己を知る:注目の高まるセキュリティ対策の有効性検証

 プロアクティブな対策のもう1つのキーワードは「セキュリティ対策の有効性検証」だ。今やセキュリティ対策を行っていない企業はないと言ってよく、大企業になればなるほど、数多くのツールを組み合わせて活用しているだろう。では、本当にそれらのツールは効果を発揮しているのか。そして、本当に攻撃に対して有効性があるのだろうか。多様なセキュリティ技術が登場するにつれ、セキュリティ対策の有効性検証の必要性が高まっている。

 「セキュリティ対策の完全性と網羅性について、人とプロセス、技術の観点で、防御から検知、対応、復旧など、対策の各段階について確認する。それが、有効性検証だと考えています。」と東京海上ホールディングスの阿部仁氏は話す。

 これは、前出の「脅威インテリジェンス」が「敵を知る」アプローチだったのに対し、「己を知る」ことは対策上のどこに課題があるのかを発見することに当たる。阿部氏は続けて、「例えば、侵入テストによりIT環境に負荷をかけ、その結果を分析することで課題を見つける。これも、プロアクティブな対策の1つでしょう。この問題の厄介なところは、リスクが常に変動すること。したがって、完全性・網羅性に加えて、適時性も考慮する必要があります。ただ侵入テストなどには手間や時間もかかるため、高頻度で実施することは難しい」と語る。

 東芝では有効性検証の一環として、成熟度自己評価を行っているという。年に1度、各事業部門に対して実施することで、各事業部門は改善度の変化や、他事業部門との比較が可能になる。また、定期的に侵入テストも行っており、その効果を実感しているとした上で、「侵入テストはかなりの費用がかかる」と指摘する。

 費用を抑えながら、いかに有効性検証を行うか。この課題への回答として最近注目が高まっているのが、最新の攻撃手法をベースにツールを使って擬似攻撃を仕掛けることでリスクをあぶり出すアプローチだ。

 東京海上ホールディングスの阿部仁氏は、「面でシステムを守る上で、侵入テストは有効な1つの手法と考えています。しかし、頻繁な実施が困難なのも事実です」と述べ、「その課題を解決するため、今後はツールを活用した有効性検証を実施していきたいと考えています。実施にあたっては、リスクを評価した上でテスト対象を適切に絞り込む、リスクベースのアプローチが一丁目一番地」と、今後の方針を語った。

(写真左から)ANAシステムズの阿部恭一氏、東京海上ホールディングスの阿部仁氏、東芝の天野隆氏
(写真左から)ANAシステムズの阿部恭一氏、東京海上ホールディングスの阿部仁氏、東芝の天野隆氏

セキュリティ投資の妥当性を、どう経営層に説くか

 最適な投資で、十分なセキュリティ対策を実施する。その均衡点を見いだすのは容易ではないが、その前提となるのが経営の理解だろう。では、どのようにして経営陣の理解を得るか――。

 経営に対する平常時からの報告、コミュニケーションの重要性は3氏が共に言及したポイントである。経営層向けのダッシュボードで、攻撃などの状況を可視化する。あるいは、経営会議などでセキュリティについて取り上げてもらうといった活動だ。ANAシステムズの阿部恭一氏は次のように語る。

 「例えば、外部からの攻撃や怪しいメールが、どの程度のレベルなのか。それに対して、導入したセキュリティ機器がどんな役割を果たしているのか。経営者が『ウチは安全』というような誤解を持たないようにする活動が大事です」

 とはいえ、「本当に、投資に見合う効果があるのか」と考えるのは、経営を担う立場としては当然のことだろう。その解の1つとして、阿部恭一氏は、省力化や自動化に注力しているという。

 「防御施策が高度化すれば、人的コストも増える場合が多い。そうならないよう、省力化・自動化を進める必要があります。また、セキュリティツールの機能がかぶらないようにすることも重要。そこで、基本的には1つのツールを入れたら、別のツールを1つ外すようにしています」

 経営層に対してセキュリティ投資の妥当性をどのように示すか。東京海上ホールディングスの阿部仁氏もまた、この多くの担当部門が持つ共通の悩みを実感していると言う。「同業他社の対応状況との比較可能な尺度を使うのも、1つのやり方かもしれません」と、分かりやすい指標をもって経営層に説明することをアイデアとして提示。同時に、阿部恭一氏のいう「ツールを外す」取り組みの重要性も指摘する。

 「どのツールが働いているのか、あるいはサボっているのかを見える化することで、外すツールを適切に選択することができます。ここでもセキュリティ対策の有効性検証の取り組みが生きてきます。トータルコストの最適化に向けて、スマートな投資をしていきたいですね」(阿部仁氏)

 最後に、企業のCISO(最高情報セキュリティ責任者)とセキュリティ担当者に向けて3氏からのアドバイスを聞いた。

 「私の質問はシンプルです。つまり、自社のIT環境を把握していますか。例えば、ネットワーク構成図はどうなっているか、外部につながるサーバーはあるのか。こうした質問に明確に答えられるかどうかから確認しましょう。答えられないとすれば、大きな問題があると考えた方がよいでしょう」(ANAシステムズ 阿部恭一氏)

 「セキュリティ対策を担うCISOや担当者が情報を共有し、知恵を出し合う場が重要。私自身、場づくりに積極的に取り組んでいくつもりですが、ベンダーも、ユーザー企業も、それぞれの立場で参加し、貢献できる。そうした機会をできるだけ多く設け、多くの企業・組織、多くの人に活用してもらいたいと思っています」(東芝 天野氏)

 「セキュリティ対策に完全はありません。しかも、新しい攻撃手法が次々に生まれています。こうした中で、いかにセキュリティレベルを高めていくか。私はPoC(概念実証)から始めてはどうかと考えています。必ずしも大規模に始める必要はありません。グループ内で必要なところ、できる拠点からスタートするのです」(東京海上ホールディングス 阿部仁氏)

 攻撃の高度化、複雑化、巧妙化はとどまることを知らない。先進企業の取り組みを聞くことで、組織としてプロアクティブな防御を実現するためには、2つのアプローチ――「敵を知る」ことと「己を知る」ことが重要であるということが語られた。セキュリティ対策の有効性を検証した上で投資の最適化を図り、各関係部署、そして業界内での各社連携を通じた、強固な防御体制の構築が求められるだろう。セキュリティ有効性検証や脅威インテリジェンスといったキーワードは、プロアクティブな防御を支える大きなヒントとなっていきそうだ。

お問い合わせ先

ファイア・アイ


関連リンク

Mandiant Advantage: Threat Intelligence
――脅威インテリジェンスをSaaSで提供。無償版トライアルも
Mandiant Security Validation(旧称Verodin)
――セキュリティの有効性を検証するソリューション

この記事はシリーズ「課題解決・新時代」に収容されています。WATCHすると、トップページやマイページで新たな記事の配信が確認できるほか、スマートフォン向けアプリでも記事更新の通知を受け取ることができます。