• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

経営課題シンポジウム サイバー攻撃から情報漏えいまで

基調講演
経営者が認識すべきセキュリティ「3原則」
――内外のリスクに対抗するために

第一歩は情報資産の棚卸
コスト削減効果も期待できる

ラック サイバー・グリッド・ジャパン
サイバー・グリッド研究所
研究所長兼チーフエバンジェリスト
川口洋氏

 サイバー攻撃の被害に関するニュースが後を絶たない。2017年に入ってからは「Apache Struts 2」の脆弱性を衝いた攻撃を受けて、複数の企業が数億円レベルの特別損失を計上している。「ソフトウエアのアップデートが遅れただけで、業績に大きなマイナスの影響が生じることもあります。いまや、セキュリティ対策は経営課題そのもの」と、セキュリティソリューションを提供するラックの川口洋氏は強調する。

 今、多くの企業がAIやIoT、ビッグデータを活用した成長戦略に取り組もうとしている。データの重要性が高まるほど、企業が守るべきエリアは広がり、同時にセキュリティリスクも高まる。そんな時代、経営者が認識すべき3原則を、川口氏はこう説明する。

 「第1に、経営者のリーダーシップが欠かせません。第2に、情報システムの連携を意識する必要があります。第3に、関係者とのコミュニケーションが重要。もし情報漏えいなどの事故があれば、顧客や行政、メディアに対してきちんと説明しなければなりません。その矢面に立つのが経営者です」

 具体的な対策となると、「どこから手をつければいいのか」と悩んでいる企業もあるかもしれない。最初の取り組みとして川口氏が推奨するのは、情報資産の棚卸だ。

 「PCが何台あるのか、どんなソフトウエアを使っているのか。きちんと把握していない企業も多い。棚卸すれば、使っていない資産も見つかるはず。例えば、リースのPCが5台余っていたら、それを返すことで、まずはコストが削減できる。同時に守る範囲を狭められるので、一石二鳥です」

 限られたリソースで最大限の効果を得るため、優先順位を示すことも重要。「仮に侵入を許したとしても、重大なインシデントにならないような対策が求められます」と川口氏。100点満点のセキュリティ対策を追求するのは、現実的とはいえない。メリハリのあるセキュリティ対策を実行する上でも、経営者の積極的関与が重要だろう。

特別講演
APT攻撃への対応体制
――インシデントレスポンスの現場から

技術情報や営業機密を狙うAPT攻撃
トップダウンで監視体制の構築を

JPCERTコーディネーションセンター
インシデントレスポンスグループ
マネージャ 久保啓司氏

 標的型攻撃とも呼ばれるAPT(Advanced Persistent Threat)攻撃は、企業の技術情報や営業機密などをターゲットとしている。巧妙かつ執拗な攻撃が行われ、発覚しそうになると証拠を隠滅して潜伏することも多い。近年、この種のサイバー攻撃が非常に増えている。

 「ビジネスを成り立たせる上で極めて重要な情報が狙われています。もしも窃取されれば企業の存続にも関わる情報だけに、トップダウンの対処が求められます」と語るのは、JPCERT/CCの久保啓司氏である。

 APT攻撃対応における大きな課題は、初期対応が遅れがちになることだ。久保氏はこう説明する。

 「攻撃者による証拠隠滅などもあり、認知が難しい。認知したとしても、全体像を把握しにくいのがAPT攻撃です。全体像を把握しようとすると、フォレンジックなどの対応が求められます。相当のリソース投入が必要なだけに、トップの意思決定は欠かせません」

 初期段階で、全体像の把握を指示できる経営者は少ないかもしれない。ただ、対応が遅れれば、取り返しのつかない事態に発展する可能性もある。APT攻撃対策に当たる現場には、経営者に対する十分な説明が求められる。

 APT攻撃に向き合う中で、JPCERT/CCは、対処プロセスをベストプラクティスとして整理してきた。その流れは「認知→被害範囲の特定→一次対応(止血処置)→監視体制構築→封じ込め→平常監視」というものだ。

 「監視体制の構築までは、これまでのセキュリティ対策でも一般的なものだと思います。これからは、さらに追加のプロセスが必要。監視体制を構築して、事実確認が可能な状態をつくることが重要です。そのためには対応戦略が欠かせませんが、SIEM(Security Information and Event Management)などの技術も有効です」(久保氏)

 SIEM製品による各種ログの可読化・可視化、EDR(Endpoint Detection and Response)製品による通信プロセスの特定といった取り組みにより、フォレンジック調査の必要のない監視体制が可能になる。APT攻撃に対抗しうる体制づくり、その判断は経営者に委ねられている。