情報セキュリティマネジメント Summit 2020 Winter
- Review -
ニューノーマル下のサイバー脅威に
どう打ち勝つか
長引く新型コロナ禍は、ビジネス現場に依然として大きなインパクトを与え続けている。恒久的な施策としてのテレワーク環境整備や勤務体系の見直しなど、企業が成すべき取り組みは多いが、中でも重要な取り組みの1つがセキュリティ対策だ。「NGAV」「ゼロトラスト」「SASE」といった新たなキーワードを正しく理解し、効果的に対策するには、これまで以上に積極的な情報収集が欠かせない。
混乱に乗じて、組織内の重要データを狙うサイバー攻撃も増加している。今、企業のセキュリティ担当者に求められるのは、既存の手法にとらわれず、リスクを先回りして軽減できるセキュリティ環境を整備することである。そこで日経BPは、セキュリティ対策の最新動向をまとめて紹介するオンラインセミナーを開催した。ここでは各社の講演の模様を概括する。
基調講演
東京オリンピック・パラリンピック競技大会組織委員会
世界的スポーツイベントをめぐる
サイバー脅威の状況と対応
東京オリンピック・パラリンピック競技大会組織委員会
チーフ・インフォメーション・セキュリティ・オフィサー(CISO)
坂 明氏
アスリートと共に一歩ずつ歩みを進める
2020年に東京で開催予定だった世界最大のスポーツの祭典は、新型コロナウイルスの感染拡大により延期されることになった。同年12月4日には菅 義偉総理が国連新型コロナ特別総会で、人類がウイルスに打ち勝った証しとして大会を開催する決意を改めて示し、安全・安心な大会を実現するため全力で取り組むことを表明した。感染拡大の猛威は今なお続いているが、大会組織委員会は政府とともに総合的な感染防止対策を取りまとめ、大会のための準備を進めている。
「アスリートは大会に向けて、努力を重ねている。我々も一歩ずつ着実に対策を進めていきたい」。そう話すのは大会組織委員会でチーフ・インフォメーション・セキュリティ・オフィサー(CISO)を務める坂 明氏だ。
成功に向け、サイバーセキュリティ対策は非常に重要なポイントになる。近年はサイバー攻撃がいよいよ深刻さを増している。これまでの大会も、様々なサイバー脅威にさらされてきた。経済的利益を狙ったサイバー犯罪、大会レピュテーションに対するサイバー攻撃、そして大会運営自体に影響を与えるサイバー攻撃などだ。「レピュテーション・リスク」は大会そのものの評判(レピュテーション)や社会的信用性を失墜させる攻撃だが、例えば、公式WebサイトへのDDoS攻撃やサイト改ざんといったものがある。偽チケットや関連グッズの販売、偽サイトによる情報窃取など、経済的利益を狙った攻撃にも備えが必要だ。
中でも重要なのは、大会運営自体に影響を与えるサイバー攻撃への対応だ。2018年の平昌大会では、開会式直前にシステムを破壊する攻撃を受けている。また、最近のランサムウエアは、業務そのものを大規模に止めてしまうこともある悪質なものとなっている。
こうした状況のもと、組織委はシステム面・体制面の対応を進めてきた。坂氏が担うCISOを設置したのも、その一環だ。
成功に向け「オールジャパン」で守り抜く
大会におけるサイバーセキュリティ対策では、たとえ攻撃を受けても、大会運営自体への影響を防ぐという、レジリエンス・復元力が前提となる。また、システムの構築と併せ、その運用も大切だ。
このような方針のもと、様々なパートナーと連携して組織のシステム整備を進めている。また、競技会場などの重要サービス事業者については内閣サイバーセキュリティセンター(NISC)がリスクアセスメントを行い、必要な対処につなげる取り組みを行っている。NISCは、また、脅威・事案情報の共有や対処の調整を担うサイバーセキュリティ対処調整センターを設置し、事業者、関係府省庁、大会組織委員会、自治体を含めた関係組織との連携を推進している。
セキュリティ強靭化に欠かせない人材の育成については、国立研究開発法人情報通信研究機構が関連組織のセキュリティ担当者を対象とした実践的サイバー演習である「サイバーコロッセオ」を実施し、高度な攻撃に対処できる訓練を行っている。2018年度にはセキュリティ関係の知識や技能を講義形式で学ぶ「コロッセオカレッジ」も開設し、受講者の拡大を図っている。
多くの企業、関係者に支えられている大会は、逆にいえば、多くの企業へのサイバー攻撃も想定される。企業の側も、大会組織委員会や政府の取り組みと足並みをそろえ、さらなる対策強化を図ることが欠かせないだろう。「大会の成功のためには、それぞれの企業、関係者が、まず自らを守る、ということが重要になります。その意味で、大会を守ることはオールジャパンの、さらには国際的にも連携した取り組みになります。我々組織委も、全力を尽くしていきたいと思います」と坂氏は語った。
「顧客に信頼される」企業を目指す
ニッセイのサイバーセキュリティ対策
日本生命保険相互会社
IT統括部 専門課長(IT調査課長)
安藤 雅彦氏
グループ企業や外部ベンダーとの連携で対応組織を編成
「サイバー攻撃による被害は、企業の経営リスクに直結します。当社は、その認識のもと、サイバーセキュリティの強化を継続的に図ってきました」と日本生命保険の安藤 雅彦氏は語る。
同社にとってセキュリティ対策の大きな節目となったのは2015年だ。公的機関で発生した大規模な個人情報漏えい事件をきっかけに、対策強化に着手。同様のインシデントを絶対に起こさないという強い意志のもと、大々的なサイバーセキュリティへの取り組みを開始した。
具体的には、サイバーセキュリティの専管組織をIT統括部内に設置し、対策の「企画・執行」「運用」「インシデントレスポンス」の各領域の業務を遂行。このうちインシデントレスポンスでは、グループのシステム子会社であるニッセイ情報テクノロジーや外部セキュリティベンダーとの連携によってCSIRTおよびSOCを編成し、対応の中核部隊としている。
「SOCでは、当社ネットワークにおけるIPSやWAFのアラート確認、脅威インテリジェンスの収集などを行っています。さらにSIEMも採用することで、多種多様な機器のログの相関分析を実施。リスクを網羅的に洗い出すほか、万一のインシデント発生時に迅速な原因究明を可能にするフォレンジックサービスも採用しています」と安藤氏は紹介する。
ここでのポイントは、脅威情報の収集、SIEM、フォレンジックといったサービスを、いずれも同一ベンダーのもので統一することにあるという。これにより、ベンダー社内での情報共有と横の連携を実現。シームレスなインシデント対応を可能にしている。
対策ガイドラインに加え、最新のリスク情報も参照
また同社は、対策強化に向けた計画を、大きく「リスト」と「リスク」の2つの観点で作成している。「金融業界では、システムリスクへの対応計画を、監督庁のガイドラインなどに基づくリストベースで作成することが一般的です。しかし、現在は日々新たな攻撃手法が登場するため、それだけでは不十分だと当社は考えています。そこで、リストに加え、最新のリスクも加味して計画を立てているのです」と安藤氏は説明する。
具体的には、実際に発生しているサイバー攻撃の手法を分析し、それに対する対策の現状と存在するリスクを可視化。その上で、不足する対策を検討するのだ。例えば、標的型攻撃メールを受けた場合、「メールを検知・遮断できるか」「開封された場合の影響範囲は」などを個別に確認する。これにより、弱点を把握でき、的確かつ包括的な対策計画が立案できるようになるという。
「さらに年に1度、ペネトレーションテストも行い、対策が問題なく機能するかどうかや、SOCの対応フローなどをチェックしています。いわゆるOODAループ(※)のように、計画を見直すことで、仕組みを高度化しているのです」(安藤氏)。2019年からは、実在する攻撃シナリオを基にしたペネトレーションテスト(TLPT:Threat Led Penetration Test)も実施。より一層の対応力向上につなげているという。
加えて、すべての対策の肝になるユーザー教育にも力を入れている。セキュリティ専門の研修を行うのではなく、もともと存在する職層別の教育コンテンツに、必要なポイントを盛り込んでいる。「管理者/ユーザー双方の負担軽減と、リスク低減を両立する方法として、これがベストと考えています」と安藤氏は言う。
明確な指針のもと、多様な施策を展開する日本生命保険。「顧客に信頼される」企業となるための取り組みは、これからも続いていく。
※ Observe(観察)、Orient(状況判断)、Decide(意思決定)、Act(行動)の4つの行動の頭文字
「1人CSIRT」から
全社組織への新たなチャレンジ
経営への説明責任をキーポイントに、
セキュリティガバナンスのあるべき姿を模索
株式会社リクルート
セキュリティ統括室 室長
鴨志田 昭輝氏
外部環境やビジネスの変化に対応できる
セキュリティガバナンスのあるべき姿とは
リクルートおよびそのグループ企業が展開する数百のサービスを日々サイバー攻撃から守るため、セキュリティの方針を決定し、それを評価し改善につなげていくミッションを担っているのが、鴨志田 昭輝氏率いるセキュリティ統括室だ。鴨志田氏は2014年、グループ内におけるIT領域を担うリクルートテクノロジーズに入社後、1人でCSIRT (Computer Security Incident Response Team)を立ち上げ、グループCSIRTへ組織化していった実績を持つ。
その後、2019年10月からは親会社のリクルートでグループ全体のセキュリティガバナンスを担当することになったという。
「CSIRTを担当していたときは、施策やルールを現場に押し付けるのではなく、強固な信頼関係を築くことで、現場から感謝され、経営から信頼される『セキュリティ担当が幸せになれる組織』を目指していました。リクルートの辞令を受けた際に考えたのは、セキュリティガバナンスではいったい何を目指すべきか、ということでした」と鴨志田氏は振り返る。
ここ数年でリクルートを取り巻く環境は大きく変化した。専門性と現場の意思決定を迅速化するため分社化を進めてきた同社だが、各事業で培ってきた人材やノウハウを集約してさらなる提供価値の向上を目指すため、2021年4月から主要な中核事業会社・機能会社をリクルートに統合。これにより個人情報保護やサイバーセキュリティも含めたリスクマネジメントと、組織の垣根を越えたガバナンスの強化に取り組む流れが明確になった。
また、コロナ禍での在宅勤務の急増や、ニューノーマルに対応したデジタルソリューションの創出など、セキュリティ部門は新たな対応にも追われる状況となったという。
「こうした内的・外的変化の結果、経営層からはさらなるガバナンスの強化、現場ではビジネスの急激な変化で個別事情を考慮したセキュリティ施策が求められる状況となりました。双方のギャップがこのまま拡大していくとセキュリティ部門が板挟みになり、疲弊しかねません。異動で立場が変わったことを契機として、『経営への説明責任』をキーポイントに、セキュリティガバナンスのあるべき姿を考えていくことにしました」(鴨志田氏)
「経営への説明責任」をキーポイントに
セキュリティガバナンスを見直し
一般論として、経営層は責任を取る立場にあることから、何らかのリスクを認識するとセキュリティ部門に対して「これもやってほしい、あれも問題だ」といった要求をする傾向にある。さらに、様々な部門の経営層が、それぞれの視点から多種多様な要求をするために、その対応に苦戦しているセキュリティ部門も少なくないだろう。
「とはいえセキュリティ部門のリソースは有限で、全方位的に対応していると本来力を入れるべき重点リスクへの取り組みがおろそかになってしまう懸念があります。そこで経営層に課題の優先順位をきちんと説明し、優先順位をつけて対応できるよう、様々なセキュリティ課題をストックし、半期ごとに棚卸しをして、経営層も含めて取り組むテーマを選定するようにしたのです」と鴨志田氏は話す。
数百のサービスを展開する事業との関係性についても、あるべき姿を模索中だ。金融機関の内部統制フレームワークに見習った1.5線のセキュリティ推進組織(セキュリティ部門と事業部門の両方に組織ごと兼務)を設けて事業との密な連携を実現したり、紙のビジネスモデルが中心だった時代から改定を重ねたセキュリティポリシーの構造変更を行ったりするなど、時代に即したセキュリティのあり方を着実に進化させている。
一般的には、様々な課題が起こるたびに対策や施策が増えていく。足し算のみが続けばキャパシティオーバーになるのは、どの組織にもありがちなことだ。
「そこで我々は、増え続ける施策を最適化する取り組みにも今後チャレンジしていきたいと考えています。具体的には、今ある施策を組み合わせて最適解を得たり、場合によっては一部の施策の重要度を下げるなど『引き算』でバランスをとること。また自社のセキュリティ対策と外部基準とのフィット&ギャップを行うことで、かけ離れた施策体系を防止し、全体でバランスのとれたセキュリティ施策体系を目指していきたいと考えています」と鴨志田氏は説明する。
鴨志田氏は「働き方改革の推進に向けたゼロトラストへの対応、新ビジネスに対応したセキュリティ対策など、これから強化を検討していきたいことはたくさんあります。これからも我々はチャレンジを続けていきます」と最後に語った。