経営課題化してきたサイバーセキュリティ――企業・組織を守るために経営者は何から始めるべきか?
ビジネスにIoTやビッグデータをはじめとするITを積極的に取り入れることで、より自社の競争力を加速させる「ビジネスのデジタル化」が進む今、企業ではこれまで以上にセキュリティ強化を検討することが必要となる。なぜならデジタル化を進めることで必然的にサイバー攻撃の対象も増え、企業は常にITリスクと背中合わせと言えるからだ。システム構築と運用の現場に寄り添ってきた日立システムズは、セキュリティ強化の最初の一歩はシステム全体を可視化しリスクを洗い出すことだと話す。
進むビジネスのデジタル化、企業は常にITリスクと背中合わせに
名立たる大企業や組織による情報漏えい事故が、相も変わらず後を絶たない。そのたびに、企業における情報セキュリティ対策の在り方について再考を余儀なくされている。これまではどちらかというと「セキュリティはIT部門任せ」にしてきた日本企業の経営層も次第に「情報セキュリティの確保と維持は経営課題の一つ」とその考えを改め始めている。いざという時、経営層が迅速に意思決定できるようCSIRT(Computer Security Incident Response Team)の構築を急ぐ企業も増えているという。
さらに現在では、ITを駆使した「ビジネスのデジタル化」は、新しいビジネスモデルの構築やビジネススピードの飛躍的な向上など、これまでのビジネスの在り方を大きく変革すると期待されている。それは、どう顧客に近づき、顧客の課題を理解し、素早く解決することを競う戦いであり、ITが果たす役割は極めて大きい。
日立システムズでセキュリティのエキスパートとして数多くの企業のセキュリティ対策を支援してきた、ネットワークセキュリティサービス事業部 ネットワークセキュリティコンサルティング部 主任技師 大森雅司氏は、このあたりの事情について次のように述べる。
「企業の情報システム部門の主なミッションは、長らく社内システムの構築・運用でした。しかし近年、より収益に直結するITの活用法や、ビッグデータやIoTを活用した"ビジネスのデジタル化"などが注目を集める中、情報システム部門にも、事業部門と協力して、ビジネスに直結する新たな価値の創出が求められるようになってきています。その一環としての情報セキュリティ対策にも、明らかにこれまでと比べ広範囲な取り組みが求められてきています」
コンピュータだけではなく、さまざまなモノが組織や国境も越えてつながり、ビジネスの在り方がデータそのものに価値を見出し、先進的なサービスを模索していくIoT時代では、必然的にサイバー攻撃の対象も増え、データの流出やIT基盤の機能不全などが生じるリスクは増大する。企業はデジタル化を進めていく上で常にITリスクと背中合わせと言っていい。
システム全体、ネットワーク全体で考えるべき情報セキュリティ対策
大森氏によれば、情報セキュリティ対策について企業から受ける相談や依頼の内容も、目に見えて変化してきているという。
「少し前までは特定のセキュリティ製品の導入や運用の相談が多かったのですが、単一のセキュリティ製品の運用を突き詰めるだけでは全社レベルのセキュリティの向上は望めません。最近では製品単体ではなく、自社のシステムやネットワーク全体を見渡したセキュリティリスクの把握と対策が求められています」
こうした相談が日立システムズに多く寄せられるのには理由がある。日立システムズは特定のセキュリティ製品の導入に特化したベンダーではなく、導入に伴うコンサルティングにより企業にあわせたセキュリティ対策の提案、導入を行うとともに導入したセキュリティシステムに対する運用も含めたトータルなSIサービスを提供できるベンダーだからである。
「セキュリティ対策は、単に製品を導入するだけでなく、実際に日々の運用が回らないとどんな製品も効力を発揮しませんし、セキュリティ対策の結果、現場ユーザーの利便性が著しく低下してビジネスに悪影響が出てしまっては本末転倒です。その点、日立システムズは、セキュリティに特化したオペレーションセンター「SHIELD SOC」による運用・監視サービスを長年にわたり提供し、お客様システムの運用を支援しています。また、業種を問わずさまざまなお客様のシステム構築・運用サービスを現場と密着して提供してきたことより、多種の機能や価格の製品を柔軟に組み合わせて、現場の事情やニーズに最も合ったバランスのいい提案ができるのです」(大森氏)
また実効性のあるセキュリティ対策を実現するには、システム面での対策と同時に、日々の運用を着実に行い、事業に影響を及ぼしそうな事件や事故、つまりセキュリティインシデントに迅速に対応できるための「組織・体制面」での対策も不可欠だ。
「過去の情報漏えい事件を振り返ってみても、サイバー攻撃の兆候を検知する仕組みを導入し、実際に検知できていたにもかかわらず、その後の対応を定義していなかったため、適切な対応が行われず大規模な被害につながった事例が多くあります。近年の攻撃はセキュリティ製品やソフトウェアなど技術的な対策だけで100%防ぐことは不可能です。いかに問題を素早く検知して、それを適切に対処できるかが重要です。そのためには、技術だけでなく運用や組織体制も含め、全社一体での取り組みが必要です。全社での取り組みとなることにより経営層が率先して対応を考える必要があります。日立システムズでは、そうした仕組みや体制を構築するためのコンサルティングサービスやCSIRTの運営を支援するためのサービスも提供しています」(大森氏)
まずは「可視化」し課題やリスクを洗い出すことが重要
では、これまで紹介してきたような技術、運用、組織体制を含めたトータルなセキュリティ対策にいざ企業が乗り出すに当たり、どこから手を付ければいいのだろうか?
「まずは、自社のシステムやネットワークの現状を可視化・把握することが何より大事です。現状の把握なしに、実効性のある対策を立てることはできません。例えば、日立システムズがお客様に標的型攻撃のセキュリティ対策サービスを提供する際も、システム構成から攻撃シナリオをシミュレーションして、システム側の防御の弱点を把握するところから始めます」
具体的には、顧客企業のネットワーク構成を基に、攻撃がどこから入ってきて、どのルートを辿って侵害範囲が拡大し、最終的にどのように情報が盗み出されるか、その一連の行動を洗い出して、被害シナリオとして定義する。その上で、絶対に守るべき重要な情報資産は何か、そして最も攻撃の標的にされるであろうシステム的な脆弱性(弱点)はどこに潜んでいるのかを洗い出す。
これらの中には、今すぐ対策を打つべきものから、さほど緊急度が高くないものまで、さまざまなレベルのものが存在する。また技術や運用面のハードルや、コストの制約などから、どうしてもすぐに着手できないものもある。従って、緊急度や難易度、その他の制約条件を加味して、リスクに適切な優先順位を付け、メリハリの利いた対策を行うことが重要である。
日立システムズではこのように、現状のシステム状態とそれに伴うリスクを可視化して、現存するリスクに優先順位を付けた上で、短期的な取り組みから中長期的な取り組みまですべてのリスクに対してソリューションをワンストップで提供する。また、顧客に寄り添ってきた同社らしく、業務部門の視点も重視している。ユーザーの使い勝手を犠牲にせず、情報セキュリティのリスクを抑制できるVDI(Virtual Desktop Infrastructure)導入のように、システムアーキテクチャ全体を大幅に変更する必要があるような対策についても、総合SIerとしての幅広い実績や経験があるからこそ対応が可能だ。
リスクの可視化と管理をワンストップで支援する「SHIELD セキュリティリスク管理サービス」
日立システムズの取り組みの中で重要な役割を担っているのが「SHIELD セキュリティリスク管理サービス」だ。企業の中に潜むセキュリティリスクを洗い出し、リアルタイムに監視することで、その企業に必要なレベルのリスク対策を提案・支援する。
日立システムズ ネットワークセキュリティサービス事業部 ネットワークセキュリティコンサルティング部 技師 澤口貴士氏によれば、同サービスにおいてもまずは顧客企業のシステムやネットワークの「可視化」「見える化」が取り組みの第一歩になるという。
「多くの企業において、ITインフラの共通化や企業合併などによってシステムやネットワークが巨大化・複雑化した結果、全体を把握できる管理者がいなくなってしまう傾向にあるようです。その結果、平時は何とか運用できていても、いざインシデントが発生してシステムやネットワークを停めなくてはならない場合、システムやビジネスにどの程度の影響が出るのか誰も分からないため、結果として対応が後手に回るケースが散見されます。こうした事態を防ぐ意味でも、SHIELD セキュリティリスク管理サービスではまず現状の可視化と棚卸しから始めることにしています」
具体的には、ネットワーク構成を基にした脆弱性の洗い出しや、ツールを使った脆弱性スキャンなどを行い、現存する脆弱性を可視化する。また顧客のシステム上にセキュリティセンサー機器を設置して、そこから上がってくるアラート(警告通知)やログの内容を解析することで、攻撃と防御の状況をリアルタイムで把握する。さらにサーバーの管理状態を自動的に監視することで、対策に漏れがないかを定常的にチェックする。
こうして抽出した脆弱性やアラート、ログの内容などを、セキュリティ専門家が分析し、その結果をスコア付けした上で分かりやすいレポートにまとめ、顧客に定期的に報告する。またその内容はポータルサイトでも参照でき、ほぼリアルタイムで更新されるため、企業はいつでも自社の最新のセキュリティリスク状況を確認できる。もちろん、緊急対応が必要なアラートに関してはリアルタイムに顧客の担当者に通知し、緊急対応の必要性を喚起する。
さらに結果を基に現状のセキュリティ運用や組織体制を改善し、リスクの最適化を図っていく。こうした一連のPDCAサイクルを正確に、かつ素早く回していくことで、自社にとって最適なバランスのセキュリティ対策を迅速に行えるようになるというわけだ。
「今後、各所でIoTの取り組みが本格化すると、現在とは桁違いの数の大量のデバイスがネットワークに接続されることになり、セキュリティリスクも一段と高まることになります。これらのリスクをきちんと管理するためには、やはり適切な仕組み作りやツールによる自動化が不可欠です。日立システムズでも今後、IoTをはじめとする先進技術を先取りしたセキュリティリスク管理のソリューションを提供していきたいと考えています」(大森氏)
本格的なIoT時代を迎えセキュリティリスク管理の取り組みはますます大規模化、複雑化することが予想される。一連の取り組みをすべて自社内でまかなえる企業は、恐らくほんの一部に限られる。いかに幅広い知識を持った専門家と連携するかがこれからのセキュリティ対策の要になっていくだろう。
資料ダウンロード
セキュリティ事故がもし起こったら? 「CSIRT」で備えを
標的型攻撃などの高度な攻撃に対して、「完全な防御」はもはや不可能といわれている。
経営者はリスクを把握し、事故を想定した対策を用意する必要がある。そこで、セキュリティ事故対応の専門組織「CSIRT」を設置する企業が急増している。
>>TechTargetからダウンロードする方はこちら
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立システムズ
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2016年9月30日