エバンジェリストに聞く!セキュリティ最新トレンド

事業継続のためのセキュリティ対策を考える

2017.06.02 Fri連載バックナンバー

 ビジネスにおけるITの活用領域は広がり続けていますが、それに伴ってサイバー攻撃のリスクも高まっています。そのような中、必要となるセキュリティ対策とはどのようなものか、NTTコミュニケーションズのセキュリティエバンジェリストである竹内文孝氏に伺いました。

 

サイバーセキュリティは事業を継続するために必要

 2016年12月、経済産業省は「サイバーセキュリティ経営ガイドライン」を改訂した「Ver.1.1」を公開しました。同ガイドラインの初版の公開からわずか1年での改訂で、修正されているのは、サイバーセキュリティに対する投資の考え方、その1点のみです。セキュリティ投資について、初版では「リターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」と記述されていた部分が修正され、Ver.1.1では「(前略)サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と、経営者の責任を強調する形に改められています。

 このサイバーセキュリティ経営ガイドラインが指摘するように、もはやサイバー攻撃は経営リスクの1つであり、経営課題として捉えるべき問題となっています。NTTコミュニケーションズのセキュリティエバンジェリストである竹内文孝氏は、企業におけるセキュリティ対策の位置付けの変化を次のように話しました。

 「これまでサイバーセキュリティは、ITシステムを守るための1つの機能として取り組まれていました。しかし今では単にシステムを守るものではなく、事業を継続するために必要なリスクマネジメントの一環という位置付けになりつつあります」

セキュリティ対策のパラダイムシフト

 

気になる見出しをクリック

1カ月に約8,000通のマルウェア付きメールを受信

 このようにセキュリティ対策が大きく変わった背景には、巧妙かつ悪質なサイバー攻撃が頻繁に発生し、企業が大きな被害を受けるケースが増加しているという事実です。竹内氏は実例として、5万人ほどの社員が働く大企業のケースを紹介しました。

 「この企業では、調査を行った1カ月間で7,979通の新種のウイルス付きメールが入ってきました。その新種のウイルスの種類は390種類にも及んでいます。もちろんウイルス対策もスパムメール対策も行っていますが、それらでは検知できない未知のウイルスが390種類もあるということです。一方、ネットワークの出入口で同じ月に観測された攻撃の数は21件です。この企業はネットワークの出入口でのセキュリティ対策として、ファイアウォールIPSプロキシのログ分析を行っています。それらから出力される約150億件のログを分析することで、21件の攻撃を検出することができました。もしログを分析してサイバー攻撃を見つけられなければ、マルウェアに感染したパソコンを外部から遠隔操作されてしまい、社内にある機密情報が盗み出されるということになるわけです」

標的型メールによるサイバー攻撃の事例

 ウイルス対策を行っていても、それでは検知できないマルウェアを添付したメールが1カ月に約8,000通も送られてくるというのは驚きでしょう。また竹内氏は、演習として標的型攻撃を模した内容のメールを社員に送信する訓練では、一般的に10~20%のユーザーがマルウェアを開いてしまうという統計もあると話します。これらの数値を見れば、マルウェアへの感染を完全に防ぐのは極めて難しいことが分かるのではないでしょうか。

多層防御とSIEMで脅威を着実に検知

 そこで重要となるのがネットワークの出入口における多層防御です。具体的なソリューションとしてはIDS/IPSや未知のマルウェアを検知するサンドボックスなどが挙げられます。竹内氏は、IDS/IPSで検知できた脅威は全体の25%、サンドボックスでは14%を検知しており、多層防御の必要性を説きますが、併せてプロキシを分析対象に加えることの重要性も強調しています。

 「プロキシのログを正確かつ精密に分析することで、43%の脅威を見つけられています。さらにプロキシとIDS/IPS、あるいはサンドボックスのログを相関分析することにより、さらに18%の脅威を見つけることができました。この結果からも相関分析が必要だということが分かりますが、ポイントとなるのがSIEMです。これはユーザーの環境内にあるセキュリティ製品やプロキシサーバーのログを集約してビッグデータ化し、横串で分析し異常な通信を見つけ出すという仕組みになります」

プロキシを組み合わせた多層防御が有効

 つまりセキュリティ製品を使って防御することに加え、SIEMを使ってログを集約・分析することにより、それぞれのセキュリティ製品では見つけられなかった脅威が検知できるというわけです。加えて竹内氏が提示したのは、セキュリティ機器単体が自動で判定した脅威度と、SIEMとセキュリティの専門家が判定した脅威度の一致した割合は36%に留まり、セキュリティ機器の過剰判定が48%、過小判定が16%もあるという事実でした。

 「管理者が通知されたイベントをチェックし、調査してみたところ何事もなく、セキュリティ機器の過剰判定による誤検知だった。このようなことが繰り返されると、管理者はまた誤検知だろうと判断し、そのイベントを無視するようになってしまいます。すると、せっかく性能のよいセキュリティ装置を導入しても、IT管理者は脅威に気付けなくなってしまうでしょう。セキュリティ脅威を検知するセキュリティ製品は必要不可欠ですが、そこから出力されたアラートやログを適切に取り扱い、分析できる体制を持つことも同時に不可欠なことなのです」

セキュリティ製品は万能ではない

 セキュリティ製品は導入したが、あまりに多くのアラートが出力されるため、ほとんどチェックされずに放置されるといったケースは珍しくありません。とはいえ、そうしたアラートの中に本当の脅威が含まれています。それを見逃さないために、SIEMを活用した効率的な分析を行い、さらにセキュリティのプロフェッショナルの目を通すことで、本当の脅威をあぶり出すことが可能になるのです。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

サイバー攻撃に対するリスクマネジメント、何をすべき?

 このようにサイバー攻撃が頻繁に発生し、それらを検知して防御することが難しくなっている状況において、どのようにリスクマネジメントを行うべきでしょうか。この点について竹内氏は、3つのステップで対策を進めていくべきだと話しました。

リスクマネジメントの強化ポイント”1.2.3.”

 「1つ目のステップは社内体制の整備です。具体的には、各々のシステムのライフサイクルなどに合わせて、セキュリティのチェックポイントをしっかり作っていくことです。何十、何百というシステムがあり、それらを管理するIT担当者も複数存在する。そのような状況の中でも、システムの種類や管理者のスキルにかかわらず、一定レベルのセキュリティを保つことができる。そのようにセキュリティのチェックポイントを構造化し、体制を整えることが最初のステップになります」

 2つ目のステップとして竹内氏が挙げたのはCSIRTの構築です。CSIRTとは、マルウェア感染やサーバーへの不正アクセスといったインシデントが発生した際に、その調査を行う組織であり、昨今設立する企業が増加しています。このCSIRTの運用においては、「警察署ではなく消防署になることが重要」と竹内氏は説きました。

 「何かあったとき、社員の方々が電話を掛けにくいところでは駄目なのです。何かちょっと危険を察知したとき、110番にはかけにくいですよね。でも、小火(ぼや)が出たときに119番にかけることはあまりためらわないのでは。警察ではなく消防署のような存在となり、何かあったときにすぐに通報してもらえる、そういった体制やプロセスの作り方がCSIRTを成功させる大きな秘訣です」

リスクマネジメント体制におけるCSIRTの位置づけ

 またCSIRTのメンバーに求められる素養として「業務を理解していて、さらに会社の事業継続において何が必要か、リスクは何かということを熟知し、さらに技術面の統制がある程度できる人」とした上で、「CSIRTのメンバーがログを分析する必要はない」と話し、「サイバー攻撃を検知し防御する技術は日々進化しているため、そのような部分はアウトソーシングするなど、体制を整えていくことが重要」としました。

グループ全体を救うセキュリティ共通基盤とは?

 そして3つ目のポイントとなるのが、情報セキュリティガバナンスのグループ全体への展開です。この際に大切なのが尺度を持つことで、情報セキュリティガバナンスの成熟度モデルに基づき、人と組織、技術のそれぞれの視点で現状を把握することができれば、グループ全体のセキュリティレベル向上につなげられるでしょう。

 最後に竹内氏が語ったのは、セキュリティ共通基盤を作ることのメリットです。

 「攻撃者はセキュリティレベルの低い拠点や子会社を狙って攻撃を仕掛けて踏み台とし、本丸、つまりセキュリティレベルが高い本社にある情報を盗み出します。その対策としては、グループ全体を守るセキュリティ共通基盤を作ることが挙げられます。これは決して難しい話ではなく、単にプロキシサーバーを立てて、グループ会社の従業員がインターネットにアクセスする際に必ず経由するようにしておくわけです。このプロキシサーバーのログを分析すれば多くの脅威を検知できるほか、そこで得られた情報を共有することで組織間をまたいだ連携防御にもつながります。こういった形を整えることができれば、事故が起きてもすぐに検知できて、必要なアクションを即座に実行できる、対応能力の高いセキュリティ対策になるでしょう」

グループ経営を守るノウハウ共有と連携防御

 セキュリティ対策は直接ベネフィットを生み出すものではありませんが、一方でサイバー攻撃を受ければ大きな金銭的損失が生じるのも事実です。地震や洪水などといった災害対策と同様、セキュリティ対策もリスクマネジメントの一環であると捉え、事業継続のために何をすべきかをあらためて考えてみましょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter