CIO&CSIRT Interview 数十億もの攻撃からビジネスを守る シスコのセキュリティ投資と人材育成

事前に投資をしておいた方が結果的にコストを抑えられる

先頃、史上最大のランサムウェア攻撃と言われる「WannaCry」が世界中を混乱に陥れました。なぜ、これほど大規模な被害につながったのでしょうか。また、シスコはWannaCryにどのように対応しましたか。

ギレルモ ディアス Jr.氏 シスコシステムズ 情報システム シニアバイスプレジデント 兼 最高情報責任者
ギレルモ ディアス Jr.氏 シスコシステムズ 情報システム シニアバイスプレジデント 兼 最高情報責任者

ディアス氏WannaCryは、システムの脆弱性を悪用した攻撃ですが、拡散するスピードが非常に速かった。そのことが、被害が一気に広がった原因の1つです。中には、医療機関が被害に遭ったという報道もあり、非常に心を痛めました。

ボリンジャー氏幸いシスコは被害を受けずにすみました。実はWannaCryに限らず、シスコは世界中から四半期だけで約24億件以上という膨大な数の脅威の攻撃を受けています。このような状況を受け、日々、様々なリスクを想定して、各種インシデントへの対応を予め検討。さらに実際にインシデント発生時の演習を行うなどの準備を行っています。今回も、すぐにWannaCryに対応したパターンファイルを独自に作成して適用するなどして、被害を抑止することができました。


直接、収益に結びつく投資ではないことから、ともすれば、セキュリティは後回しにされがちです。シスコでは、セキュリティ投資を経営の中で、どのように位置付けていますか。

ディアス氏セキュリティは、会社を健全に保つため、また、IoT活用が進む中、テクノロジーを積極的に活用してビジネスを変革していくために不可欠な取り組みだと考えています。一度、セキュリティ事故を起こしてしまうと、情報漏洩などによる経済的損失に加え、ブランドイメージの毀損、業務生産性の低下など、大きな被害をもたらします。同じ金額を収益でカバーするのは、並大抵のことではありません。私たちの試算では、事前に準備せずに損害を被ってしまうより、最初から対策にお金をかけておいた方が、結果的にコストを抑えることができます。


▲TOPへもどる

CSIRTの役割の中心は「5%」の攻撃との闘い

セキュリティ対策は、誰が中心となっているのでしょうか。

ディアス氏まず投資判断はCIOを務める私のほか、CISO(最高情報セキュリティ責任者)らが中心となって四半期ごとにレビューを行って決めていきます。各ITサービスの統括責任者の報告をKPIと照らし合わせてチェック。その上で、どこに重点的に投資するかを検討し、最終的には経営トップと相談して決定しています。

ボライティス氏実際のセキュリティ対応は、我々CSIRTが中心となります。インシデントは検知までに数週間、封じ込めに数カ月かかるというケースも少なくありませんが、我々は、24時間以内に検知し、36時間以内に封じ込めることをSLAに掲げ、それを実現するための対策を講じています。

図 攻撃の質と割合

図 攻撃の質と割合

脅威検知、防御を自動化する基本的なセキュリティインフラの投資に加え、人的な対応も必要となる、より高度な脅威への対策にリソースを割いている。 

[画像のクリックで拡大表示]

ボリンジャー氏さらに対策は大きく2つに分けられます。1つは比較的シンプルな攻撃への対策です。アンチマルウェアや次世代ファイアウォール、ネットワーク分離など、適切なセキュリティアーキテクチャを整備しておくことで多くの人手をかけずとも、攻撃の約95%を防ぐことができます。もう1つは、より複雑で高度な手口を使った攻撃への対策です。攻撃全体の5%にすぎませんが、データを収集して分析したり、侵入してしまった脅威を迅速に封じ込めたりするために多くのリソースが必要です。長年、セキュリティへの投資を続けた結果、シンプルな攻撃に対応できるインフラは整いつつあります。ですから、現在は、より複雑な5%を防ぐための対策に、多くのリソースを割いています(図)。


▲TOPへもどる

社員全員に向けた教育プログラムでセキュリティに対する理解を養う

セキュリティ対策の課題として人材不足を挙げる企業が少なくありません。シスコは、早くからCSIRTの構築に着手し、運用を軌道に乗せた実績があります。どのように、人材や組織を育成していくべきだと考えますか。

ジェフ ボリンジャー氏 シスコシステムズ Cisco Soc Manager
ジェフ ボリンジャー氏 シスコシステムズ Cisco Soc Manager
マシュー ボライティス氏 シスコシステムズ CSIRT Investigations Manager
マシュー ボライティス氏 シスコシステムズ CSIRT Investigations Manager

ボライティス氏シスコには、何十億ものWebアクセスやEメール、何百万ものマルウェアサンプルを解析して、シスコ自身およびシスコのお客様のセキュリティに貢献する専門組織「Cisco Talos(タロス)」というチームがあります。このTalosやCSIRT向けの人材は、採用の段階でセキュリティの素養を重視します。基本的な知識・スキルに加えて、予期せぬことに冷静に対処できるかなどです。

ディアス氏一方、他部署から異動してもらうこともあります。ビジネスの現場を知っている人材だからこそ、貢献できる場面もあると考えているからです。このように、人材を流動的に配置できる文化を浸透させておくことも重要になるでしょう。そこで、シスコは、セキュリティに対する深い理解を根付かせることを目的に「セキュリティ ニンジャ プログラム」というプログラムを用意しています。全社員が対象のセキュリティIQ養成プログラムで、文字通り日本の「忍者」から命名しました。忍者は「脅威を殲滅させるスキルを持った高度な人材」と聞いたからです。

シスコはセキュリティ製品を提供するベンダーでもあります。ご紹介いただいた自身の経験やノウハウは、製品やソリューションに反映されているのですか。

ディアス氏もちろんです。セキュリティに関する情報は、製品開発を担うエンジニアとも共有しています。また、製品だけでなく、シスコの経験に期待を寄せるお客様も多く、そうしたお客様には、CSIRT構築の支援などのサービスも提供しています。

さらに、ビジネスだけではなく、社会貢献という観点から、次世代のセキュリティ人材の育成のために、主に学生を対象とした「サイバーセキュリティ スカラシップ プログラム」を提供したり、各国の政府機関とパートナーシップを締結したりしています。

今後の展望をお聞かせください。

ディアス氏今後も効率的かつ効果的なセキュリティ対策の実現を目指します。セキュリティに有効な機械学習やAIといった技術の活用も進めます。それらの取り組みを通じて、シスコはもちろん、多くの企業の強い組織への変革に貢献したいですね。


お問い合わせ

シスコシステムズ合同会社
東京都港区赤坂9-7-1 ミッドタウン・タワー
URL:http://www.cisco.com/jp/go/security

▲TOPへもどる