CISCO Security Day 2017 Review

リスクを認識、評価し、適切な対策を!2020年を成功させるための提言

【Part2】「東京の成功のために」前開催地からのメッセージ

大会中は国全体が攻撃の対象となる

Cisco Systems Brazil Rio 2016 Project Lead ロドリゴ・ウショア氏
Cisco Systems Brazil Rio 2016 Project Lead ロドリゴ・ウショア氏

リオデジャネイロでのスポーツ大会は、世界中から観客が集まるだけでなく、多くの情報が発信された。500以上のテレビチャンネル、2万5000以上のメディアがかかわり、のべ35万時間の番組を世界に送り出した上、10億人以上の人がインターネットを介して大会とつながった。

この大会を支えたのが7000人以上の電気通信の専門家、そして、600人のサイバーセキュリティの専門家である。「これまでで最も“コネクテッド”な競技大会でしたが、最終的にはすべてが順調に進みました。あらゆる攻撃から大会を守るため、大会組織委員会だけでなくパートナー企業、スポンサー、政府など多くの利害関係者が連携しました。シスコは、ネットワーキングとエンタープライズサーバーの公式サプライヤーとして機器を提供したほか、設計から運用まで大会のオペレーションを支えました」とシスコのロドリゴ・ウショア氏は話す。

世界的なスポーツ大会ともなると、競技や結果を管理するシステムはもちろん、事務用ネットワーク、観客やメディア、アスリートをサポートするシステムなど、守る対象は非常に幅広くなる。ユーザーがアクセスするネットワークインフラだけでも、大会会場内には11万以上のネットワークポートがあり、5000以上のWi-Fiアクセスポイントが設置された。

さらに、インターネットバンキングやEコマースなどのサイバー空間、政府、国の情報インフラ、エネルギー、交通、通信、金融といったクリティカルなインフラも守る必要が出てくる。「大規模なイベントの際には、国全体が攻撃の対象になり、あらゆる方面でセキュリティの技術や能力を攻撃者に試されることになるのです」とウショア氏は経験から2020年の東京が置かれる状況を語る。

このような事態を予測し、リオデジャネイロでは、4年前から脅威を評価、特定してきた。また、大会で守るべきものとして「競技とスポンサー」「政府・自治体」「クリティカルなインフラストラクチャ」「インターネットユーザー」にターゲットを定め、サイバーセキュリティ計画の重要な要件として、「教育」「防御」「対応」「コラボレーション」を掲げた。

「教育」により大会関係者だけでなく、広く国民のサイバーセキュリティに対する理解を深める。重要資産を特定してポリシーを策定し実際にテストを繰り返すことで「防御」の基本を作る。インシデントへの「対応」の力を高め、他の組織との協力、情報共有などの「コラボレーション」でサイバーセキュリティの知見を普遍化することが狙いである。


▲TOPへもどる

大会前に行ったテストの結果と教育の成果は

リオデジャネイロ2016組織委員会 CISO(Chief Information Security Officer) ブルーノ・モラレス氏
リオデジャネイロ2016組織委員会 CISO(Chief Information Security Officer) ブルーノ・モラレス氏

では、こうした要件の下、実際、どのような対策が行われたのか。当時、大会組織委員会でCISO(Chief Information Security Officer)を務めたブルーノ・モラレス氏が、対策の内容について紹介した。

「サイバーセキュリティプログラムのポイントは8つ。(1)『ビジネス継続性』(2)個人情報やチケットなどの『情報保護』(3)『セキュリティアーキテクチャとインフラストラクチャの作成』(4)ユーザーIDのライフサイクルを守る『識別およびアクセス管理』(5)知見を関係者で共有し攻撃に対応できる体制を整える『サイバーセキュリティインテリジェンス』(6)セキュリティに対する認知を高めユーザー教育をする『セキュリティ啓蒙』(7)セキュリティの評価を行い、成熟度を高める『セキュリティアセスメント』、そして(8)実際にサイバーセキュリティのオペレーションセンターを作る『セキュリティ運用』です」とモラレス氏は言う。

例えば、「セキュリティ啓蒙」では、ユーザーの成熟度をチェックするために、フィッシングに対するテストを実施した。大会開催の2年前の2014年に、開催国の200人のユーザーに対してニセのWebサイトでニセのキャンペーン情報を送信。すると約4分の1が騙されてしまった。


リオデジャネイロにおけるテストと教育の成果

リオデジャネイロにおけるテストと教育の成果

最初に実施したテストの結果を受け、セキュリティ啓蒙のトレーニングを大規模に実施した結果、フィッシング詐欺に騙される人を劇的に削減することができた。

[画像のクリックで拡大表示]

そこで、セキュリティ啓蒙のトレーニングを大規模に実施。結果、大会2カ月前に同じ要領で3000ユーザーを対象とするテストを行っても、0.3%だけが認証情報を盗まれただけで済んだという。「サイバー攻撃に最初に直面するのはユーザーです。この結果は、教育によるセキュリティ啓蒙の効果を示しています」とモラレス氏は語る(図2)。

ほかにも、対策を評価する「セキュリティアセスメント」では、ネットワークの乗っ取りなどのサイバー攻撃に対する「サイバー演習」を繰り返し実施。大会前には、様々なシナリオによる攻撃に対するインシデントの対応能力を、本番環境で24時間7日間にわたり実際に確認するといった実践級の対策も施した。


▲TOPへもどる

東京に向けてより早期の取り組みを提案

こうしたサイバーセキュリティプログラムは、十分に効果を発揮し、実際の大会でも大きなトラブルを防ぐことができた。

「多くの課題を乗り越え、かなり上手く運用できたと思います。ただし、課題がなかったわけではありません。もし、もう一度、同じ大会のサイバーセキュリティを担当するとしたら、もっと早く教育、意識向上のキャンペーン、重要インフラに対する防御のテストを実施したいですね。また、関係する多くの組織の間で、役割分担や責任範囲を明確にしきれなかった部分もありました。物理的インシデントとサイバーインシデントを統合したセキュリティのビジョンを持ち、より情報共有を図ることも重要だと感じます」とウショア氏は話す。

経験者が語るサイバーセキュリティプロジェクトの具体的な内容や反省点は、我々にとって重要なメッセージとなったはずだ。


▲TOPへもどる

【Part3】成功を支えた実績を持つシスコにかかる期待

「シンプル」「オープン」「自動化」で情報を守る

シスコシステムズ合同会社 セキュリティエバンジェリスト 西原 敏夫氏
シスコシステムズ合同会社 セキュリティエバンジェリスト 西原 敏夫氏

Part 3は、実際にリオデジャネイロでも活用され、大会を守り、安全な運営に貢献した、テクノロジーの紹介だ。

シスコがセキュリティ対策において重視しているのが「レジリエンス」である。「レジリエンスとは、回復力、復元力という意味。何かあった際に最短で回復・復元できるようにしておくことが重要なのです」とシスコの西原 敏夫氏は話す。

そして、このレジリエンスを実現するうえで、セキュリティに求められる3つの要件として「シンプル」「オープン」「自動化」の3つを掲げている。

様々な対策製品を導入した結果、企業内のセキュリティ運用は非常に複雑化している。攻撃の手口が巧妙化する中、複雑化した環境で攻撃に対応するのは非常に難しく、シスコの調査では、アラートが上がっても調査を行えたのは約56%にとどまっていたという。一言でいえば、手が回らないわけだ。

この問題を解決するには、セキュリティ運用をシンプルにし、担当者が対応できる「量」を増やす必要がある。そのためには、各製品間で脅威情報を共有するなど、ベンダーの枠を超えたオープンな連携によって、製品ごとに個別に運用しなければならない状況を打破しなければならない。さらに、感染端末はネットワークから自動で隔離するなど、インシデント対応の自動化を進める。そうすることで、担当者のさらなる負荷軽減と適切な初動対応を両立することができる。

シスコは、このような環境の実現を念頭に、製品・ソリューション開発を進めている。


▲TOPへもどる

リオでの実績を東京に生かす

シスコのセキュリティフレームワーク

シスコのセキュリティフレームワーク

サイバー攻撃から復旧、回復する力を高めるためには「人/組織」「プロセス」「テクノロジー」の3方面からの取り組みが必要となる。各領域の具体的な内容は図の通りだ

[画像のクリックで拡大表示]

実際にリオデジャネイロで利用されたソリューションの1つに「Cisco Umbrella」がある。

今日のセキュリティにおいて、重要なテーマとなるのがモバイルとクラウドへの対応である。「日本企業のデータトラフィックの25%は、社内に設置したファイアウオールなどのゲートウエイセキュリティを迂回しています。つまり、不正な通信を取り締まるための対策が、十分に効果を発揮できない状況となっているのです。原因となっているのが、モバイルからクラウドに直接アクセスするユーザーの増加です。2016年の段階で、クラウド導入率は前年比で153%増加。75%の企業がハイブリッドクラウド戦略を策定しています」と西原氏は指摘する。

Cisco Umbrellaは、この問題を解決する。ユーザーが社外で直接クラウドにアクセスするようなケースでも、不正な通信を遮断し、ランサムウェアなどの脅威から情報を保護することができるのである。

過去にさかのぼれること──。「レトロスペクティブ」というテクノロジーを用いたソリューションも活用された。

現在、被害を拡大させている標的型攻撃などは、未知の手法を用いてアタックしてくるケースが多い。こうした脅威は、従来のようなパターンマッチングでは完全に防御するのが難しい。そこで、前述した回復力、復元力が重要となるわけだが、そのためには、侵入後の脅威にもきちんと対処できる環境が必要となる。

侵入時点ではマルウエアと判定できなかったプログラムについても、ネットワーク内での挙動を継続的に監視しておき、のちにマルウエアとわかった時点で過去にさかのぼって追跡調査を行うこともでき、脅威侵入後の被害最小化に貢献する。

ほかにも、シスコは、ネットワークそのものがセンサーとなって、脅威情報を自動収集してふるまいを分析。脅威の種類や通信経路、対象となっている端末の特定などを行える「NetFlow」を中心とした仕組み、大規模DDoSを受けてもサーバーをダウンさせないための技術など、様々な対策を大会運営に提供した。

そして、これらのソリューションのインテリジェンスを支えているのが、脅威インテリジェンス&リサーチグループ「Cisco Talos」である。インターネット上を流れる35%以上の電子メールを日々分析し、1日当たり150万ものユニークマルウエアを収集するなどしてインテリジェンスを高度化。それを、各製品に反映させることで、常に最新の情報を基にした高精度な脅威のブロックを可能にしているのである。


▲TOPへもどる

適切なソリューション活用でインシデント発生を防ぐ

Cisco Systems, Inc. Security and Trust Organization Senior Security Advisor ダグ・デグスター氏
Cisco Systems, Inc. Security and Trust Organization Senior Security Advisor ダグ・デグスター氏

リオデジャネイロにおいて、セキュリティ・オペレーション・センターのリーダー兼アドバイザーとして、これらシスコのソリューションの有効活用をリードしたシスコのダグ・デグスター氏は、その成果を「120億ものセキュリティイベントのモニタリング、分析、予兆検知を実施。結果、インシデントの発生を防ぐことができた」と強調する。

その上で、デグスター氏もPart 2で登壇したウショア氏に続いて、リオデジャネイロでの経験を踏まえ、今後、重視すべき取り組みについて提言を行った。「まず人材の育成です。セキュリティに関する認識を高めること、また現在の人材のスキルを開発すること。専門家をどのように育成すればよいのか、政府と民間で協力して考えなくてはいけません」(デグスター氏)。

他にも、何が起こっているのかを正確に把握できる仕組みの構築、攻撃を100%回避することは不可能でも影響を低減するための準備、そして、政府機関や金融ISACなどの業界連携の重要性などについて述べた。

実績のあるソリューションを持つ企業として、シスコにかかる期待は大きい。東京においても、安全・安心の実現、大会の成功に大いに貢献してくれるはずだ。


▲TOPへもどる

お問い合わせ

シスコシステムズ合同会社
東京都港区赤坂9-7-1 ミッドタウン・タワー
URL:http://www.cisco.com/jp/go/security