日立ソリューションズ

「zero リスク」から「with リスク」へ
サイバーレジリエンスの必要性と実現方法

サイバー攻撃による被害が甚大化している。
ランサムウエアによる事業停止ももはや珍しいことではなくなりつつある。
企業の事業継続のためにはリスクを把握し攻撃に備えるとともに、
有事における抵抗力と回復力を高める「サイバーレジリエンス」という考え方が求められる。
日立ソリューションズの講演では、
「with」時代におけるサイバーレジリエンスのメリットとその実現方法について解説された。

抵抗力と回復力の強化で
事業への影響を低減

日立ソリューションズ セキュリティマーケティング推進部 部長 / Security CoE センタ長 セキュリティエバンジェリスト 早稲田大学グローバルエデュケーションセンター非常勤講師 扇 健一氏
日立ソリューションズ
セキュリティマーケティング推進部 部長 /
Security CoE センタ長
セキュリティエバンジェリスト
早稲田大学グローバルエデュケーションセンター非常勤講師
扇 健一
 ランサムウエアの感染で事業が停止してしまう――。こうした事例は既に珍しいものではなくなりつつある。これを見ても「水際での防御」には限界があることが分かるだろう。近年は、ゼロトラストモデルに移行する企業や組織も増えつつあるが、それでもすべての被害を防止できるわけではない。

 このような状況の中、重要になってきているのが「サイバーレジリエンス」という考え方だと、日立ソリューションズの扇 健一氏は話す。「新型コロナウイルス感染症が拡大してから約2年が経過して『ゼロコロナ』から『with コロナ』へと基本方針が転換していったように、セキュリティーにおいてもサイバー攻撃のリスクと共存する『with リスク』のスタンスが求められるようになっているという。「ゼロトラストは検知と防御をもとにしたゼロリスクが目標ですが、サイバー攻撃の被害は今後さらに日常化していきます。そのため、被害を受けた場合でも事業継続を可能にする、というアプローチが不可欠なのです」。  それではサイバーレジリエンスとは、具体的にどのようなものなのか。それを表したのが図2だ。  「ランサムウエアが侵入して被害が発生した場合、従来の対策ではデータが使用不能になったうえ、システム停止や業務の停止に追い込まれてしまい、その回復にも長い時間がかかってしまいます。これに対してサイバーレジリエンスでは、ダメージの局所化やシステムの縮退継続運転を行うことで被害への抵抗力を高めるとともに、回復作業に必要な時間も大幅に短縮します。つまり『抵抗力』と『回復力』を強化することで、サイバー攻撃のビジネスインパクトを低減させ、事業継続を可能にするというアプローチなのです」(扇氏)

 サイバーレジリエンスの考え方は、既に米国標準技術研究所(NIST)が公開した「SP800-160 v2」にも明記されている。そのためには、「抵抗力」と「回復力」に加えて、「予測力」と「適応力」という能力も求められる。

予測力を強化する
ポスチャマネジメント

 それでは、これらの4つの能力を獲得するには、具体的にどのような取り組みを行うべきなのか。扇氏は各能力の獲得にむけたソリューションの一例を紹介する。まず「予測力」に関しては、「セキュリティポスチャマネジメント」という対策が必要になるという。

 「最近はコロナ禍の影響でテレワークが増えており、社外で使われるエンドポイントからクラウドサービスを使う、という業務形態が定着しています。これに伴い、クラウドとエンドポイントの両方で、セキュリティー事故のリスクが増大しています。まずクラウドでは、脆弱性や不正ログイン、設定ミスがセキュリティー事故の3大要因となっており、契約している仮想サーバーがどれだけあるのか、全体の把握ができていないケースも珍しくありません。一方、エンドポイントでは、部門管理者やユーザーの負担が高くなることから脆弱性管理やOSのセキュリティー設定などのチェックが疎かになりがちで、さらに、設定依頼しても実施してくれない人をフォロー、サポートするのが大変といった状況のようです。実際にIPA(独立行政法人 情報処理推進機構)が行った調査でも、パソコンのOSの脆弱性対策について『あまりできていない』『できていない』という回答が半数程度に上っています」(扇氏)。

 このままではランサムウエア攻撃による被害や不正アクセスを引き起こしやすくなってしまい、サプライチェーン攻撃の踏み台として利用された場合には、グループ会社や取引先にも迷惑をかけてしまう。このような状況を回避するために、常に安全なセキュリティー態勢を維持するのが、セキュリティポスチャマネジメントというわけだ。

 「セキュリティポスチャマネジメントを実現するには、大きく5つの要素が必要です。第1はクラウドにおけるセキュリティー設定の可視化・修正。第2はクラウドのセキュリティー診断と脆弱性管理。第3は仮想サーバーの把握。第4はエンドポイントにおけるセキュリティー設定の可視化・修正。そして第5がエンドポイントのセキュリティー診断と脆弱性管理です。これによってクラウドとエンドポイントの両方で、リスク評価とシステム健全性維持を実現するのです」と扇氏は説明する。

 次に「抵抗力」に関しては、「マイクロセグメンテーション」が効果的な手法となる。これは個々の業務サービスの前にガード(ゲートウエイ)を設け、業務サーバー間の不要通信を遮断することで、マルウエアの感染拡大を防止するというもの。「SDP(Software-Defined Perimeter)」とも呼ばれており、境界型防御を仮想化し、業務サービス単位にまで落とし込んだものだといえるだろう。これを適切な形で実装しておくことで、被害を局所化できるわけだ。

サステナブルな企業に
成長する上でも重要

 「回復力」に関しては「マネージドセキュリティサービス」の活用が有効な選択肢になる。

 マルウエア感染後の復旧を早期に完了させるには、AIを活用したEPP(Endpoint Protection Platform)で未知のマルウエアを検知するとともに、EDR(Endpoint Detection and Response)によるマルウエア調査・解析を行うことが重要になる。

 これを自社SOC(Security Operation Center)で運用するという選択肢もあるが、EDRを使いこなすには高度な専門知識が必要だ。そこで着目したいのがMDR(Managed Detection and Response)である。「これはEDRの運用を外部委託できるサービスで、十分な知識や体力がない企業にとって、重要な選択肢になります。なおEDRによる調査・解析を省略し、被害を受けた場合に備えてサイバー保険に加入する、という考え方もありますが、ランサムウエアの身代金は基本的に対象外になる、ということに注意すべきです」(扇氏)。

 そして最後の「適応力」に関しては、インシデント対応訓練の実施が求められると語る。

 「対応訓練の方法としては『インジェクト型』と『シミュレート型』があります。前者は、管理者を対象に、次々に発生するインジェクトに対処する訓練を実施し、事故発生前後に必要な対策や、現状の組織的な課題について認識してもらうもの。一方、後者は、経営層や各部署の管理職が実際の指揮系統を用い、インシデント発生時点以降のアクションやフローを時系列でシミュレートすることで、対応手順の定着化と、抜け漏れや盲点の洗い出しを行うためのものです」(扇氏)

 既に日立ソリューションズではこれら4つの観点から、企業のサイバーレジリエンスを網羅的に支援している。これによってゼロトラストセキュリティーを有効活用しながら、予測力・ 抵抗力・回復力・適応力を高めることが可能になるという。

 レジリエンス強化はwith リスク時代に欠かせないものになる。企業が持続的に成長していく上でも、避けて通れないテーマだといえるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
日立ソリューションズ URL:https://www.hitachi-solutions.co.jp/