サイバー攻撃の被害に関するニュースが後を絶たない。2017年に入ってからは「Apache Struts 2」の脆弱性を衝いた攻撃を受けて、複数の企業が数億円レベルの特別損失を計上している。「ソフトウエアのアップデートが遅れただけで、業績に大きなマイナスの影響が生じることもあります。いまや、セキュリティ対策は経営課題そのもの」と、セキュリティソリューションを提供するラックの川口洋氏は強調する。
今、多くの企業がAIやIoT、ビッグデータを活用した成長戦略に取り組もうとしている。データの重要性が高まるほど、企業が守るべきエリアは広がり、同時にセキュリティリスクも高まる。そんな時代、経営者が認識すべき3原則を、川口氏はこう説明する。
「第1に、経営者のリーダーシップが欠かせません。第2に、情報システムの連携を意識する必要があります。第3に、関係者とのコミュニケーションが重要。もし情報漏えいなどの事故があれば、顧客や行政、メディアに対してきちんと説明しなければなりません。その矢面に立つのが経営者です」
具体的な対策となると、「どこから手をつければいいのか」と悩んでいる企業もあるかもしれない。最初の取り組みとして川口氏が推奨するのは、情報資産の棚卸だ。
「PCが何台あるのか、どんなソフトウエアを使っているのか。きちんと把握していない企業も多い。棚卸すれば、使っていない資産も見つかるはず。例えば、リースのPCが5台余っていたら、それを返すことで、まずはコストが削減できる。同時に守る範囲を狭められるので、一石二鳥です」
限られたリソースで最大限の効果を得るため、優先順位を示すことも重要。「仮に侵入を許したとしても、重大なインシデントにならないような対策が求められます」と川口氏。100点満点のセキュリティ対策を追求するのは、現実的とはいえない。メリハリのあるセキュリティ対策を実行する上でも、経営者の積極的関与が重要だろう。
標的型攻撃とも呼ばれるAPT(Advanced Persistent Threat)攻撃は、企業の技術情報や営業機密などをターゲットとしている。巧妙かつ執拗な攻撃が行われ、発覚しそうになると証拠を隠滅して潜伏することも多い。近年、この種のサイバー攻撃が非常に増えている。
「ビジネスを成り立たせる上で極めて重要な情報が狙われています。もしも窃取されれば企業の存続にも関わる情報だけに、トップダウンの対処が求められます」と語るのは、JPCERT/CCの久保啓司氏である。
APT攻撃対応における大きな課題は、初期対応が遅れがちになることだ。久保氏はこう説明する。
「攻撃者による証拠隠滅などもあり、認知が難しい。認知したとしても、全体像を把握しにくいのがAPT攻撃です。全体像を把握しようとすると、フォレンジックなどの対応が求められます。相当のリソース投入が必要なだけに、トップの意思決定は欠かせません」
初期段階で、全体像の把握を指示できる経営者は少ないかもしれない。ただ、対応が遅れれば、取り返しのつかない事態に発展する可能性もある。APT攻撃対策に当たる現場には、経営者に対する十分な説明が求められる。
APT攻撃に向き合う中で、JPCERT/CCは、対処プロセスをベストプラクティスとして整理してきた。その流れは「認知→被害範囲の特定→一次対応(止血処置)→監視体制構築→封じ込め→平常監視」というものだ。
「監視体制の構築までは、これまでのセキュリティ対策でも一般的なものだと思います。これからは、さらに追加のプロセスが必要。監視体制を構築して、事実確認が可能な状態をつくることが重要です。そのためには対応戦略が欠かせませんが、SIEM(Security Information and Event Management)などの技術も有効です」(久保氏)
SIEM製品による各種ログの可読化・可視化、EDR(Endpoint Detection and Response)製品による通信プロセスの特定といった取り組みにより、フォレンジック調査の必要のない監視体制が可能になる。APT攻撃に対抗しうる体制づくり、その判断は経営者に委ねられている。