セキュリティマネジメント Summit
Summer 2021 -Review-

サイバー攻撃への対応は、もはやビジネスの最優先事項と言っても過言ではない。デジタル技術の活用シーンが広がる中、企業・組織が把握すべきリスクポイントも多様化。管理の手薄なところが狙われ、多額の損害や信用失墜を招いたセキュリティインシデントも発生している。この状況では、いかにして被害を極小化し、事業継続を図るかという「サイバーBCP」の考え方が不可欠だ。セキュリティリスクを適切にマネジメントすることが、経営者の重要課題になっているといえるだろう。
本オンラインセミナーでは、高度なセキュリティマネジメントを実現している企業の事例や、ITベンダーによる提言を多数紹介。ここでは当日の模様をレポートする。
基調講演
資生堂
リスクを可視化し、管理する
平時から備える資生堂の戦略
READ MORE
特別講演
竹中工務店
攻めのサイバーセキュリティで
竹中グループのデジタル変革を推進
READ MORE
特別講演
ビットバンク
FinTech企業の担当者が明かす
セキュリティの勘所
READ MORE
インターネットイニシアティブ
自社SOCの機能を顧客向けに提供
ニューノーマル時代の働き方を守る
READ MORE
日本プルーフポイント
狙われているのは「人」の脆弱性
つながる世界を守るサイバー攻撃対策
READ MORE
東芝
サプライチェーン全体を守り抜く
切り札は「サイバーレジリエンス」
READ MORE
ラピッドセブン・ジャパン
セキュリティ現場の運用負荷を軽減しつつ
インシデント対応力を強化するアプローチとは
READ MORE
サイバーリーズン・ジャパン
緊急時に焦らず対応するための
サイバーセキュリティ運用とは
READ MORE
TwoFive
「なりすましメール対策」の決定版
メールの可視化から始めるDMARC活用
READ MORE
クラウドストライク
エンドポイントからクラウドに至るまで
脅威を丸ごと極小化できる次世代セキュリティとは
READ MORE
トレンドマイクロ
攻撃者に自由を与えないゼロトラスト
許可した後も動的に信頼性を確かめる
READ MORE
マイクロフォーカスエンタープライズ
進むAI・機械学習の活用
検知が難しい未知の脅威と内部不正に対応
READ MORE
ヴイエムウェア
ビルドイン型だから実現可能
効率的かつ高度な独自のセキュリティ対策
READ MORE
チェック・ポイント・ソフトウェア・テクノロジーズ
あらゆる対策を統合管理
コスト削減と防御力強化を両立
READ MORE
日本HP
ゼロトラストセキュリティに向けた新提案
隔離技術を活用した
エンドポイント防御とは
READ MORE

基調講演

資生堂
株式会社 資生堂 情報セキュリティ部 斉藤 宗一郎氏
リスクを可視化し、管理する
平時から備える資生堂の戦略
株式会社 資生堂
情報セキュリティ部
斉藤 宗一郎氏

「3 Linesモデル」を軸に社内組織を再構築

 2022年に創業150周年を迎える資生堂。「世界で勝てる日本発のグローバルビューティーカンパニー」を目指し、事業の再構築とデジタルを中心とした事業モデルへの転換を進めている。グローバル規模でオムニチャネル体験とデジタルマーケティングを加速。肌データの分析をベースに顧客体験と顧客管理の強化を図り、2023年までにグローバルのEC比率を35%まで引き上げることを目指しているという。

 その一環で力を入れているのが、情報セキュリティ対策である。「サイバー攻撃のインシデントが経営・ブランドへ与える影響は看過できません。ITや通信のインフラを守るだけでなく、プライバシーや知財などのデータを守る視点もより重要になっています」と資生堂の斉藤 宗一郎氏は述べる。

 情報セキュリティを強化するため、資生堂が取り組んでいるのが「3 Linesモデル」の導入だ。セキュリティ対策を3つのディフェンスラインに分け、それぞれが役割と責任を全うすることで、多層的な防御を実現する。

 第1のディフェンスラインは顧客と接するビジネス部門が担う。リスクオーナーとして事業におけるリスクを特定・評価し、これをコントロールするのだ。第2のディフェンスラインはリスク管理部門やコンプライアンス部門。ここが、ビジネス部門のリスクとその対応を監視・管理する。そして第3のディフェンスラインを担当するのは内部監査部門だ。全体のプロセスが有効に機能しているかを客観的な視点で評価する。

 この体制を機能させるには、各部門が“共通言語”で密にコミュニケートすることが欠かせない。これにより、関係者全員のリテラシーが高まり、セキュリティやプライバシーに対する意識変革が進む。「結果、企業活動の持続可能性を高め、お客様や投資家の信頼を勝ち取ることにつながると考えています」と斉藤氏は語る。

適切な対策によりゼロデイ攻撃も速やかに収束させた

 さらに、情報セキュリティ対策を推進する上では、必要なリソースをどう確保するかも重要なテーマとなる。必要なのは、リスクを定量化することで、対策に必要なリソースや投資額を明らかにすることだ。「守るべき資産がどれだけの価値を持ち、それが流出・毀損した場合にどれだけの経済的損失を被るか。これを可視化して提示することで組織の合意形成を図ります。これにより、情報セキュリティは企業のリスク管理の一部だという認識が醸成され、体制やリソースが確保できるようになります」(斉藤氏)。

 実際、同社はこのプロセスを通じてセキュリティ関連規程を見直し、ISO 27001/CISやISO 31000を意識したものに改訂を進めている。対策ソリューションには脅威の検知、対応力・調査力に優れたEDR(Endpoint Detection and Response)ソリューションを採用した。

 既に効果も出ている。例えば、過去には社員が受信したメールを起点に、アンチウイルスをすり抜けるゼロデイ攻撃が発生したが、被害の範囲は工場の端末2台のみで済み、大事には至らなかった。EDRで速やかな被害の可視化と脅威のハンティングを実施したこと、また平時の訓練によって適切に証拠保全ができたことが奏功したためだ。

 ベンダーとの情報連携により、アンチウイルス製品のシグネチャを迅速に作成・適用できたことも大きい。「早期に対処できなければ、工場を停止せざるを得なくなる可能性もありました。ツールの整備や運用の徹底、人の訓練など平時の備えの重要性を感じた出来事でした」と斉藤氏は振り返る。

 今後はコロナ禍で起こった新しい働き方の常態化を見据え、安全・安心なテレワークを実現させるためのデジタル投資も積極的に行っていく。データの利活用促進に向け、データそのものを守る対策も強化していくという。「見えないものは管理できず、管理できないものは守れません。まずは守るべき資産とサイバーリスクを可視化し、定量化することが大切です」と斉藤氏。資生堂の取り組みは、リスク管理の視点で考える情報セキュリティ対策の好例といえるだろう。

特別講演

竹中工務店
株式会社 竹中工務店 グループICT推進室 ICT企画グループ 副部長 高橋 均氏
攻めのサイバーセキュリティで
竹中グループのデジタル変革を推進
株式会社 竹中工務店
グループICT推進室 ICT企画グループ 副部長
高橋 均氏

デジタルプラットフォームの構築によるDX推進

 日本の建築産業は、深刻な人材不足と高齢化に直面しており、テクノロジーを活用した生産性の向上が何よりも重要な課題となっている。その中で業務と事業のデジタル化に向け、様々な施策を積極的に展開しているのが竹中工務店だ。

 同社は、2025年に向けたグループ成長戦略を策定。「グループで、グローバルに、まちづくりにかかわり、新たな価値を創る」をテーマに、グループ全体で、まちのライフサイクルの企画・計画、建設、維持運営にかかわり、サステナブルな社会の実現に貢献することを大きな目標に据えている。

 その目標を実現するための基盤として、クラウド上に同社のDXを支えるデジタルプラットフォームを構築。ビッグデータやAI・IoTなどの最新テクノロジーも活用し、生産性の向上と付加価値創出に向けたDXを推進している。

 「DXの推進に向けた『デジタルプラットフォーム』として、社内の業務データや社外のオープンデータをビッグデータとして蓄積し可視化・分析するデータ基盤と、データを事業に活用するアプリケーションの構築を進め、業務の自動化や人の判断のサポートを実現します。当社では、こうしたデジタル活用による抜本的な生産性向上と高度な付加価値の創出を実現する姿を『Building 4.0』と称し、事業のデジタル化を推進しています」と、竹中工務店の高橋 均氏は説明する。

より高度なゼロトラストセキュリティを推進

 DXを進めるためにはサイバー攻撃に対処するためのセキュリティ対策が必要だ。特に建設業では図面、建物内部、設備状況が分かる写真など、顧客のビジネスに影響を及ぼす恐れのあるプロジェクト情報の漏えいが重大なセキュリティリスクとなる。実際にPCなどの情報端末の紛失・盗難、SNS投稿やメール誤送信による情報流出に加え、Emotetなどの標的型メール攻撃による事故が増加している状況がある。

 こうした状況が発生することを見越し、竹中工務店では総務部門とグループICT推進室がサイバーセキュリティの主管部門となり、セキュリティ対策を推進してきた。配下に「TAKENAKA-SIRT」を設置し、セキュリティ品質の維持・向上やそれによる事故防止など、セキュリティ対策にかかわる全般の活動を行っているという。

 同社は、デジタルプラットフォームで実現するDXに向けたセキュリティ強化策を、3つのポイントに整理している。1つ目は、情報端末やIoT機器など多種多様な機器で発生する未知の脅威を検知・対処するためのセキュリティ対策。2つ目は、社外とのコラボレーションに伴う多数の関係者間での不正防止対策。3つ目は、社外とのデータ/システム連携に対するセキュリティ対策である。

 「社内外のロケーションを問わず、データの信頼性を確保するには、データのライフサイクル全体でリスク管理を行う仕組みが必要となります。これからますます変化、複雑化するデジタル環境で多層的なリスク対応を行っていくには、従来型ではなくゼロトラストでのセキュリティ対応が必要だと考えています」(高橋氏)

 そのため竹中工務店では、デジタルインフラのクラウド化に向けたセキュリティ強化策として、EDR(Endpoint Detection and Response)やクラウドプロキシ、CASB(Cloud Access Security Broker)などの対策を行ってきた。今後は新たな要素として、認証強化、エンドポイント強化、ログ監視強化を追加し、より強力で動的な制御によるゼロトラストセキュリティ基盤を整備していく計画だ。

 最後に高橋氏は、「DXの推進により、セキュリティ領域も拡大します。セキュリティなしにDXを進めることはできません。竹中工務店は『攻めのサイバーセキュリティ』で竹中グループのDXを牽引し、すべてのステークホルダーに価値を提供していきたいと考えています」と、決意を述べた。

特別講演

ビットバンク
ビットバンク株式会社 リスク管理部 bitbank SIRT CISSP,CISA,公認不正検査士 橋本 健治氏
FinTech企業の担当者が明かす
セキュリティの勘所
ビットバンク株式会社
リスク管理部
bitbank SIRT
CISSP,CISA,公認不正検査士
橋本 健治氏

まず必要なのは自社の状況の把握

 ビットバンクは、国内最大級の暗号資産取引所を運営するFinTech企業である。現在、同社でリスク管理を担当する橋本 健治氏は、それ以前も別の企業で情報セキュリティ対策を15年以上にわたって担当してきた。

 「ビットバンクは金融機関ですが、金融庁が用意したガイドラインなどへの準拠が求められること、暗号資産取引ではウォレットの秘密鍵管理の厳格化を除けば、特別なことはありません。皆様のセキュリティ対策との共通点は多く、ビットバンクが行っている対策や取り組み、そして、私の経験はきっと参考になるはずです」(橋本氏)

 まず勘所として挙げたのが「自社を知る」ことだ。

 セキュリティ対策の強化にあたって「どこから手を付けるべきか分からない」という声をよく聞くが、最初に大事になるのは自社の状況を把握することだというのだ。「重要な情報やITが関与する重要な資産がどう扱われているかを理解するのです。例えば、社員や取引先のマイナンバーがどのように管理されているのか。マイナンバーでは個人情報保護法以外にもマイナンバー固有の法律もあり、これに対応していないと問題が発生します」と橋本氏は話す。

 ほかにセキュリティ担当者が取締役会議の資料が外部取締役とどのように共有されているのかを把握していないケースは多いという。また、インターネットバンキングで利用されるアカウントの権限について、事業用途のものは適切に管理していても、社員旅行用口座や持ち株会の口座となると管理が雑になるケースもあるそうだ。

 「社内にあるIT資産、各部門の業務内容、独自に利用しているシステムやサービス、重要情報の社内でのライフサイクル、インシデント発生時の関与部門の把握など、知っておくべき情報は多い。これらを1つずつ確認していくことで、どこに脆弱性があるのかが可視化でき、網羅的で整合性のあるセキュリティ対策の検討が可能になります」と橋本氏は述べる。

CSIRT同士の連携や無料情報の活用も

 次いで、橋本氏は技術的な対策についても勘所を解説した。具体的にビットバンクのセキュリティ対策は、端末管理システムやEDR(Endpoint Detection and Response)、IDaaS、セキュア環境と一般環境の分離、SIEM、VPNのSaaS化、クライアント証明書によるアクセス端末の制限などが対策の中心になっているという。

 「端末管理システムは、セキュリティポリシーの適用やパッチ適用状況の管理に不可欠です。また、シグネチャだけでは検出できないマルウエアも多いため、アンチウイルスに加えてEDRの導入も欠かせません。さらに当社はコロナ禍以前からテレワーク化の導入を進めており、リモートアクセスが逼迫することを想定してVPNをSaaS化してきました。性能面も問題なく、VPNを通じたWeb会議も問題なく行えています」と橋本氏は話す。

 そして、最後にセキュリティ担当者にとって参考になる情報源について言及した。

 「CSIRT同士の情報共有の場としては、日本シーサート協議会のワーキンググループや、『3大シンポジウム』と呼ばれるセキュリティシンポジウムの座談会が有効です。政府が公開している無料のセキュリティ対策資料も積極的に活用すべき。特に経営者なら『サイバーセキュリティ経営ガイドライン』に目を通しておくことは必須です。そうでないと、万が一インシデントで顧客などに被害を出してしまった際にセキュリティ対策に対する姿勢を問われる可能性があります」と橋本氏は紹介した。

 ワークスタイルの変化や攻撃の組織化や技術面の進化によって、サイバー攻撃のリスクは、これまでにないほど高まっている。長年、セキュリティと向き合ってきた橋本氏のアドバイスは、大いに参考になるはずだ。