よくある失敗例

 情報セキュリティ対策というと、どうしてもインターネットからの不正アクセスやウイルス感染を防ぐことばかりに焦点があたりがちですが、近年のサイバー攻撃の手口は巧妙化し、より広範囲かつ多様な領域での専門的な対策が求められるようになっています。自社のIT環境全般を見据えて検討する必要があり、自前で検討することはかなり難易度が高いため、「餅は餅屋」ということで、セキュリティ対策をプロにアウトソースする企業が増えつつあります。

 一方、セキュリティ関連商品を販売する営業担当の中には、ユーザーの不安をあおり、視野を狭めたうえで、営業担当が売りたいサービスにフォーカスを当てたセールストークを行うこともあるようです。あとで後悔しないためにも、ありがちな失敗例を紹介しましょう。

 

「UTMは万能」の言葉を鵜呑みにしてしまう

<営業担当の売り込み>

 ネットワークセキュリティに必要な機能を1つの箱に集約しているUTM製品ですから、これさえ入れておけばセキュリティ対策はバッチリですよ。個別のセキュリティ機能の専用製品を組み合わせる場合に比べて導入のハードルも低く、ハードウェアも1台で済むので導入コストが圧倒的に低く抑えられます。当社のUTMの本体価格を見ていただければ、その安さがおわかりいただけるでしょう。


<情報システム担当>

 UTM製品を導入した直後から日々膨大なアラートが出力され、その意味を理解し、対応の可否や具体的な対応を導き出すのは、スキル的にも稼働的にも困難だと思い始めた。そのため、危険度の高いアラートだけでも対応しようとしていた矢先、外部からの指摘で機密情報が流出していることが明らかになった。調べたところ、UTMはその事象を検知していたにも関わらず、危険度の低いアラートであったため、放置されていた。UTMを導入するだけでネットワークセキュリティは完璧という売り文句と、価格の安さに釣られてしまったが、UTMが出すアラートへの理解が不十分で、導入後の監視や運用をもっとしっかりと考えておくべきだったことを痛感した。

 UTMにはファイアウォールVPN、ウイルス対策、不正侵入検知・防御(IDS/IPS)、Webコンテンツフィルタリングといったネットワークセキュリティに必要な機能が一通り実装されており、それらの対策を比較的安価に導入できるメリットがあります。

 しかしながら、UTMをはじめとするセキュリティ機器が生成するアラートは、実際には危険ではない誤検知がその大半を占めます。アラートは1日に数万件、数十万件にのぼることも珍しくなく、自社内でのセキュリティ監視には大変な労力と専門的な知識が必要になり、そのような分析業務を専門業者にアウトソーシングするのが一般的になってきていることも覚えておきたいところです。

 

100%のセキュリティ対策はない

<営業担当の売り込み>

 うちのセキュリティソリューションは入口対策のみならず、出口対策にも力を入れており、最近の標的型サイバー攻撃にも対応しています。情報システム担当さまと弊社でタッグを組めば、御社のセキュリティ対策は万全です。


<情報システム担当>

 それなりのコストと時間をかけて、満足のいくセキュリティ対策ができたと思っていた。プロが運用してくれるため安心していたところ、まさかの情報漏えいが発生してしまった。情報システム担当の所掌範囲で守ることだけに目を向けていたため、守りきれなかったときの対策や体制が会社全体としてできておらず、社内が大混乱してしまった。取引先や顧客への対応が後手に回り、企業の信頼性が失墜。被害は想像以上に拡大してしまった。

 そもそも、どんなに強固な対策を講じても100%安全なセキュリティはありえないことを理解しておくべきでしょう。これは大地震に耐える設備に加え、発生したときの対策が必要になる災害対策と同様です。「起きたときの被害をいかに最小限に抑えるか」という視点もセキュリティ対策には欠かせません。

 また、昨今の報道からも分かるように、セキュリティインシデントは今や経営リスクとして位置付けるべきです。そのためには会社全体としてセキュリティインシデントに向き合い、経営判断ができる体制作りも重要です。

 具体的には、セキュリティ上の問題を検討し、万が一問題が発生した場合にその原因解析や影響範囲の調査、また対外的な報告判断を行う「CSIRT(シーサート)」を、社内の組織を横断して構築することは有効な手段といえるでしょう。

 

グローバルでセキュリティポリシーは統一すべきか

<営業担当の売り込み>

 国や地域によって法制度、商習慣はさまざまですので、無理に日本国内のセキュリティポリシーで統一するのは時間的にも、労力的にもおすすめしません。「郷に入っては郷に従え」とも言いますし、必要な機器は現地で調達し、セキュリティ対策は現地の判断にまかせるのが正攻法です。


<情報システム担当>

 そもそも事業基盤が国内市場にあったので、あまり海外拠点のことは気にすることなく日本拠点のみを考慮してセキュリティ対策を導入してきた。ところが、事業の発展に伴い経営方針がグローバル重視にシフトし、M&Aにより海外拠点も増加した。そこでセキュリティ対策を現地にゆだねていた状況が仇になってしまった。セキュリティ管理体制が整っておらず、対策も行き届いていない海外拠点がサイバー攻撃の標的になり、そこを起点に自社グループ全体のネットワークへの侵入を許し、大変な事態を招いた。こんなことなら、最初からグローバル展開を見据えた計画をたてるべきだった。

 自社のビジネスがグローバル化しているのであれば、経営基盤であるIT環境も経営リスクとなる情報セキュリティもグローバルの視点で考えるべきです。

 確かに、法制度、商習慣は国や地域によって一様ではなく、海外で調達できないセキュリティ機器もありますが、自社ネットワークへの侵入はセキュリティ対策が不十分なポイントで成功するため、全社的、グループ全体、サプライチェーン全体でのセキュリティレベルの底上げが重要となってきます。

 ひとつの方法として、全体としてはセキュリティポリシーのベースラインのみを決め、各国や各会社にはその最低ラインから段階的なステップアップを促すなどのアプローチが考えられます。グローバルにおけるセキュリティガバナンスの構築や再考をお考えであれば、そのような実績を有するパートナーを選ぶべきでしょう。

▼それでは、セキュリティ対策の基本をおさらいしておきましょう▼
「セキュリティ対策の基本とは?」

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

セキュリティ対策の基本とは?

巧妙化、高度化する標的型攻撃から企業を守るために

 国内・国外を問わず、サイバー攻撃により企業や政府機関が被害を受ける事件が頻発していることからもわかるように、企業のIT環境に対する脅威は増加の一途を辿っています。これらの脅威はますます巧妙化しており、ファイアウォールやウイルス対策ソフト、それにIDS/IPSを設置しただけで、企業の情報セキュリティを守れる時代は遠い過去となっています。

 その巧妙化している攻撃の象徴とも言えるのが、昨今猛威を振るっている「標的型攻撃」と呼ばれる攻撃手法です。標的型攻撃はメールやWebサイト閲覧を通じて新種のウイルス(未知のマルウェア)をパソコンに侵入させ、そこを基点として組織内にある他のパソコンやサーバーに感染を広げ、機密情報の持ち出し、システム破壊などの攻撃を行います。

 たとえば、攻撃者がある有名なグローバル企業をターゲットにしたと仮定しましょう。通常、そうした企業では強固なセキュリティ対策がなされています。すると攻撃者は、その大手企業のサプライチェーンにある外注先や現地法人などからセキュリティレベルの低い組織に目をつけます。そして、その突破口と定めた企業へマルウェアを侵入させ、そこを踏み台に本来のターゲットである企業の情報を盗み出したり、新たな攻撃を仕掛けたりするのです。

 このように、自社の経営リスクである情報セキュリティを守るためには、自社のみならず、ビジネス基盤を考慮したセキュリティ対策と標的型攻撃などの巧妙なサイバー攻撃を前提にした対策への転換が必要です。中堅・中小企業であれば、サプライチェーンの中心となる大手企業からの要求をうける場面もあります。様々な手法を組み合わせた複合的な脅威に対抗するためには、対策もまた複合的であることが求められます。標的型攻撃対策には「入口対策」「内部対策」「出口対策」の3つのポイントで多層的に防御し、これらを連携させて防御力を最大限にする取組みが重要になってきます。

 

入口対策

 そもそも攻撃者がインターネット経由で自社のIT環境に侵入できないようにする対策です。ファイアウォールやIDS/IPS、アンチウイルスアンチスパム、Webコンテンツフィルタリングなどが基本的な対策であり、それぞれの機能を有した専用機がありますが、これら複数のセキュリティ機能を統合したUTMや更に進化した次世代ファイアウォールといった製品もあります。なお、ここ数年アンチウイルスでは検知できない未知のマルウェアに対処するため、外部から送られてきた疑わしいファイルを別の安全な環境内で実行させて、そのふるまいから危険性を調べるサンドボックス製品と呼ばれるセキュリティ機器も登場しています。

 しかし、残念ながら昨今の高度化、巧妙化する標的型攻撃を入口で防ぎきることはほぼ不可能です。ただし、入口に残ったログが事実究明や復旧対応の重要な手がかりになることもあるため、たとえ完全な防御ができなくても入口対策の意義は大きいといえるでしょう。

【コラム】企業に侵入する未知のマルウェアの実態

 標的型攻撃では、ウイルス対策ソフトでは検知できない新種のマルウェアが使用されます。こうした未知のマルウェアの脅威を検出するのに有効なのがサンドボックスです。以下のグラフは、国内のある企業に送られてくる、添付ファイル付きメールの集計結果です。グレー部分は、4社のアンチウィルスソフトいずれでも検知できなかったウイルスであり、おおよそ半分を占めていることが分かります。従業員の一人でも感染すれば、情報詐取の橋頭堡を築けられることを考えると、従来のウイルス対策のままでいることがどれだけ危険かがご想像できるかと思います。

企業に侵入する未知マルウェアの実態

 

内部対策

 万が一攻撃者に入口対策を突破された場合、内部で攻撃が進行・拡大しないようにするための対策です。ウイルス対策ソフトによって社内PCのマルウェアの感染を防止するとともに、PCにはセキュリティホール(脆弱性)を減らすよう定期的にセキュリティパッチを適用し、最新の状態に保つことが基本的な対策となります。

【コラム】セキュリティデバイスのアラートはどこまで信用できるか?

 UTMをはじめとするセキュリティ機器が生成するアラートは、実際には危険ではない誤検知がその大半を占めます。また、アラートは4段階程度の危険度にレベル分けされますが、これも実際の危険度とミスマッチするケースがほとんどです。

 これらは、「セキュリティ機器が脅威を見逃さないように検出条件を緩めにして作られている」、「ある条件にマッチするかの判定において攻撃プロセス全体を加味しておらず、一事象のみで判断している」ことが原因として挙げられます。アラートは、1日に数万件、数十万件にのぼることも珍しくなく、「アラートが信用できない(オオカミ少年)」「脅威の見逃し」につながっています。

 さらに、未知の攻撃手法が使わられることで、「そもそも気付けない」事象もあります。このような現状に対応するために、セキュリティ機器全般やネットワーク機器のログを収集し総合的に不正を検知する基盤である「SIEM(Security Information and Event Management)」による相関分析などを駆使して、専門業者がセキュリティ監視を行うマネージドセキュリティサービスが注目されています。

セキュリティデバイス運用の抱える課題

 

出口対策

 万が一、入口対策や内部対策が突破されて攻撃が進行・拡大しても、機密情報が外部に漏えいすることを瀬戸際で防いだり、漏えい後の被害を最小限に抑えたりする対策です。悪性サイトや業務に不要なサイトへのアクセス制御(Webフィルタリング)や、情報漏洩につながる危険性のあるアプリケーション通信の制御(アプリケーションフィルタリング)、PCからインターネットを閲覧する際にIDやパスワードを入れさせる仕組み(Proxy認証)などが基本的な対策として挙げられます。

 そのような外部向け通信の際に経路となるIT機器(Proxyサーバなど)に、前述のサンドボックスで捕捉・解析したマルウェア内にある悪性サイトのURL情報を連携させて通信をブロックしたり、様々なIT機器のアラートやログをSIEMに集約して相関分析を行い、巧妙な攻撃を炙り出したりする手法がここ数年の潮流となっています。また、ログの取得は万一データが流出してしまったときに被害内容の特定や原因追及をするために重要な情報源となり、機密情報は予め暗号化して保存しておくことが肝要です。

 

企業のセキュリティ対策を取り巻く状況

 企業のIT環境への脅威から自社や顧客、そして取引先までを守るために、大企業などでは上に挙げたような3段階のソリューションを組み合わせて導入するケースが一般的です。しかしその場合、設定や運用管理がかなり複雑になるうえに、トータルコストも大きく膨らんでしまいます。情報システム部門にセキュリティのスキルが高い人材が豊富に存在する一部の企業を除いて、セキュリティに対する人材が不足する企業では大きな負担となってしまうことでしょう。

 こうした中で注目を集めているのが、セキュリティのプロに運用監視をアウトソーシングできるマネージドセキュリティサービスです。自社の資産をサイバー攻撃から真剣に守りたいなら、ぜひ前向きに検討すべきでしょう。ここで注意したいのは、自社がグローバルな事業展開を図っているかどうかも視野に入れることです。そうであれば、海外拠点において国内と同様な防御が提供できるかどうかもサービス選定の重要なポイントです。

 とはいえ、すべてをプロにまかせるから安全というわけではありません。先に述べた多層的な対策を行ったとしても標的型攻撃を完全に防ぐことは困難なため、実際に被害を受けた際の損失を最小限に抑える組織的対応も想定しておくべきです。セキュリティ上の問題を検討し、万が一問題が発生した場合にその原因解析や影響範囲の調査を行う組織「CSIRT」の構築も同時に検討すべきかもしれません。

 こうした社内を横断する体制づくりの支援ができることも、マネージドセキュリティサービスを提供するパートナー選びに欠かせない視点のひとつ。とかく対策すべき箇所が多く、なにから始めるべきかわからないセキュリティ対策だからこそ、コンサルティングから運用監視、アフターフォローまでを自社と一体になって継続的にサポートしてくれるパートナーを選ぶべきでしょう。

▼マネージドセキュリティサービスを利用するメリット・デメリットを確認!▼
「メリット・デメリット」

メリット・デメリット

マネージドセキュリティサービスを利用するメリット

 セキュリティのプロがサイバー攻撃から企業のリソースを多層防御するマネージドセキュリティサービスは確かに便利で頼もしい存在です。しかし当然ながらメリットとデメリットがありますので、きちんと把握しておきましょう。

運用負荷の低減
 セキュリティ対策をプロにアウトソースできるため、社内に専任の人材が不要になり自社の運用負荷が軽減できる。

最新の脅威への対応
 未知の脅威に対するアップデートなどがリアルタイムで行われるため、サービスを継続する限り高いセキュリティを維持できる。

導入や拡張が容易
 自社の課題を踏まえ、どこから手を付けるべきかをコンサルティングにより提案してもらえるためセキュリティ対策の導入をスムーズに行うことができる。

トラブル時の対応が容易
 複数のセキュリティ対策を統合したワンストップサービスであるため、トラブルが生じた場合に問題の切り分けを自社で行う必要がない。

 

マネージドセキュリティサービスを利用するデメリット

社内にセキュリティのプロが育たない

 セキュリティ監視や分析業務をアウトソースするため、そのような業務を遂行するための人材が育たず、ノウハウも社内に蓄積できない。ただし、高度化、巧妙化した現在のセキュリティリスクに対応できる人材をゼロから育成するには数年は最低かかると見込まれ、そもそも適正の見極めも難しい。また、専門スキルを有する分野であるため、人材の流出など組織の維持にも課題があることが実状である。

自社のリソースを他社に委ねる必要がある

 セキュリティサービス提供事業者における運用の過程で、場合によっては自社の機密情報まで事業者に委ねなければならないこともある。たとえば、機密情報が添付されたメールが疑わしいと判断された場合は、事業者のセキュリティ分析官はそのメールの内容まで閲覧し確認することになる。そのため、事業者を選ぶ際にはサービス内容のみならず、コンプライアンスや企業セキュリティレベル、これまでの運用実績などを踏まえて検討する必要がある。

総合的な対策のためコストがかかる

 アウトソーシングサービスのため、その分の費用が必要。しかし、経営的視点から考えると、情報セキュリティ対策へ投資することで、純粋リスクから投機的リスクへの転換が可能となります。また、投資額を考える際には、セキュリティインシデントが発生した際に生じる損失として、「事故発生から復旧までの時間」や「事故に係った内部稼働」、「事故に係った外注費」、「システム修繕費」、「損害賠償等費用」、「事故期間の遺失利益」、「信頼回復に係る費用」などの総額が参考となります。

▼では、もっと詳しいチェックリストで確認しましょう▼
「すぐに使えるチェックリスト」をクリック!

すぐに使えるチェックリスト

 マネージドセキュリティサービスのパートナー選定は、検討すべき項目が多岐にわたるため、セキュリティの専門家やセキュリティサービス提供事業者の営業担当と相談しながら進めることになるでしょう。

 ここでは初めて導入される方でも、事業者の言いなりにならずに自社に最適なパートナーを選ぶための、チェック項目と解説をまとめた資料をご用意しました。事業者へのヒアリングの際などにご活用ください(ダウンロードにはBizコンパスへの会員登録<無料>が必要です)。

サービス事業者比較

 国内のマネージドセキュリティサービス提供事業者など7社(NTTコミュニケーションズ、他6社)が提供するサポートについて比較しました(ダウンロードにはBizコンパスへの会員登録<無料>が必要です)。

このテーマについてもっと詳しく知りたい

Bizコンパス編集部

Bizコンパス編集部

連載記事

関連キーワード