セキュリティマネジメント
Summit 2022 Summer
~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~

いまやサイバー攻撃は、企業経営において最も注意すべきリスク要因の1つとなった。攻撃を100%防ぎきることは難しいため、侵入済みの脅威を排除するアプローチのほか、システムの設定不備や“野良デバイス”を排除する「サイバー・ハイジーン」の概念も注目されている。また、高度化する攻撃に持続的に対応する上では、セキュリティベンダーが提供するマネージドサービスなども活用する必要があるだろう。環境の変化に即した、最新・最適な対策を実行し続けることが、あらゆる企業のミッションとなっている。
本セミナーでは、ベンダー/有識者の提言や複数企業の事例を基に、実効性のあるセキュリティマネジメント手法について考えた。ここでは当日の模様を概括する。
基調講演
SOMPOホールディングス
サイバーリスクを低減し、DXを支える
SOMPOのセキュリティーマネジメント
READ MORE
特別講演
荏原製作所
時代や環境に沿って変化させてきた
セキュリティー管理体制の取り組み
READ MORE
基調講演
カシオ計算機
IT部門がリーダーシップを発揮し
現場と経営の連携によるDXを支える
READ MORE
特別講演
つるぎ町立半田病院
ランサムウエアにより病院機能が停止
診療再開までの経緯と被害を振り返る
READ MORE
特別講演
日本電信電話
巨大グローバル企業グループにおける
セキュリティーガバナンスの強化アプローチ
READ MORE
トレンドマイクロ
リスクを継続的に可視化・評価し軽減する
最新サイバーリスクマネジメントの方法論
READ MORE
Okta Japan
自らサイバー攻撃を受けて分かった
ゼロトラストの実効性と必要性
READ MORE
BlackBerry Japan
AI+自動化+マネージドサービスで
高度化するリスクへの効果的な対処を実現
READ MORE
タニウム
大規模環境も即時に可視化し、制御
独自技術でシステムの“衛生”を保つ
READ MORE
サイバーリーズン・ジャパン
サイバー攻撃を100%防ぐのは不可能
「侵入前提」の対策を具現化するには
READ MORE
ネットワークバリューコンポネンツ
脅威の検出から有事対応、
フォレンジックまで
NDRソリューションで網羅的に対処
READ MORE
F5ネットワークスジャパン
攻撃者の行動から判明した脅威分析と
これから効果的な「保護対策」とは
READ MORE
日立ソリューションズ
「zero リスク」から「with リスク」へ
サイバーレジリエンスの必要性と実現方法
READ MORE
プロット
Emotetの被害は回避できる
自治体から学ぶその具体的手法とは
READ MORE
レコーデッド・フューチャー・ジャパン
拡大する外部公開資産のリスクを削減する
「アタックサーフェス管理」の成功要因は
READ MORE
キンドリルジャパン
複雑化するサイバーセキュリティー対策を
ベンダーフリー&フルライフサイクルで支援
READ MORE
HENNGE
クラウド活用時のリスクを極少化する
「認証・認可」と「メールセキュリティー」
READ MORE
インターネットイニシアティブ
なりすましメール対策の切り札
「送信ドメイン認証技術」の仕組みとは
READ MORE
Netskope Japan
クラウド通信を可視化し、制御する
ネットワークセキュリティの新標準
READ MORE
Blue Planet-works
“イタチごっこ”の対策に終止符を打つ
ANAが実現した新概念のセキュリティー対策
READ MORE
Splunk Service Japan
検知・対処の自動化で人材不足を補う
今求められている「モダンSOC」の構築術
READ MORE
e-Janネットワークス
どこでもクラウドもオンプレもセキュアにアクセス
ハイブリッドワークの強い味方とは
READ MORE
Fastly
チューニング不要で誤検知も解消
脅威を包括的に緩和する次世代WAF
READ MORE
日本HP
生産性と安全性を両立する
サイバー攻撃への新たな解決策
READ MORE
チェック・ポイント・ソフトウェア・テクノロジーズ
変化の激しい不確実な時代に求められる
サイバーセキュリティー対策の要諦とは
READ MORE
マクニカ
ゼロトラストによる対策を支える
IDaaSに求められる不可欠な要件とは
READ MORE

基調講演

SOMPOホールディングス
SOMPOホールディングス株式会社 IT企画部 CSIRT長 岡田 博子氏
サイバーリスクを低減し、DXを支える
SOMPOのセキュリティーマネジメント
SOMPOホールディングス株式会社
IT企画部 CSIRT長
岡田 博子

3つの骨子に基づき
セキュリティー変革を推進

 SOMPOホールディングスでは、デジタル社会における高度なセキュリティー管理を実現し、サイバー攻撃を受けても事業継続を確実なものにするために、グループ横断で「サイバーセキュリティートランスフォーメーション」に取り組んでいる。

 「先が読めないVUCAの時代、セキュリティー対策は外部環境の変化に対応し、かつDXを支えるものでなければなりません。サイバーリスク管理のリソースや専門性をホールディングスに集中し、グループ各社のIT部門やサイバーセキュリティー部門と役割分担しながら、実効性のある対策を具現化します。これにより、グループ全体で高いコントロール水準と効率性を維持します」とSOMPOホールディングスの岡田 博子氏は語る。

 SOMPOグループのサイバーセキュリティートランスフォーメーションは、大きく3つの骨子で進められている。①外部に依存しない「組織力」、②ホールディングスとグループの「役割分担」、③「全体最適」だ。

 「組織力」では、ホールディングスを中心としたグループ会社とワンチーム体制で施策展開を目指す。ホールディングス内にはホワイトハッカーやSOMPOのイスラエル・ラボ人材を含めた国際的なサイバーセキュリティーの専門家集団を組織し、自力での変革を推進。「外部ベンダーのサービスやツールを利用しつつも、それらに依存し過ぎず、自ら意思決定と運用を行うことを重視しています」と岡田氏は説明する。

BCPを越えた
真の事業継続性強化を目指す

 「役割分担」では、ホールディングスのサイバーセキュリティーチームが全体戦略の策定やグループ各社への対応指示、ゼロトラスト基盤の展開、サイバー・ハイジーン、脅威インテリジェンス、インシデント対応およびサポートなどグループ横断的な活動を行う。一方のグループ各社は特権ID管理やパッチ運用、IT資産管理、社内セキュリティーツールの運用など各社内部セキュリティ管理により注力するモデルを採用したという。

 「従来はグループ統一のポリシーがなく、各社のリスクコントロールに頼っていました。統一ポリシーを策定して役割を分担するとともに、意識変革も進め、経営層から一般社員まで、全員がセキュリティーを“自分ごと化”できるようにしています」と岡田氏は述べる。

 そして「全体最適」では、グループ横断でサイバー・ハイジーンを追求。ハイジーンとは「衛生的であること」を指す単語で、組織内のIT資産やリスクを可視化し、自らの健康状態を常にデータで把握する取り組みをいう。

 具体的には、クラウドベースの共通基盤を構築し、ゼロトラストのアプローチでグループ内の脅威状況の可視化に取り組んでいる。また、海外のセキュリティーラボとの連携に基づき、ハッカー側の視点を踏まえたグローバルな監視体制を構築し、脅威インテリジェンスとの連携による包括的な可視化を目指す狙いだ。さらに、リスクの定量化による内部管理の強化、ホールディングス主導によるセキュリティーテスト標準化なども実施。安全かつ“衛生的な”組織の実現に向け、多面的な取り組みを進めている。

 「サイバー犯罪が多様化している現在、情報漏洩以外にも、レピュテーションリスクやシステム停止によるビジネス機会損失、調査にかかる人員コスト、復旧コストなど、企業が考えるべきことは多岐にわたります。大きな事業継続リスクに対処するために、私たちは今後もBCPを越えた真の意味での不測の事態への対処方法を模索し、実施していきます」と岡田氏は強調する。ビジネス変革には多様なデジタルテクノロジーが不可欠だ。それを適切に可視化し守るための取り組みが、今あらゆる企業に求められている。

特別講演

荏原製作所
株式会社荏原製作所 情報通信統括部 ITアーキテクト部長 千葉 一機氏
時代や環境に沿って変化させてきた
セキュリティー管理体制の取り組み
株式会社荏原製作所
情報通信統括部 ITアーキテクト部長
千葉 一機

あるインシデントが
管理体制強化のきっかけに

 2022年で創業111年目を迎えた荏原製作所。現在はグループ全体で展開する風水力機械、環境プラント、精密・電子の3つの事業のもと、水、空気、環境、デジタルテクノロジーなどの領域における社会課題の解決をリードしている。

 かねて同社は情報セキュリティーの管理体制に課題を抱えていたという。同社の千葉 一機氏は次のように振り返る。

 「社内で起こったあるインシデントをクローズさせるまでに、十数人で数カ月を要しました。このような事態になった要因は、セキュリティー事案を管理する部門がなかったこと、また、報告ルートが確立されていなかったことにあると我々は考えました。そこで当社は、セキュリティー管理体制の確立に向けた取り組みを開始したのです」

 具体的には、代表執行役社長を議長とし、全執行役により構成しているリスクマネジメントパネル(RMP)を設置し、RMPへ報告を行う体制として、IT部門、リスク管理部門、法務部門による「情報セキュリティ部会」を立ち上げた。さらに、グループ各組織への連絡を担う情報セキュリティー管理体制として、日頃からセキュリティーに関与しており意識の高いメンバーを抜擢した「情報セキュリティ管理者会議」も組成。これらがベースとなり、各組織の役職者が管理者を務める体制を確立したのである。

 「各組織の活動が根付くにつれて、Web MPS(マルウエアプロテクションシステム)の適用、標的型攻撃メール訓練の実施、セキュリティー関連の教育コンテンツ拡充、そして有事のインシデント管理といった施策が軌道に乗り出しました」と千葉氏は話す。

 加えて、IPA(情報処理推進機構)の産業サイバーセキュリティセンターが主催する中核人財育成プログラムを修了した社員が、「EBARA-CSIRT」として活動を開始。日本CSIRT協会へ加盟して対外組織との情報共有にも当たるなど、さらなる体制強化につなげている。

環境の変化に合わせて
体制も随時見直す

 高度なセキュリティー管理を継続するには、状況に合わせて方針や対応を変化させていくことが肝心だ。近年起こった大きな変化が、コロナ禍である。2020年3月の緊急事態宣言により、多くの社員が在宅勤務に移行。これにより「境界防御」の方向性に基づくセキュリティー対策が意味を成さなくなってしまったのである。

 「そこで当社は、ITガバナンスツールをプライベートクラウド型に移行。Web MPSについてはエンドポイント対策ソリューションの機能の1つでカバーしました。また、セキュリティーパッチの配信状況が見えないという問題に対しては、対策状況を可視化する『サイバー・ハイジーン』ツールの導入を検討しました」と千葉氏は語る。

 もう1つ、セキュリティー管理の変化点になったのは、北米のグループ会社がランサムウエア攻撃を受けたことである。システムの復旧は順調に進んだものの、同じ轍を踏まないための再発防止策を検討・実施する必要があった。

 「バックアップによるシステム回復、外部接続時の多要素認証の適用といった基本的な対策に加え、新たにサイバー・ハイジーンツールを導入することでIT環境の衛生状態を高めています。また、EDRの導入に加えてマネージド型のSOCサービスを活用。『ISO27001』や『CIS Controls』のガイドラインに対応できているかどうか、改めてグループ全体の状況確認も行いました」と千葉氏は説明する。

 今後も、荏原製作所ではサイバー・ハイジーンツールやEDRの導入をグローバルで進めていく考えだ。「もちろん、単に施策やツールを横展開するだけでは十分ではなく、対策状況のモニタリングを定常的に行い、各組織にフィードバックしていきます」と千葉氏。そのための体制としてGlobal-SIRTを整備し、アメリカ、欧州・アフリカ、アジアの各リージョンにそのメンバーを配備する。24時間365日のフォローアップにより、全社のセキュリティーを一層強化する計画だ。

特別講演

カシオ計算機
カシオ計算機株式会社 デジタル統轄部 統合プラットフォーム部長 大熊 眞次郎氏
IT部門がリーダーシップを発揮し
現場と経営の連携によるDXを支える
カシオ計算機株式会社
デジタル統轄部 統合プラットフォーム部長
大熊 眞次郎

社内ポータル経由で
セキュリティーを啓蒙

 「タフネス」という新たな価値を時計に与えた「G-SHOCK」、学習ツールの定番となった電子辞書や電卓など、1957年の創業以来、多くの独創的な製品を世に送り出してきたカシオ計算機。世界43のグループ企業、約1万人の社員を擁する同社は、ユーザーと直接つながり、ユーザー起点ですべての事業活動が成り立つ「ユーザー中心のバリューチェーン」の構築をDXの目標に据えている。

 「新たな価値を生み出し続けるには、それを支える技術基盤が必要であり、そこでは『安全・安心』こそが最重要テーマとなります。そこで当社は、サイバーセキュリティーマネジメントをDX実現に欠かせないものと位置付けています」と同社の大熊 眞次郎氏は語る。

 この方向性のもと、同社は様々な取り組みを展開している。例えば、社内ポータルサイトを通じてセキュリティー対策のルールやアクションに関する情報を発信。教育コンテンツも日・英・中国語で作成し、グローバル規模で啓蒙を図った。また、2018年からはNISTのサイバーセキュリティフレームワークに沿った事前・事後対策を強化。同時にCSIRTも設置し、有事には速やかに対処できる体制を整えた。

 「『特定』『防御』といった事前対策の重要性は変わりませんが、今後は徐々に事後対策に軸を移しながら、万一の際にもすぐに対応できるようにしていきます」と大熊氏は説明する。

 その過程で発生したのがコロナ禍だ。同社では、かねて整備していたリモートワーク環境とVPN、クラウドを増強することで、スムーズに在宅勤務に移行。在宅勤務の定着が見込まれることから、現在は「ゼロトラストネットワーク」への移行を全社DXのロードマップに組み込んで、取り組みを進めているという。

 具体的には、グローバル拠点全体をゼロトラスト型に切り替えていくことで、グループ拠点均一のサイバーセキュリティーレベルを実現する。「それらの展開を考えると、まだまだセキュリティー人材が足りません。社内メンバーの育成とキャリア採用、さらには外部パートナーとの密な連携による、総力戦を展開するつもりです」と大熊氏は述べる。

Emotetを阻止し、
脱PPAPも実施

 このような全社的なサイバーセキュリティ対策の取り組みは、着実な成果を上げている。一例が、2021年末から世界的に再流行し始めたマルウエア「Emotet」への対応である。

 「2022年2月以降、『取引先からこんなメールが届いたが大丈夫か』という問い合わせが社内で急増しました。調べたところ、まさにEmotetの温床となっているパスワード付きZIPファイルやPPAP(※)による攻撃でした。ゼロトラスト対応の一環として導入していたEDR機能の防御のおかげで幸い被害はなく、CSIRTのネットワークを通じて浸透していた『怪しい添付ファイルは開かない』『気付いたらすぐに報告する』といった社員の意識が、奏功したものと考えています」と大熊氏は言う。

 また、これを機に同社は、2022年3月にPPAPを廃止した。このようなスピーディーな経営判断が可能だったのも、ゼロトラスト型防御への備え、およびCSIRTの構築を通じて醸成してきた現場と経営の密な連携が機能した成果といえるだろう。

 「サイバー攻撃という目に見えない脅威に対抗するには、愚直な備えが必ずよい結果へ結び付くと信じてマネジメントサイクルを回すことが重要です。それを現場と経営双方に説明し、共に進化しながら成長していく。IT部門には、これをけん引するようなリーダーシップが今、求められているのだと思います」と大熊氏は語った。
  • パスワード付きZIPファイルをメール添付で送り、その後別メールでパスワードを送るファイル送付方法のこと
  • 講演者の肩書きなどは講演当時のものです。

特別講演

つるぎ町立半田病院
徳島県 つるぎ町立半田病院 病院事業管理者 須藤 泰史氏
ランサムウエアにより病院機能が停止
診療再開までの経緯と被害を振り返る
徳島県 つるぎ町立半田病院
病院事業管理者
須藤 泰史

サイバー攻撃により
電子カルテが完全停止

 徳島県西部に位置する旧美馬郡(美馬郡・美馬市)における唯一の公立病院として、地域医療の一端を担う徳島県 つるぎ町立半田病院(以下、半田病院)。同院では、2021年10月末にランサムウエアによるサイバー攻撃を受けた。

 午前0時30分ごろ、突然、電子カルテシステムに接続されている使用可能なすべてのプリンターから、英文の犯行声明が印刷され続けるという現象が発生。電子カルテシステムが完全に使用できなくなり、カルテと接続する医療機器や医事会計・検査・薬剤・画像などのシステムのすべてがストップした。また、院内の合計約200台の電子カルテ端末のうち40台のPCがウイルスに感染していることも判明した。

 半田病院では、同日中に県内の電子カルテ共有ネットワークや徳島県警のサイバー犯罪対応部署へ連絡するとともに、院内に災害対策本部を立ち上げ、病院としての機能を一日も早く取り戻すために、関係者とのミーティングや情報共有を図る体制を整えたという。

 電子カルテシステムは画像・医療会計・検査・処方・透析・リハビリなど、様々なシステムと連携しているが、カルテ情報にアクセスできなくなってしまったことから、10月から12月分はレセプトが作成できず診療報酬を請求できない状態が続いた。

 その後、段階的に診療体制を再開させていったが、基本、診療は再来の予約患者への対応に限定し、緊急・新規患者への対応は断念をせざるを得ない状況に追い込まれた。カルテに関しては、南海トラフ地震発生時に緊急的に運用するために準備していた紙カルテベースの診療へと切り替えたが、取り扱いに不慣れであり、自動化されていた処理を手作業で対応しなければならないことから、ミスや不備が多発する事態に陥ったという。

 最終的に電子カルテシステムを再構築し、すべての診療を再開するのは、トラブルが発生して2カ月後の2022年1月となる。診療の制限による診療報酬の減額は2カ月間で数千万円以上、電子カルテシステムの再構築に関して、その被害額は2億円以上に及ぶ予想だという。

 旧システムへの不信感もあり新規システムの導入も検討したが、半導体不足やエンジニア不足の状況から断念。感染したシステムの復旧を試みると同時に、レンタルサーバーでのシステムの再構築を同時並行で進めた。「二重の投資となってしまうことは理解していましたが、システムの復旧を最優先した上での決断でした」と半田病院の須藤 泰史氏は説明する。

教訓から得た、
なすべきセキュリティー対策とは

 半田病院では攻撃者に対して徳島県警と連携して対応している。しかし、2022年6月の時点で具体的な要求などは届いておらず、攻撃を受けたルートも調査中だ。「全国の病院や事業所が当院のようなサイバー攻撃を受けないためにも、詳細な状況を公表することが責任であると考え、できうる限りの情報を公開していくつもりです」と須藤氏。今回の事件で得た教訓から、あるべきセキュリティー対策について以下のようにまとめている。

ウイルス対策ソフトを使用したり、VPNやPCなどへ、こまめにアップデートを適用したりするなど、サイバー攻撃に備え基本的なセキュリティー対策を確実に実施する。
システム管理者はすべてのシステムを把握し、関連するすべての資料を常にアップデートしておく
システムのメンテナンスやアップデートをブラックボックス化せず、システム管理者が具体的に把握する
厚生労働省・総務省・経済産業省からの通達や指針を把握し、セキュリティーに関しての情報を常に収集。ガイドラインを順守したシステムや運用体制の構築により、セキュリティー対策の強化に努める
BCPを作成し、災害時を想定した模擬訓練を実施するとともに、参照用のバックアップを構築したり、復旧プランを確立したりしておく
システムベンダーと、災害発生時を含めた保守に関する契約書を締結しておく
 なお、半田病院では第三者による有識者会議を設置。今回のサイバー攻撃に関する原因分析や被害状況の実態把握、再発防止策など病院運営に関する重要事項について審議した調査報告書として、その提言をまとめ、ホームページ上で公開している。サイバー攻撃の事例を詳細に公開する事例は希少だ。同院の取り組みは、多くの企業や組織にとって大きな示唆に富んでいるといえるだろう。

特別講演

日本電信電話
日本電信電話株式会社 CISO 常務執行役員 セキュリティ・アンド・トラスト室長 横浜 信一氏
巨大グローバル企業グループにおける
セキュリティーガバナンスの強化アプローチ
日本電信電話株式会社
CISO 常務執行役員 セキュリティ・アンド・トラスト室長
横浜 信一

セキュリティー
ガバナンスモデルに準じ
施策を展開

 通信、ITをはじめ多彩な分野で事業を展開する約900社の企業で構成されるNTTグループ。同グループでは、早期からサイバーセキュリティーに注力してきた。特に2014年にTokyo 2020の通信サービスカテゴリでゴールドスポンサーとなった以降は、その体制を強化。10年近くにわたってセキュリティー領域に関する様々な工夫を重ねてきた。

 その陣頭指揮を取っているのが持株会社である日本電信電話(NTT)のセキュリティ・アンド・トラスト室だ。同室が各事業会社のセキュリティーチームと緊密に連携しながらセキュリティーマネジメント体制を整備しているという。

 同室の室長でCISOを務める横浜 信一氏は「セキュリティーを考える上で、その根幹をなすのがガバナンスの問題です。ガバナンスは、本社が何らかのルールを整備して組織全体がそれを順守していくというのが一般的なイメージです。しかし私は『組織の構成員が組織にとって最適な行動を自然にとる仕組みづくり』こそが、ガバナンスなのではないかと考えます」と語る。

 こうしたセキュリティーガバナンスの実現に向け、NTTグループでは、組織全体をリスクマネジメントにおける3つのディフェンスラインに準じて次のように位置付けている。第一線に位置付けられるのが「各職場」。第二線がセキュリティーにかかわるルール設定や対策を行う「セキュリティー推進組織」だ。第二線は、第一線のルール順守を図るだけでなく各職場がセキュアな業務運営を行うよう人材育成やインシデント対応面でサポートしていく構造となる。そして最後に第三線が第二線を補完、検証する「監査組織」だ。

 「このモデルにおいて最も重要なのは、事業を実際に行っている第一線の現場。そこでセキュアな職務執行が行われることが、我々が目指すゴールだということになります」と横浜氏は強調する。

セキュリティーに関する
ノウハウを積極的に発信

 それでは、こうしたモデルに基づいてどのように具体的な施策を進めていくのか。その起点となるのが、「CISOの責任範囲とミッションを明らかにすること」だ。NTTグループでは、グループを構成する約900社のうち、NTTドコモやNTTデータといった主要企業のCISOをグループガバナンスのフォーカルポイント(※多くの人の注目を集めるポイント)だと考え、各グループCISOが中心的役割を担う。

 「CISOは、自社向けのシステムだけではなく、顧客向けのデータセンターやクラウド、ネットワークといった商用システム、自社が構築した顧客資産のシステム、さらには子会社やグループ会社、パートナー、業務委託先といったステークホルダのシステムも含めた範囲の責任を負うと考えます」と横浜氏は言う。

 そして各CISOのミッションは、大きく「自らを守る」と「グループを守る」の2つとなる。前者については、全社ルールで定めるミニマムベースライン、すなわちセキュリティー対策として必要最低限守るべき事項を順守する一方、NIST(米国標準技術局)の策定する「CSF(Cyber Security Framework)」を活用したリスクベースの対策を自社に最適化して適用し、継続的に改善していくことを求めている。

 「一方、後者のグループを守るという観点では、自社が受けた攻撃について、ほかのNTTグループの企業にも同様の攻撃が行われている可能性もあるため、グループ内での迅速・タイムリーな情報共有を行うことを求めています」と横浜氏は説明する。

 NTTグループの取り組みはグループ内にとどまらない。自分たちで行っている数々の対策や取り組み内容も含め、セキュリティー領域について培ってきたノウハウを国内外へ積極的に発信していく予定だ。NTTは日本企業で唯一、サイバーセキュリティーに特化した対外情報発信チームを有しており、このチームを中核に今後ますますその取り組みを強化していくという。

 NTTのミッションは、安全なデジタルインフラを世界に対して継続的に提供し、パートナーとともに社会課題の解決を目指すこと。今後もこうした取り組みを強化することで、NTTグループが「トラスト(信用・信頼)」されると同時に、社会の「トラスト」に貢献していく考えだ。