が多くなるのですが、弊社の製品は検知精度が高いためそれらが極めて少ない点が大きな特徴です。また直観的に操作できるUIや、常時インターネット接続を必要としない点なども多くのお客さまから高く評価いただいています」(福田氏)

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆