【PR】先進企業に学ぶ情報セキュリティ対策の要諦

提供：ファイア・アイ

急激な環境変化。テレワーク移行への対応から何が見えたか

　新型コロナウイルスが広がった2020年春以降、多くの日本企業がテレワークに移行したが、テレワークを全社規模で行うには様々な準備が求められた。特にセキュリティ対策を担う部門には、大きな負荷がかかった。このような時期を各社はどのように乗り切ったのだろうか。また、この経験から得られた知見とは。東芝の天野隆氏は次のように説明する。

東芝 サイバーセキュリティセンター ゼネラルマネジャー 天野 隆氏

　「テレワークの拡大により、新たなリスクへの対策が求められました。小さな例で言えば、在宅勤務時、家庭用のプリンターを使った印刷は許容できるのかどうかなど。こうした細かなルールづくりが必要になります。すべてのリスクを網羅するのは現実的ではなく、リスクベースで優先度に応じたルールや対策づくりを状況に応じて柔軟に進めることが重要だと考えています」

　コロナ禍はグローバルな現象である。ANAシステムズの阿部恭一氏は、海外拠点への対応の難しさについて語る。

ANAシステムズ 品質・セキュリティ管理部 エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY－CSIRT 阿部 恭一氏

　「日本よりも厳しい外出規制を行った国では、日本流のテレワーク移行と同じやり方は通用しません。それぞれの国の状況に応じたリモートアクセスをいかに実現するか。あるいは、在宅勤務中の業務状況を確認する必要もあります。セキュリティとガバナンスの両面でルールづくりやシステムの整備を行いました」

　東京海上ホールディングスの阿部仁氏も、テレワーク環境のリスク検討やシステム整備などに奔走した。同時に、貴重な気づきもあったという。

東京海上ホールディングス IT企画部部長 兼 リスク管理グループリーダー 阿部 仁氏

　「副産物といえるかもしれませんが、ビジネスプロセスを改めて確認する機会にもなりました。これまで対面が当然と思ってきたプロセス、書類依存のプロセスなどが浮き彫りになり、改善策を考えるきっかけになりました。今回の経験をもとに、本当の意味での働き方改革をさらに進めていきたいですね」

プロアクティブな対策のカギ――敵を知る

　テレワークの拡大は、「守るべき範囲」の拡大を招いた。サイバーセキュリティにおいては、従来「攻撃者優位」が指摘されてきたが、業務環境の変化に加えて保護範囲が拡大することで、この状況がさらに強まる可能性は高い。そこで近年注目されているのが、プロアクティブな対策、というキーワードだ。

　「私たちはサイバーレジリエンスという言葉を使っています。プロアクティブな対応とは、ITインフラを健全な状態に保つことがカギだと考えています。また一方で、万一攻撃者の侵入を許してしまった場合にも、早期に対応して早期に復旧できるようにすることも忘れてはいけません。レジリエンスを高めるためには、このようにプロアクティブとリアクティブ、両面での対策強化が重要だといえるでしょう」（東芝 天野氏）

　プロアクティブな対策を実行するには、平常時からの情報収集が欠かせない。中でも重要なのは、敵を知ること。例えば、どのような攻撃手法が新たに登場しているのか、自社と同じ業種は被害にあっていないか、またその手法の特性はどのようなものか。こうした脅威インテリジェンスを活用し、予防的な対策や早期の発見・対応につなげる。

　ANAシステムズの阿部恭一氏は脅威インテリジェンスを、現実社会における犯罪に例えて語った。

　「例えば、犯罪捜査には街中のカメラが用いられますが、それだけでは不十分。警察には地道な聞き込み捜査も欠かせません。サイバーセキュリティも同じ。セキュリティセンサーから得られる各種ログだけでなく、定性的な情報収集も重要です。例えば、日本シーサート協議会や各業界のISACなどを通じて、自分たちの業界を標的にした攻撃について情報を共有しておけば、あらかじめ防衛策を講じることも可能です。それを集団防御と呼んでいます。

　東芝の天野氏は、脅威インテリジェンスの鮮度の重要性や、自動化という観点からのSOARとの統合活用についても触れた上で、「攻撃者のレベルアップの速度に対応するには、1社だけでは限界があります。攻撃側の戦術やテクニック、手順などを理解した上で対策を打つためには、様々な関係者との情報共有が必須です」と、個ではなく、集団として防御する、それを実現するための情報共有の重要性を指摘した。

己を知る：注目の高まるセキュリティ対策の有効性検証

　プロアクティブな対策のもう1つのキーワードは「セキュリティ対策の有効性検証」だ。今やセキュリティ対策を行っていない企業はないと言ってよく、大企業になればなるほど、数多くのツールを組み合わせて活用しているだろう。では、本当にそれらのツールは効果を発揮しているのか。そして、本当に攻撃に対して有効性があるのだろうか。多様なセキュリティ技術が登場するにつれ、セキュリティ対策の有効性検証の必要性が高まっている。

　「セキュリティ対策の完全性と網羅性について、人とプロセス、技術の観点で、防御から検知、対応、復旧など、対策の各段階について確認する。それが、有効性検証だと考えています。」と東京海上ホールディングスの阿部仁氏は話す。

　これは、前出の「脅威インテリジェンス」が「敵を知る」アプローチだったのに対し、「己を知る」ことは対策上のどこに課題があるのかを発見することに当たる。阿部氏は続けて、「例えば、侵入テストによりIT環境に負荷をかけ、その結果を分析することで課題を見つける。これも、プロアクティブな対策の1つでしょう。この問題の厄介なところは、リスクが常に変動すること。したがって、完全性・網羅性に加えて、適時性も考慮する必要があります。ただ侵入テストなどには手間や時間もかかるため、高頻度で実施することは難しい」と語る。

　東芝では有効性検証の一環として、成熟度自己評価を行っているという。年に1度、各事業部門に対して実施することで、各事業部門は改善度の変化や、他事業部門との比較が可能になる。また、定期的に侵入テストも行っており、その効果を実感しているとした上で、「侵入テストはかなりの費用がかかる」と指摘する。

　費用を抑えながら、いかに有効性検証を行うか。この課題への回答として最近注目が高まっているのが、最新の攻撃手法をベースにツールを使って擬似攻撃を仕掛けることでリスクをあぶり出すアプローチだ。

　東京海上ホールディングスの阿部仁氏は、「面でシステムを守る上で、侵入テストは有効な1つの手法と考えています。しかし、頻繁な実施が困難なのも事実です」と述べ、「その課題を解決するため、今後はツールを活用した有効性検証を実施していきたいと考えています。実施にあたっては、リスクを評価した上でテスト対象を適切に絞り込む、リスクベースのアプローチが一丁目一番地」と、今後の方針を語った。

（写真左から）ANAシステムズの阿部恭一氏、東京海上ホールディングスの阿部仁氏、東芝の天野隆氏

セキュリティ投資の妥当性を、どう経営層に説くか

　最適な投資で、十分なセキュリティ対策を実施する。その均衡点を見いだすのは容易ではないが、その前提となるのが経営の理解だろう。では、どのようにして経営陣の理解を得るか――。

　経営に対する平常時からの報告、コミュニケーションの重要性は3氏が共に言及したポイントである。経営層向けのダッシュボードで、攻撃などの状況を可視化する。あるいは、経営会議などでセキュリティについて取り上げてもらうといった活動だ。ANAシステムズの阿部恭一氏は次のように語る。

　「例えば、外部からの攻撃や怪しいメールが、どの程度のレベルなのか。それに対して、導入したセキュリティ機器がどんな役割を果たしているのか。経営者が『ウチは安全』というような誤解を持たないようにする活動が大事です」

　とはいえ、「本当に、投資に見合う効果があるのか」と考えるのは、経営を担う立場としては当然のことだろう。その解の1つとして、阿部恭一氏は、省力化や自動化に注力しているという。

　「防御施策が高度化すれば、人的コストも増える場合が多い。そうならないよう、省力化・自動化を進める必要があります。また、セキュリティツールの機能がかぶらないようにすることも重要。そこで、基本的には1つのツールを入れたら、別のツールを1つ外すようにしています」

　経営層に対してセキュリティ投資の妥当性をどのように示すか。東京海上ホールディングスの阿部仁氏もまた、この多くの担当部門が持つ共通の悩みを実感していると言う。「同業他社の対応状況との比較可能な尺度を使うのも、1つのやり方かもしれません」と、分かりやすい指標をもって経営層に説明することをアイデアとして提示。同時に、阿部恭一氏のいう「ツールを外す」取り組みの重要性も指摘する。

　「どのツールが働いているのか、あるいはサボっているのかを見える化することで、外すツールを適切に選択することができます。ここでもセキュリティ対策の有効性検証の取り組みが生きてきます。トータルコストの最適化に向けて、スマートな投資をしていきたいですね」（阿部仁氏）

　最後に、企業のCISO（最高情報セキュリティ責任者）とセキュリティ担当者に向けて3氏からのアドバイスを聞いた。

　「私の質問はシンプルです。つまり、自社のIT環境を把握していますか。例えば、ネットワーク構成図はどうなっているか、外部につながるサーバーはあるのか。こうした質問に明確に答えられるかどうかから確認しましょう。答えられないとすれば、大きな問題があると考えた方がよいでしょう」（ANAシステムズ 阿部恭一氏）

　「セキュリティ対策を担うCISOや担当者が情報を共有し、知恵を出し合う場が重要。私自身、場づくりに積極的に取り組んでいくつもりですが、ベンダーも、ユーザー企業も、それぞれの立場で参加し、貢献できる。そうした機会をできるだけ多く設け、多くの企業・組織、多くの人に活用してもらいたいと思っています」（東芝 天野氏）

　「セキュリティ対策に完全はありません。しかも、新しい攻撃手法が次々に生まれています。こうした中で、いかにセキュリティレベルを高めていくか。私はPoC（概念実証）から始めてはどうかと考えています。必ずしも大規模に始める必要はありません。グループ内で必要なところ、できる拠点からスタートするのです」（東京海上ホールディングス 阿部仁氏）

　攻撃の高度化、複雑化、巧妙化はとどまることを知らない。先進企業の取り組みを聞くことで、組織としてプロアクティブな防御を実現するためには、2つのアプローチ――「敵を知る」ことと「己を知る」ことが重要であるということが語られた。セキュリティ対策の有効性を検証した上で投資の最適化を図り、各関係部署、そして業界内での各社連携を通じた、強固な防御体制の構築が求められるだろう。セキュリティ有効性検証や脅威インテリジェンスといったキーワードは、プロアクティブな防御を支える大きなヒントとなっていきそうだ。