具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。より広い視点で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。

[高橋睦美，ITmedia]

Armoris 鎌田敬介氏

　20年以上にわたってサイバーセキュリティの業務に携わり、ArmorisのCTOとしてセキュリティ人材の育成や演習を提供する鎌田敬介氏は、政府機関のアドバイザーも務め、仕事柄、さまざまな企業からのセキュリティに関する悩みを聞いてきた。

　最近も、金融庁が新たに公表した「金融分野におけるサイバーセキュリティに関するガイドライン」を踏まえ、「これをチェックリスト形式にできないだろうか」と相談されたり、「自社のサイバーセキュリティ対策が効果的かどうか、議論に加わってほしい」と依頼されたりしたという。こうした経験から得た気付きを「現実に即したサイバーレジリエンス〜チェックリスト依存からの脱却と実践的アプローチ〜」と題する講演で紹介した。

事前の備えが役に立たない事態を避けるために広い視野と攻撃者の目線を

　近年、サイバー攻撃によって社内システムが停止し、業務が止まってしまう――というインシデントが後を絶たない。そして多くの会社が、こうした事態が起きても速やかに復旧できるように、何らかの手順や手続きを整えるようになった。

　だが「実際にそうした状況に陥った会社の多くで、用意していた手順が役に立たなかったり、頭に入っていなかったりと、場当たり的な対応になってしまったという話は、よく聞くところです」と鎌田氏。

　早期復旧に向けた対策の代表例がバックアップだ。しばしば「サイバー攻撃を受けても、バックアップからすぐにデータを戻せるから大丈夫だ」と言われるが、実際にはバックアップからの復旧がうまくいかないこともある。また、社内ネットワークが攻撃され、安全とは言えない状況でそのシステムを運用できるのかなど、考慮すべきポイントが多々あるのが実情だ。

　「実際にそのときになってみると、元々考えていたプランでは足りないことに気付くことが少なくありません。“こうすれば元に戻る”という想定がその通りにいかなかった時のことを考えるのが重要ではないでしょうか」（鎌田氏）

　サイバー攻撃を100％防ぐことは不可能だと言われるとおり、「ランサムウェアに絶対にやられない環境」を作ることは困難だ。だからこそ、万一に備えたバックアップの用意は重要だが、単にシステム復旧のためだけを考えるのではなく、もっと広い視野を持って検討すべきだ。

　例えば、業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。このように、より広い視点で、ある意味リバースエンジニアリング的な発想で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。

　ただ、その備えを検討するには、攻撃者はどのようなことを考えて行動するのかを「攻撃者目線」で考えることが重要だ。

　ランサムウェアや標的型攻撃の場合は、脆弱なVPNをはじめとする侵入ポイントの発見に始まり、EDRやセキュリティ機器の検知をバイパスしながら、「ラテラルムーブメント」と呼ばれる形で社内ネットワークを動き回る。そして、目的とする情報のありかを探し出し、標的型攻撃ならばそのまま持ち去り、ランサムウェアならば暗号化しつつ社外に持ち出して金銭を要求するといった形で目的を実行する。

　こうした攻撃者の目線を理解すれば、防御側の目線で注力すべきポイントも見えてくる。

　例えば、最初の侵入ポイントをふさぐことはもちろんだが、セキュリティ機器やEDRによる検知がバイパスされ得ると考えれば、攻撃者の活動をこちらから見つけ出す「スレットハンティング」が重要になってくる。

　また、「盗まれては困る情報」を洗い出し、そこに集中して対策を実施することも効果的だ。たとえデータが盗まれたとしても早期に見つけられるようログをしっかり収集・管理し、重要なデータについてはDLPを用いて外部で読み出せないよう制御する、といった対策が考えられる。

　攻撃者目線を踏まえ、防御側の目線でどういった対策が必要かを対になる形で考えることが重要である。

「○」を付けることが目的化したチェックリスト方式からの脱却を

　続けて鎌田氏は、セキュリティ対策でしばしば見かける「チェックリスト方式」からの脱却について呼びかけた。

　金融庁は10月4日に「金融分野におけるサイバーセキュリティに関するガイドライン」を公表した。NISTのサイバーセキュリティフレームワークなどを踏まえ、ガバナンス、防御、検知、対応、復旧、サードパーティリスク管理という各領域にまたがり、「基本的な対応事項」と、よりアドバンストな内容である「対応が望ましい事項」をまとめたもので、金融機関はもちろん、それ以外の業界にとっても参考になる内容が含まれている。

　問題は、このガイドラインに対し、チェックリスト的な発想で向かい合い、「すべての項目で○を付け、100点を取るにはどうしたらいいのか」と悩んでいる企業が少なくないことだ。

　このガイドラインはそもそもチェックリスト的な使い方をすべきものではないと鎌田氏は言う。「NISTCのサイバーセキュリティフレームワークと同様に、このガイドラインはリスクベースの考え方に基づいています。従って、書いてあることを全てやろうとしてもうまくいきません」

　例えば、スポーツの世界で、素人がいきなりオリンピックに出場して金メダルを目指そうとするのは無謀な話だ。まず地域の大会に出場し、全国大会で成果を上げ、そして世界を目指すという具合に、ステップバイステップで取り組むのが順当な方法だし、その過程で「まずは、代表候補になれれば十分」という具合に、自分の実力を見極めて目標を決めていく。

　リスクベースのセキュリティアプローチも同様だ。自分たちはどのレベルを目指すかを決め、それに沿ってステップバイステップで実行するべきであり、「とにかく100点を目指して全部やろうとすると、まずうまくいきません」（鎌田氏）という。

　この考え方を前提にした上で、金融庁のガイドラインには大きく3つのポイントがある。

　1つ目は「企業の経営陣の深い関与」を求めていることだ。2つ目は、この十年余り積み重ねられてきた「サイバーセキュリティ管理体制」の実践。そして3つ目は、パッチ適用やセキュアな設定、権限分離など、「サイバーハイジーン」という言葉に象徴される、20年以上前から言われてきた「基本的な対策の徹底」だ。そして繰り返しになるが、いずれにもチェックリスト的な発想ではなく、リスクベースで検討すべきだと強調した。

　例えばガイドラインでは基本的対策として、「サイバー攻撃の検知」を挙げ、「攻撃を検知するための監視・分析・報告に関する手続きを策定して、必要に応じて見直す。監視の対象にはクラウドサービスを含める」と記されている。

　もしこの項目にチェックリスト的な発想で取り組むとなれば、「とにかく何でもいいから監視・分析をして、何か手続きを作って見直すようにすればいいんだな」と短絡的に考えてしまい、どれか1つでも実施して「○」を付けて完了とするかもしれない。

　だが、現実の対策に落とし込むとなると、そう簡単にはいかないはずだ。

　そもそも監視対象は、インターネットに公開しているサービスだけでいいのだろうか。他にも、DNSクエリやリモートアクセスの口、プロキシサーバ、場合によってはイントラネット内のActive Directoryも監視対象に含めるべきかもしれない。また監視内容も、労力と天秤にかけながら、何をどのくらいの頻度で監視するのか、認証に失敗したログも見るべきかといった具合に、具体的に考える必要がある。その後の分析にしても自動分析、相関分析などさまざまなアプローチがあり、自社を取り巻く脅威やリスクを考慮しながらどこまで分析すべきかまで踏み込んでいくと、検討すべき事柄は非常に多岐にわたる。

　「チェックリスト的に○にすることは簡単ですが、現実的にどこまでやるべきかにまで踏み込むと、○か×かだけでは全く済まないことが分かります」（鎌田氏）

　いくら一般論で語っても、結局は一般的な答えしか得ることができない。鎌田氏は「ガイドラインに基づいて具体的に考えるには、ネットワーク図やシステム構成図といった具体的な情報に基づいて話すことで、“何をどこまでやるべきか”が検討しやすくなります」とアドバイスした。