「侵入前提の対策」をうんぬんする前に検討を――始点と終点をしっかり抑えることがセキュリティ対策のポイントに:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
サイバー攻撃に限らず物事には始まりと終わりがある。侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。
「世の中で言われている危険度とは、基本的に、攻撃を受けたときの痛さを示すものです。いくら深刻だとされていても、その攻撃方法がなければ痛くも痒くもありません。危険度だけに振り回されていると、攻撃方法が確立していて対処の優先順位が高いはずの脆弱性を見逃し、被害に遭ってしまう可能性があります」(辻氏)
ある脆弱性が悪用可能かどうかを判定できる指標もすでに公開されている。米CISAが公開しているKnown Exploited Vulnerability Catalogue(KEV)だ。これは文字通り、アメリカ政府やベンダーによって悪用が確認されている脆弱性の一覧だ。日本独自のアプリケーションの情報は載ってこないという留意点はあるものの、「WindowsやAdobe Acrobatといったメジャーどころの情報は必ず掲載されます。こうした情報を参考にすると、今までよりも解決方法がずいぶん現実的になるでしょう」(辻氏)
脆弱性の報告件数は年々増加しており、2021年には年間2万1985件に上ったのに対し、KEVに掲載されている脆弱性は188件と、現実的に対処可能な件数になっていることも光明といえる。また、KEVに載っていながら対処ができていない脆弱性が自社にあれば、「これは穴になるかもしれない」と判断することもできる。
こうした情報を活用することで、理想論ではなく現実的に攻撃の始点を抑えていくことができるだろう。その上で辻氏はさらに、「最近は、侵入前提での対策が必要だといわれます。しかし侵入前提の対策というのは、しっかり自分たちの資産を把握し、脆弱性の穴を塞ぐといった対処ができている人がはじめて使うべき言葉です」と述べた。
いくら風邪を引かないよう努めても感染は防げないからノーガードで過ごそう、と考える人はいないはずだ。それと同じように、まずは侵入されないようにASMに取り組み、始点を抑えることが、侵入前提の対策の「前提」になる。
適切な情報を公開することで、セキュリティ対策の終点をしっかり打つ
続いて辻氏はセキュリティ対策の「終点」に話題を移した。
禅問答のようだが、どれだけしっかり対策しても、セキュリティインシデントに遭う可能性はゼロにはできない。だからと言って何も手を打たないのはおかしな話であり、前述のように事前の対策を実施し、始点を抑えることが重要になる。ただ、それでもやはり事故は起こりうるため、終点、つまり事故対応についても考えておく必要がある。
実は辻氏は、他の複数のセキュリティ専門家とともに、8年近くにわたって「情報セキュリティ事故対応アワード」を実施している。セキュリティ事故に遭ってしまった企業、特に上場企業などは一般に、その事故に関する情報をプレスリリースの形で公表している。このアワードはそうした公表内容を調べ、透明性高く、顧客保護と再発防止に向けた適切な情報を提供している企業を表彰している。
「世間の非難を受けることもあり、やぶ蛇になりたくないという気持ちもあって、形式的なリリースで終わらせがちです。しかしそうした企業と、しっかりと対応して情報を公表した企業が同じ扱いを受けてしまうと、公表のメリットがなくなり、世の中に何も還元されなくなってしまう懸念があります」(辻氏)
アワードにおける評価のポイントは、事故原因がきちんと明らかにされているか、スピード感を持って情報が出されているかなどいくつかある。さらに、通信先などIoC関連情報が公表されていることも、似たような手口で被害を受ける企業が出ないようにする上で役立つと考えている。
ただ、しっかりと情報を公開し、終点を打つには事前の準備が必要だ。セキュリティに限らず準備八割ともいわれるが、「事後の対処のためには事前の準備が必要です。事故が起きてから動くのではなく、事故が起きる前から『もし事故が起きたらこのように動こう』『こういうことを調査することは、うちはできるんだろうか』といった事柄を確認し、備えておく必要があります」(辻氏)
そして、その準備を整えるツールのとして、自身も作成に携わった、経済産業省の「サイバーセキュリティ経営ガイドライン」の「付録C」を紹介した。
付録CはExcelシート形式になっており、初動対応、原因調査、事後対策という3つのフェーズに分けて、あらかじめどういった事柄を取り決め、把握しておくべきかをまとめている。
例えば初動対応の段階では、被害範囲を確認し、顧客にどう対応するか、問い合わせ先はどうするかなどを決めておき、それがそのまま第1報になっていく。同様に原因調査のフェーズでは、文字通りなぜ被害が生じたかの原因をまとめていく。こうした情報を提供することで、同種の攻撃を他の組織や企業が受けないような注意喚起も兼ねた内容が第2報となる。そして最後に、根本原因を踏まえてどのような再発防止策を講じるかをまとめた最終報を出し、顧客や関係者に安心してほしいと呼びかける。
辻氏は「例えば自分たちの組織がウイルスに感染した時に、このシートを満足いくレベルで埋められる備えがあるかを検討するだけでも机上演習になりますし、できていることとできていないことを把握するいい機会になります」とした。
しばしばプレスリリースでは、「セキュリティ上の理由でお答えできない」といった言葉が出てきたり、曖昧な表現が出てきたりする。もちろん、事細かく公表する必要はないかもしれないが、少なくともどんな対策を取ったかという情報があれば社会全体の参考になる。「事例が好き」な割にインシデント関連の情報が出てこないのが実情だが、事例が大好きな日本企業だからこそ、自ら情報を公表していくことが全体の底上げにつながり、いいサイクルが生まれるのではないだろうか。「場合によっては、事件後の経過情報を公開している組織もあります。1度言ったことを守ってサイクルを回していることを示せれば、会社のブランディングになり、安心感を与えられるのではないでしょうか」(辻氏)
こうした取り組みと並行して、インシデントに関する情報はどう公開すべきか、あるべき姿についての合意形成、文化醸成を世の中全体で進めていく必要もあるとした。
情報公開は法律などで強制されるものではない。また、今の時点では明確なメリットがないのも事実だ。そんな中、わざわざインシデントに関する情報をさらけださなくてもいいのではないか、と考えるのも無理はない。しかし「やはり一度失った信用を取り戻すには、透明性が非常に大事なのではないかと僕は考えます」と辻氏は話す。
それでもちょっと……と二の足を踏むならば、「何が起きて、なぜ起きたのか」について公表にたり得る情報を収集できる体制、備えができているか、自分たちにベクトルを向け、終点をしっかり抑えることから始めてほしいと辻氏。「情報を出すことが当たり前になれば、よりよい情報セキュリティの世界に出会えるのではないかと思っています」(辻氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から
- DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授
- 医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏
- 「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え
- スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは? ――ビットバンク 橋本健治氏
- 経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏
- 脅威環境の変化を把握し、網羅的・体系的なアセスメントを通じて自社の弱点を発見・改善していくサイバーセキュリティリスク管理が重要――東京海上日動火災保険 黒山康治氏
- ハイブリッド戦争は日本にとっても他人ごとではない――慶應義塾大学 廣瀬陽子教授
- 「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏
- コロナ禍やウクライナ侵攻を背景に混迷深めるサイバー情勢、経営層に必要なのは「現場丸投げ」からの脱却――サイバーディフェンス研究所 名和利男氏
- ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏