高まる脅威へ被害を最小限にとどめる発想 ·...
TRANSCRIPT
高まる脅威へ被害を最小限にとどめる発想
SS・4月24日・SSフォーラム(IoT時代における企業の危機管理システム)・15段・1割・2校
あらゆるモノがインターネットにつながるIoTや人工知能(AI)が急速に普及し、サイバー
攻撃の脅威は高まる一方だ。攻撃は完全には防げないと考え、被害を最小限にとどめる発想
が求められる。日本経済新聞社は3月末、サイバー事故の対応や予防にあたる「CSIRT(シ
ーサート)」構築をテーマにしたフォーラムを開催。企業に必要な危機管理体制を紹介した。
日本経済新聞社 インフォセック、カーボン・ブラック・ジャパン、ゾーホージャパン、ニュートン・コンサルティング、ピーエスアイ (五十音順)
主催: 協賛:
IoT時代における企業の危機管理システムIoT時代における企業の危機管理システム~実効性のあるCSIRT 構築と脆弱性管理でのぞむサイバーセキュリティー対策~
IoTの普及で多数の端末を
遠隔操作ウイルスに感染させた
攻撃用ネットワーク「ボットネ
ット」がサイバー攻撃を仕掛け
る脅威が高まっている。どの機
器が脅威なのかも把握しにく
い。未知の脆弱性ではなく、既
知の脆弱性を利用されて知らな
い間に管理者権限を奪われてい
るというケースが増えている。
パソコンをはじめコンピュー
ターシステムは、パッチ適用な
どセキュリティー面のメンテナ
ンスを行うが、IoT機器はメ
ンテナンスが手薄な場合が多い
ことも弱点になる。
セキュリティー向上にはサイ
バー攻撃に対応する組織「CS
IRT」設置が不可欠だ。CS
IRT専門の組織を作るのでは
なく、各部門横断で緊急時に対
応できる「チーム」を作る。コ
ミュニケーションを密にとり、
災害対応訓練のように適切に動
けるように定期的に見直しを進
めて成熟度も高めていく。
CSIRTは、マネジメント
だけのセキュリティー機能では
ない。危機に備えて技術的知見
の蓄積や情報収集などハンドリ
ング機能も備えるべきだ。
IoT機器のセキュリティー
をおろそかにしていると、当該
企業が影響を被るだけでなく、
サプライチェーン全体に被害が
及ぶ可能性がある。CSIRT
の「R」は事後(レスポンス)
の意味だけでなく事前(レディ
ネス&プロアクティブ)も含ん
でいる。
JPCERTコーディネーションセンター
経営企画室
エンタープライズサポートグループ
部門長
早期警戒グループ担当部門長
村上
晃
氏
各部門横断で「チーム」を
JPCERT/CCから見たIoTをめぐる脅威の現状
~インシデント対応体制構築のポイント~
人間の免疫システムに着想を
得たケンブリッジ大学の数学の
専門家が開発した人工知能で企
業の内部ネットワークを可視化
し、サイバー攻撃・内部不正を
まるで人体の免疫のように条件
定義不要で即時に検知・防御す
る「ダークトレース」を当社は
提供している。2016年の夏、
AIによる攻撃をインドで発
見。サイバー攻撃もいよいよA
Iの時代に入っている。従来の
ファイアウオールやIPS/I
DSといった出入り口対策だけ
では限界ともいわれ、侵入され
てからの対策がとても重要にな
ってきた。
だが、侵入後のサイバー攻撃
や内部不正を通常のツールで発
見するのは非常に困難。AI機
械学習で内部ネットワークの正
常状態を知り可視化した客観情
報で即時発見が可能になる。既
に6万超の未知の脅威に加え、
内部不正も発見している。
15年に起きた日本年金機構の
データ漏洩事件では、侵入に長
期間気づかず、他の漏洩事件で
も、CSIRTによる膨大なロ
グ分析や調査に6カ月以上かか
るケースも。社会はデジタル化
が進み被害も瞬時に広がる。即
時検知する新たな対策と組織内
CSIRTをどう機能させるか
が鍵だ。既に事業継続計画(B
CP)や災害対策では、手順や
規定が準備されている。機動的
に動ける手順、規定を加えて、
サイバー防御・内部不正対策を
危機管理に格上げする時代が到
来している。
ピーエスアイ
PSIサイバーセキュリティ研究所室長
福井
正輝
氏
防御を危機管理に格上げ
組織内CSIRTは進化する
世界をリードするAI機械学習が
サイバーセキュリティの最前線現場を変えている
セッション1
セッション2
セッション5
セッション4
セッション3
EDR(エンドポイント検
知・対応ツール製品)はエンド
ポイント・ディテクション&レ
スポンスの略だ。エンドポイン
トでログを蓄積し、早期対応の
役目を担うのがEDRだ。
危機が発生すると、「誰が仕
掛けたか」「攻撃の経路は」と
いった原因探索に加え、情報漏
洩はないかという調査も必要
だ。EDRは怪しいログを追跡
し、その振る舞いを把握でき
る。
EDRツールがある状態で
は、マルウエアに感染したと思
われる端末を迅速に隔離するだ
けでなく、その他の端末につい
ても調査する。感染した端末は
すべて隔離し、基本ソフト(O
S)の再インストールなど数時
間での対策も可能だ。
もしEDRツールがなけれ
ば、1台を切り離しても他の端
末にマルウエアが侵入している
かどうかがわからない。その間
に攻撃者は対策の動向を監視
し、新たなマルウエアを侵入さ
せるだろう。対策の完了まで数
カ月から1年もかかる場合もあ
る。
一般的なEDRツールはログ
を追跡して分析するタイプが多
い。最近では挙動のおかしいア
プリケーションや侵入したマル
ウエアを検知し、迅速にアラー
トを上げるタイプも登場してい
る。AI・機械学習を用いたソ
リューションに加えて、当社で
はビッグデータ解析を取り入れ
た「Cbディフェンス」を提供
し精度を上げている。
カーボン・ブラック・ジャパン
テクニカルディレクタージャパン
中川
和芳
氏
ビッグデータ解析で精度向上
EDRが切り開くこれからのインシデント対応
サイバー攻撃の脅威が年々高
まるとともに、被害も深刻にな
っている。だが、国内企業の約
9割でセキュリティー人材が不
足しているという。サイバー攻
撃が巧妙化していることで、侵
入の防御を目的とした対策か
ら、侵入を前提とした対策へと
軸足が移ってきた。限られた資
源を最大限活用した有効な対策
が求められている。
こうした状況で、いつでも起
こりうるインシデントに備える
ためにCSIRTを設置する企
業が増えている。
CSIRTの目的は、発生時
の被害最小化と発生率を下げる
ことだ。インシデントレスポン
スが重視されがちだが、予防対
策が有事におけるCSIRTの
有効活用につながる。
脆弱性をはじめとした内部リ
スクと、外部の脅威に積極的に
対応する必要がある。自社のI
T環境のリスクを「可視化」し
ておくことは重要だ。IT資
産、攻撃、ネットワーク、脅威
などの視点から分析し可視化す
る。
一方、予防策は社内に目を向
けがちだが、外部脅威を把握
し、事前対処することも重要で
あり、高度な脅威インテリジェ
ンスサービスを活用していくこ
とで効率的に行える。
当社はリスクアセスメント、
計画策定、セキュリティー対策
の構築、監視サービスなど、ト
ータルソリューションを展開し
ている。
インフォセック
セキュリティコンサルティングユニット
ユニットマネージャ
阿部
智明
氏
IT環境のリスクを見える化
ProactiveなCSIRT構築に向けて
脆弱性管理のゴールは未知の
脅威が既知となったとき、でき
る限り早く対策できる体制を作
ることだ。あらゆる脅威に対応
することも必要だ。更新プログ
ラムを管理・配信する「WSU
S・SCCM」でマイクロソフ
ト製品だけを対象にし、他のO
Sについては対策しなくていい
のか、という問題がある。
OS以外のサードパーティー
製品のパッチ配布を資産管理ソ
フトで行う場合、リリースして
から対応するまでに時間がかか
る問題をどうするのか。エージ
ェントによるパッチ配布ができ
ないサーバーや、増加するモバ
イル端末の脆弱性管理も課題だ。
脆弱性管理を効率化するため
に、パソコンをはじめ重要性が
低く影響の少ない端末はツール
で極力自動化し、モバイル端末
もMDM(モバイルデバイス管
理)による自動化で対応するべ
きだ。自動化で浮いた人的リソ
ースを重要サーバーの手動によ
る構成管理、プロセス見直しに
充てる。構成情報を一元管理す
るためにも常に最新情報を保持
する必要がある。
当社の「デスクトップ・セン
トラル」は、各種OSのパッチ
管理だけでなく、サードパーテ
ィーのパッチも一元管理し事前
検証も行う。MDMについても
近く対応する。「サービスデス
ク・プラス」はITILをベー
スとした構成管理、変更リリー
ス管理を支援する。マネージエ
ンジンシリーズとして、国内で
は13品種を提供している。
ゾーホージャパン
Manage
Engine
ソリューションエバンジェリスト
曽根
禎行
氏
鍵は自動化とプロセス見直し
脆弱性管理
成功への道~構成管理の最適解~
DeNAは事業の拡大に対応
しセキュリティー体制を強化、
2011年にCSIRTとして
仮想組織のCERTを構築し
た。当時、ゲーム事業はセキュ
リティーが確実な携帯電話から
インターネットに接続するスマ
ートフォンにシフトしつつあっ
たこと、海外展開を加速してい
たことが背景にある。さらに体
制を強化し14年にセキュリティ
ー部が発足した。
CSIRT構築の大前提とし
て「セキュリティーインシデン
トは完全に防御できない」「今
の平和は完全にコントロールさ
れたものか、それともただの偶
然なのか」ということを認識す
べきだ。
攻撃・検知・対応の活動の中
にもはや防御の貢献は少ない。
攻撃者は常に狙っており、防御
は簡単に破られると思わなけれ
ばならない。対応には開発も含
めて工数・時間がかかることを
覚悟しておく。
ただし行き過ぎた対策も無駄
なコストにつながり、企業の競
争力に影響する。対策範囲を明
確にし、迅速に対応する体制構
築が重要だ。
情報収集も鍵を握る。私はC
SIRT構築の前に各社の対応
状況を比較検討した。特に1人
で活動を始める際には、周囲の
状況を知ることで不安も解消さ
れる。社内の情報共有も含めた
協働が欠かせない。製造現場も
関係するIoTでは、部門間連
携がとりわけ求められる。
DeNAシステム&デザイン本部セキュリティ部
部長
(肩書は当時)
茂岩
祐樹
氏
社内の情報共有も含めた協働を
事業会社におけるCSIRT構築・運用事例
クロージング講演
あるセキュリティーベンダー
のリポートによると、企業の約
4割はサイバー攻撃を受けてい
る。そして検知に1日遅れると
保障費用なども含めて約4割コ
ストが上昇するとある。つまり
初動がポイントだ。こうした状
況に対し、いち早く動くのがC
SIRTであり、実際に効果を
上げている企業も多い。
サイバーセキュリティーの強
化は法令で定められ、ガイドラ
インが示されるなど強化の方向
にある。日本企業でも海外のフ
レームワークに対応し強化する
事例もある。
これまではどのように情報を
守るかがポイントだった。近
年、大規模なセキュリティーイ
ンシデントが頻発し、企業ブラ
ンドをどのように守るかという
視点が重要になった。
CSIRTをどのように構成
するかという点で、我々は既存
のセキュリティーの仕組みを生
かすよう訴えている。
CSIRTは「つくる」では
なく「定義する」に近い。経営
理念や方針を踏まえ「何を守る
のか」を明確にし、短期集中型
の構築を提案している。トップ
インタビューや当事者を対象に
したワークショップなどを開催
し、効率的に合意形成を図る。
CSIRTは設置して終わり
ではない。対応能力を可視化す
る演習を実施し、ブレない指標
を用いて評価と改善を行う。合
意に基づくロードマップに沿っ
て対応力を成長させることも重
要だ。
ニュートン・コンサルティング
CISO/プリンシパルコンサルタント
内海
良
氏
経営として何を守るのか
実事例から学ぶ
~CSIRT構築の悩みどころと構築後の成長の測り方~
基調講演
企画・制作=日本経済新聞社クロスメディア営業局