「侵入前提の対策」をうんぬんする前に検討を――始点と終点をしっかり抑えることがセキュリティ対策のポイントに：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　「世の中で言われている危険度とは、基本的に、攻撃を受けたときの痛さを示すものです。いくら深刻だとされていても、その攻撃方法がなければ痛くも痒くもありません。危険度だけに振り回されていると、攻撃方法が確立していて対処の優先順位が高いはずの脆弱性を見逃し、被害に遭ってしまう可能性があります」（辻氏）

　ある脆弱性が悪用可能かどうかを判定できる指標もすでに公開されている。米CISAが公開しているKnown Exploited Vulnerability Catalogue（KEV）だ。これは文字通り、アメリカ政府やベンダーによって悪用が確認されている脆弱性の一覧だ。日本独自のアプリケーションの情報は載ってこないという留意点はあるものの、「WindowsやAdobe Acrobatといったメジャーどころの情報は必ず掲載されます。こうした情報を参考にすると、今までよりも解決方法がずいぶん現実的になるでしょう」（辻氏）

　脆弱性の報告件数は年々増加しており、2021年には年間2万1985件に上ったのに対し、KEVに掲載されている脆弱性は188件と、現実的に対処可能な件数になっていることも光明といえる。また、KEVに載っていながら対処ができていない脆弱性が自社にあれば、「これは穴になるかもしれない」と判断することもできる。

　こうした情報を活用することで、理想論ではなく現実的に攻撃の始点を抑えていくことができるだろう。その上で辻氏はさらに、「最近は、侵入前提での対策が必要だといわれます。しかし侵入前提の対策というのは、しっかり自分たちの資産を把握し、脆弱性の穴を塞ぐといった対処ができている人がはじめて使うべき言葉です」と述べた。

　いくら風邪を引かないよう努めても感染は防げないからノーガードで過ごそう、と考える人はいないはずだ。それと同じように、まずは侵入されないようにASMに取り組み、始点を抑えることが、侵入前提の対策の「前提」になる。

適切な情報を公開することで、セキュリティ対策の終点をしっかり打つ

　続いて辻氏はセキュリティ対策の「終点」に話題を移した。

　禅問答のようだが、どれだけしっかり対策しても、セキュリティインシデントに遭う可能性はゼロにはできない。だからと言って何も手を打たないのはおかしな話であり、前述のように事前の対策を実施し、始点を抑えることが重要になる。ただ、それでもやはり事故は起こりうるため、終点、つまり事故対応についても考えておく必要がある。

　実は辻氏は、他の複数のセキュリティ専門家とともに、8年近くにわたって「情報セキュリティ事故対応アワード」を実施している。セキュリティ事故に遭ってしまった企業、特に上場企業などは一般に、その事故に関する情報をプレスリリースの形で公表している。このアワードはそうした公表内容を調べ、透明性高く、顧客保護と再発防止に向けた適切な情報を提供している企業を表彰している。

　「世間の非難を受けることもあり、やぶ蛇になりたくないという気持ちもあって、形式的なリリースで終わらせがちです。しかしそうした企業と、しっかりと対応して情報を公表した企業が同じ扱いを受けてしまうと、公表のメリットがなくなり、世の中に何も還元されなくなってしまう懸念があります」（辻氏）

　アワードにおける評価のポイントは、事故原因がきちんと明らかにされているか、スピード感を持って情報が出されているかなどいくつかある。さらに、通信先などIoC関連情報が公表されていることも、似たような手口で被害を受ける企業が出ないようにする上で役立つと考えている。

　ただ、しっかりと情報を公開し、終点を打つには事前の準備が必要だ。セキュリティに限らず準備八割ともいわれるが、「事後の対処のためには事前の準備が必要です。事故が起きてから動くのではなく、事故が起きる前から『もし事故が起きたらこのように動こう』『こういうことを調査することは、うちはできるんだろうか』といった事柄を確認し、備えておく必要があります」（辻氏）

　そして、その準備を整えるツールのとして、自身も作成に携わった、経済産業省の「サイバーセキュリティ経営ガイドライン」の「付録C」を紹介した。

　付録CはExcelシート形式になっており、初動対応、原因調査、事後対策という3つのフェーズに分けて、あらかじめどういった事柄を取り決め、把握しておくべきかをまとめている。

　例えば初動対応の段階では、被害範囲を確認し、顧客にどう対応するか、問い合わせ先はどうするかなどを決めておき、それがそのまま第1報になっていく。同様に原因調査のフェーズでは、文字通りなぜ被害が生じたかの原因をまとめていく。こうした情報を提供することで、同種の攻撃を他の組織や企業が受けないような注意喚起も兼ねた内容が第2報となる。そして最後に、根本原因を踏まえてどのような再発防止策を講じるかをまとめた最終報を出し、顧客や関係者に安心してほしいと呼びかける。

　辻氏は「例えば自分たちの組織がウイルスに感染した時に、このシートを満足いくレベルで埋められる備えがあるかを検討するだけでも机上演習になりますし、できていることとできていないことを把握するいい機会になります」とした。

　しばしばプレスリリースでは、「セキュリティ上の理由でお答えできない」といった言葉が出てきたり、曖昧な表現が出てきたりする。もちろん、事細かく公表する必要はないかもしれないが、少なくともどんな対策を取ったかという情報があれば社会全体の参考になる。「事例が好き」な割にインシデント関連の情報が出てこないのが実情だが、事例が大好きな日本企業だからこそ、自ら情報を公表していくことが全体の底上げにつながり、いいサイクルが生まれるのではないだろうか。「場合によっては、事件後の経過情報を公開している組織もあります。1度言ったことを守ってサイクルを回していることを示せれば、会社のブランディングになり、安心感を与えられるのではないでしょうか」（辻氏）

　こうした取り組みと並行して、インシデントに関する情報はどう公開すべきか、あるべき姿についての合意形成、文化醸成を世の中全体で進めていく必要もあるとした。

　情報公開は法律などで強制されるものではない。また、今の時点では明確なメリットがないのも事実だ。そんな中、わざわざインシデントに関する情報をさらけださなくてもいいのではないか、と考えるのも無理はない。しかし「やはり一度失った信用を取り戻すには、透明性が非常に大事なのではないかと僕は考えます」と辻氏は話す。

　それでもちょっと……と二の足を踏むならば、「何が起きて、なぜ起きたのか」について公表にたり得る情報を収集できる体制、備えができているか、自分たちにベクトルを向け、終点をしっかり抑えることから始めてほしいと辻氏。「情報を出すことが当たり前になれば、よりよい情報セキュリティの世界に出会えるのではないかと思っています」（辻氏）