情報セキュリティマネジメント Summit 2020 Winter
〜ニューノーマル下のサイバー脅威にどう打ち勝つか〜- Review -
サイバーセキュリティクラウド

今、企業がなすべきセキュリティ対策
防御は攻撃者・手法を知ることから始まる

サイバー攻撃が複雑化・巧妙化の一途をたどっている。国内外で多くの情報漏えい事件が発生する中、企業がセキュリティインシデントを未然に抑止し、被害を最小化するためには何を指針にして、どんな対策を行うべきなのか。サイバーセキュリティクラウドの講演では、実際の事例を基にそのポイントを解説した。

被害を抑止・最小化するため何をなすべきか

株式会社サイバーセキュリティクラウド 取締役CTO 渡辺 洋司氏
株式会社サイバーセキュリティクラウド
代表取締役社長 兼 CTO
渡辺 洋司
 「世界中の人々が安心安全に使えるサイバー空間を創造する」という理念を掲げ、Webアプリケーションセキュリティサービスを世界70カ国以上に提供するサイバーセキュリティクラウド。同社の渡辺 洋司氏は、国内外で急増するサイバー攻撃の現状を次のように説明する。

 「不正アクセスやサイバー攻撃の増加が止まりません。警視庁の令和2年上半期の調査によれば、狙われるのは社員・会員用の専用サイトが約半数を占め、次にオンライン・ゲームコミュニティサイト、電子メールと続き、インターネットショッピングやインターネットバンキングなどでも不正アクセスが発生しています。当社がまとめたサイバー攻撃の発生から発覚・公表までの期間に関する調査では、攻撃発覚までが平均1年以上、攻撃発覚から公表に要した平均日数も約69日と、非常に時間を要することが判明しています」

 このように発覚から公表まで時間がかかったケースでは、被害に遭った企業や組織が個人情報流出による責任を負うだけでなく、大きな信頼損失につながる場合が少なくない。企業には一層の注意と対策が必要だ。

 それでは、企業はどのようにサイバーセキュリティ対策に取り組めばいいのか。「重要なのは大きく2つ、それは『セキュリティインシデントを未然に抑止すること』と『セキュリティインシデント発生時の被害を最小化すること』。つまり、インシデントの発生にすぐに気付ける体制を整備し、何をすべきかが分かるようにすることが肝心です」と渡辺氏は説く。

 その具体的な対策を立てるには、まず「攻撃者」とその「手法」を理解することが重要だ。「攻撃者」にも様々な種類がある。例えば “Vulnerability Researchers”は、仕事や趣味で脆弱性を発見する人を指し、バグの発見による報償金で名声を得ることもある。“Activists”はWebサイトを改ざんして政治的なメッセージを発信したり、DoS/DDoS攻撃によるサイトダウンを行ったりするテロリストたち。“Insiders”と呼ばれる、従業員や業務委託先からの内部犯行も少なくない。

 一方、「攻撃手法」を理解する上では、まず最新の脆弱性レポートや過去の攻撃レポート、マルウエアレポートといった「脅威情報(Threat Intelligence)の活用」が役に立つ。「これらのレポートの内容を自社に当てはめて考えれば、防御方法がおのずと見えてくる」と渡辺氏は言う。

 サイバー攻撃の仕組みや手順を分析・構造化した「Cyber Kill Chain」という考え方も有効だ。攻撃の手順をプロセスごとに階層化してあるため、いずれかの階層で脅威を断ち切るという多層防御の考え方を理解、設計するのに役立つ。また「Tactics, Techniques, and Procedures(TTP)」とは、サイバー攻撃における戦術、技術と手順のことで、「攻撃者の行動を系統的に分類して理解することに役立つはずです」と渡辺氏は話す。

自社が攻撃対象になることを
常に意識すること

 もう1つ、忘れてはならないのが企業リスクの理解である。

 「最も大切なのは、自社が攻撃の対象になることを常に意識することです。ウチには機密情報なんてないから、サプライチェーンの中でも下請けにすぎない小さい企業だからと、何らセキュリティ対策を行っていない経営者が少なくありません。しかし近年は大企業がセキュリティ対策を強化していて正面突破が難しくなっています。そのためサプライチェーンの末端に近い、対策が脆弱な関連企業こそがターゲットにされやすいのです」と渡辺氏は警鐘を鳴らす。

 攻撃者は常に最新の方法で攻撃するわけではない。可能な限り、低コストで済ませたいと考えるため、基本的な対策さえ取っていれば攻撃リスクを下げることができる。とはいえ、あらゆる手段を講じて攻撃する場合もあるため、過小評価しないことも肝心だ。

 「攻撃者の特定は難しいことも覚えておく必要があります。攻撃コードも亜種がすぐに生まれるため、誰がつくって攻撃したかの分析に時間を割くより、次の行動を把握して被害を最小化することが重要です」と渡辺氏は指摘する。

 企業がサイバー攻撃の発生から発覚までを短期化し、その後の対策を迅速に行うために必要となるのが、セキュリティ対応組織の構築だ。情報システムへの脅威の監視や分析などを行う「SOC(Security Operation Center)」、発生したセキュリティインシデントに対応して復旧を行う「CSIRT(Computer Security Incident Response Team)」などがその代表例となる。

 ただし、やみくもに組織づくりを進めても成功はしない。経営者、セキュリティ責任者、そして現場が考えるセキュリティ対応は立場によってそれぞれ異なる。まずは日本セキュリティオペレーション事業者協議会(ISOG-J)が提供している「セキュリティ対応組織(SOC/CSIRT)の教科書(ハンドブック)」を参考に、組織をどう作っていくか、どのように日々運用していくかをイメージすることから始めたい。

 CSIRTなどを立ち上げた後は、その組織体制や対応手順は適切なのか、実際の活動と当初定義した活動との間にズレが生じてしまっていないかを定期的に点検する必要がある。そのためのツールとして有名なのが「SIM3」と呼ばれるセキュリティインシデントマネジメントの成熟度モデルや、IPA(情報処理推進機構)が提供している「組織の情報セキュリティ対策自己診断テスト」「情報セキュリティ対策ベンチマーク」などである。

 「CSIRTなどの運用が始まった後、企業担当者の方からよくお聞きするのが、他社ではどのような課題を抱えているのか、今後どのような問題が起こりうるのかといったお悩みです。そのような場合に私はIPAが発行している『サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集』をお薦めしています。ここには有識者や企業へのインタビューを通して、具体的な悩みやそれに対するプラクティスがまとめられており、非常に参考になります」(渡辺氏)

不正アクセスから企業を守る
「攻撃遮断くん」

 こうしたサイバー攻撃や不正アクセスから企業を守るため、サイバーセキュリティクラウドも様々なソリューションを提供している。その1つが、クラウド型WAF(Web Application Firewall)「攻撃遮断くん」である。

 WAFとは、SQLインジェクションやクロスサイトスクリプティング(XSS)などのサイバー攻撃を防ぐWebアプリケーションファイアウオールで、FWやIDS/IPSでは防ぐことができないWebアプリケーション層への攻撃に対応。情報漏えいやWebサイト改ざんなどのリスクを大幅に低減することができる。しかもクラウド型なのでハードウエアの購入やネットワークの構築をする必要がなく、導入コストや手間を削減できるという特長を持つ(図1)。  「攻撃遮断くんは、防御対象のDNSを切り替えて攻撃検知・遮断を行う『Web/DDoSセキュリティタイプ』と、防御対象のサーバーにインストールする『サーバセキュリティタイプ』の2タイプを用意しており、あらゆるWebサービスへのセキュリティ対策を可能にしています」と渡辺氏は語る。

 顧客専用の管理画面を提供するほか、セキュリティエンジニアによる月次レポートや、日本人スタッフによる24時間365日のサポート、国内トップクラスの脆弱性対応スピードなど、様々なアドバンテージを持っている。

 激増するサイバー攻撃は、企業経営リスクに直結する深刻な問題だ。しかし企業全体できちんとした防御策さえ講じていれば、被害とリスクを最小化することができる。これまでの説明を参考に、さらなるセキュリティ対策の強化を図ってみてはいかがだろうか。
講演資料ダウンロードはこちら
講演資料ダウンロードは
こちら
情報セキュリティマネジメントSummit 2020 Winter - Review -
TOPへ
講演資料ダウンロードはこちら
講演資料ダウンロードはこちら
お問い合わせ
株式会社サイバーセキュリティクラウド TEL:03-6416-1579
URL:https://www.cscloud.co.jp/
E-mail:mkt@cscloud.co.jp