セキュリティマネジメント
Summit 2021 Winter
~ウィズコロナ時代にサイバーリスクとどう向き合うか、
先進企業の事例に学ぶ~
REVIEW

未だ収束の兆しが見えないコロナ禍。テレワークが広く普及し、業務で使われるデバイスやネットワークインフラも大きく変わる中、狡猾なサイバー攻撃者は組織内に生じたセキュリティ対策の“隙間”を狙っている。VPNの脆弱性を突く攻撃やランサムウエア攻撃、ビジネスメール詐欺といった手法の多様化に加え、攻撃プロセスを分業しサービス化する攻撃者も出始めた。新しい環境下で、これらの攻撃に適切に備えるには、先行事例に学ぶことがカギになる。ニューノーマル時代、組織が目指すべきセキュリティマネジメントの最適化は――。オンラインで開催された本セミナーの模様を概括する。
基調講演
東京電力ホールディングス
電力の安定供給を技術・人・組織で支える
TEPCO流・サイバーセキュリティー
READ MORE
特別講演
清水建設
建設業界固有の課題を乗り越え
セキュアな情報共有を目指す
READ MORE
特別講演
三井物産
「予防」「鍛錬」「処置」のサイクルで挑む三井物産のサイバーセキュリティー戦略
READ MORE
特別講演
メドレー
先進ヘルステック企業が取り組む
セキュリティリスクマネジメント
READ MORE
HENNGE
注目すべきは「ID認証」と「メール」
ニューノーマル時代の組織の守り方
READ MORE
日本プルーフポイント
予測によって先回りした対応を実現
「敵を知り」「己を知る」サイバー攻撃対策
READ MORE
ソフォス
流行に惑わされずに、地固めの
セキュリティ対策を講じる秘訣とは
READ MORE
マクニカ ネットワークス カンパニー
SIEM+運用監視アウトソーシングが
ゼロトラストセキュリティ実現のカギ
READ MORE
ネットワークバリューコンポネンツ
ウィズコロナ時代のサイバー攻撃対策
注目すべき「3K」とその守り方
READ MORE
SentinelOne Japan
「自律型AI」がサイバーセキュリティを変革
ランサムウエアへの効果的な対策を実現
READ MORE
クラウドストライク
多様な対策をクラウド上から一元提供
シンプルかつ高度なサイバー攻撃対策を実現
READ MORE
テナブルネットワークセキュリティジャパン
インフラに潜む脆弱性を監視・診断
セキュリティ被害の拡大を未然に防止
READ MORE
キヤノンマーケティングジャパン
壊滅的被害からビジネスを守れ
エンドポイントを核とした対策の勘所
READ MORE
Sky
個々のデバイスの利用状況を可視化し
ゼロトラストセキュリティの具現化を支援
READ MORE
サイバーリーズン・ジャパン
徹底した対処優先型のアプローチで
インシデント発生時の被害を最小化
READ MORE
TwoFive
なりすましメールの被害を防ぐ
新たな対策技術の活用を支援
READ MORE
Netskope Japan/NRIセキュアテクノロジーズ
情報漏えい対策の抜本的な見直しへ
SASEで安心・安全のビジネスを実現
READ MORE
エイチシーエル・ジャパン
統合エンドポイント管理ツールの活用で
パッチ適用をめぐる課題をトータルに解消
READ MORE
NECソリューションイノベータ
サイバー攻撃を意識した事業継続計画
その考え方と対策の重要ポイント
READ MORE
トラストウェーブジャパン/シンガポールテレコムジャパン
「人」「プロセス」「技術」の3つの視点で
企業のサイバーレジリエンス強化を支援
READ MORE
ソフトバンク
「セキュリティ」と「利便性」の両立へ
SASEで実現するITインフラ変革
READ MORE
サイバーセキュリティクラウド
Webサイトに対するサイバー攻撃の防御強化により
情報漏えいの被害を防止するWAFとは
READ MORE

基調講演

東京電力ホールディングス
電力の安定供給を技術・人・組織で支える
TEPCO流・サイバーセキュリティー
東京電力ホールディングス株式会社
セキュリティ統括室 副室長
小野崎 勝徳氏
東京電力ホールディングス株式会社 セキュリティ統括室 副室長 小野崎 勝徳氏

世界中のサイバー攻撃者に狙われる
電力制御システム

 重要インフラを狙ったサイバー攻撃が増加する中、東京電力グループは電力の安定供給に向け、サイバーセキュリティー対策を着々と強化してきた。

 「我々はお客様に電力を安定的にお届けするという使命のもと、電力ネットワークを運用するための制御システム、具体的には、発電量と消費量をバランスさせる需給運用のシステム、送電線を流れる電気をコントロールする系統運用のシステム、そして需要家の皆様へ電気をお届けする配電線の運用システムなどを含む、様々なシステムのサイバーセキュリティー管理を実施しています」と東京電力ホールディングスの小野崎 勝徳氏は説明する。

 実際、電力会社を狙った攻撃はグローバルで多発している。特に2015年、2016年にウクライナで立て続けに発生したサイバー攻撃による大規模な停電事故は、電力業界に大きな衝撃を与えた。

 このような被害を未然に防ぐため、東京電力グループは従来行ってきた自然災害などに備えた物理的な対策に加え、抜本的なサイバーセキュリティーの強化に着手。2020年に東京で開催予定だった世界的スポーツイベントを目標のひとつとして、様々な施策を推進してきたという。

 「まず体制面については、全社の取り組みを統括する『セキュリティ統括室(TEPCO-SIRT)』を東京電力ホールディングス内に設置。

 同時に、各基幹事業会社にもSIRTを置き、各社経営陣にはサイバーセキュリティーに関わる事柄について直接補佐するスタッフが存在する、という体制をとりました」(小野崎氏)。さらに、社内のネットワークやシステム全体のセキュリティーを見守る専任監視組織として統合SOCを設置。IT/OTの垣根を越えて24時間365日体制の監視と初期対応を実施し、サイバーインシデントを可能な限り早期に発見・対応する態勢を整えている。

新たな業務権限を設定し、
有事の意思決定を迅速化

 具体的な取り組みは、「戦略アーキテクチャ」「実行計画」「リソース」という3つのレイヤーで実施してきた。

 「戦略アーキテクチャ」では、防御の強化と脅威の侵入の早期発見および迅速な隔離・除去を目指すという基本方針を策定。「組織的対策・制度的対策・人的対策・技術的対策・物理的対策」という“5つの盾”それぞれに経営資源を分配した。

 平時には「リスク評価-防御強化-監視-復旧計画」というPDCAサイクルを回す。また有事の対応では「検知(Observe)-解析(Orient)-判断(Decide)-対応(Act)」のOODAループを定義。この2つのマネジメントサイクルに基づいて取り組む共通認識を組織内で確立したという。

 「有事対応に求められるのは判断と対応のスピードです。そこで、他社のインシデント事例を教訓に、『ネットワークを切断する』権限を新設しました」と小野崎氏は付け加える。ネットワーク切断のような業務影響の大きなクリティカルな判断を行う場合、社内での調整が長引いたり、判断を躊躇したりして対応が遅れるケースがままある。事前に適切な権限を定義し、切断箇所や影響の確認などを実施しておくことで、判断と対応のスピードを可能なかぎり早め、被害を極小化する狙いだ。

 「実行計画」では、組織・個人のセキュリティー能力の定義・見える化、防御システムの強化・刷新、対応力向上を図るための訓練・演習の実施、脅威インテリジェンスの活用などを進めている。

 そして「リソース」では、実際のセキュリティー対応を進める要員などを確保した。「業務親和性の高い部署からコア技術と人員を確保するとともに、セキュリティーの専門人材をキャリア採用して、自社の人員と融合させました。これにより、TEPCO版IT/OT統合セキュリティーの実施体制を構築できたと考えています」と小野崎氏は述べる。

 今後も同社は、サイバーセキュリティーの取り組みを継続的に進化させることで、社会に欠かせないインフラである電力の安定供給を実現していく。

特別講演

清水建設
建設業界固有の課題を乗り越え
セキュアな情報共有を目指す
清水建設株式会社
デジタル戦略推進室長
伊藤 健司氏
清水建設株式会社 デジタル戦略推進室長 伊藤 健司氏

情報管理が難しい
重層下請け構造のビジネス

 「建設業者のセキュリティー対策には、業界固有の課題があります」。そう語るのは、清水建設の伊藤 健司氏だ。ビジネスが重層下請け構造になっており、直接取引のある業者とだけでなく、その先の2次請け、3次請け業者とも機微情報を共有しなければならないからだ。

 また、1つの現場を全員でつくる建設業では、2次請け、3次請けの事業者とも現場全体の情報を共有しなければ作業が滞る。ここが、同様の下請け構造が存在する製造業界との違いだという。「当社と直接取引のない事業者についても情報の安全性を確保しなければいけません。これは非常に困難です」と伊藤氏は言う。

 実際、建設業界では過去に、P2Pのファイル共有ソフトに起因する情報漏洩事故があったが、この時の漏洩元は元請け業者と直接取引のない事業者だった。また最近は、製造業を狙うサイバー攻撃が高度化・巧妙化している。下請け業者が再委託先との情報共有のため、社外に公開していたサーバーの脆弱性が狙われて、情報が漏洩した例もあるという。

 「直接取引がなくても、責任を取るのは我々元請け事業者です。現場や建設物に関する情報を守ることは、当社にとってとても重要なミッションでした」と伊藤氏は語る。

 そこで清水建設は、継続的なセキュリティー対策強化を図っている。具体的には、情報セキュリティー関連の計画や対策を検討・立案する“立法府”と、ツールの導入や日常運用を担う“行政府”を明確に分けることで、専門性の高い活動や人材教育を可能にしているという。

 立法府となる情報セキュリティーグループは、施策の立案やセキュリティー教育を担うほか、万一の際の事故対応を行うCSIRTの事務局も務める。行政府となるインフラ企画グループ、システム運営グループは、それぞれ「計画や方針に基づいた施策実施」および「セキュリティー環境運用・監視」の役割を担う。「同時に、日常で起こるインシデントと特殊インシデントの対応体制を明確に区分けすることで、連絡のスムーズ化や対応の迅速化も徹底しています」と伊藤氏は述べる。

中期デジタル戦略に基づき
セキュリティー対策も強化

 さらに同社は、2020年に中期デジタル戦略2020「Shimz デジタルゼネコン」を発表。戦略の実現に向けた情報セキュリティー対策のポイントとして、大きく次の3つを掲げている。「①いつでもどこでも安全に」「②社外の様々な関係者と情報を共有する」「③グループ・グローバルへの対応」である。

 「①に向けた施策としては、固定電話を廃止して内線をスマートフォン化しました。また、現場のPCなどのエンドポイントデバイスのセキュリティー対策を強化するため、ゼロトラストモデルの導入を検討中です」(伊藤氏)

 ②では、現行の仕組みである利用者ごとのID管理から、マルチデバイス/マルチユーザー環境を前提とした新たな管理手法への移行を検討中だ。個人情報の保護を第一に考え、ID管理に捉われない広範な仕組みを実装していく。

 そして③では、グローバルに存在する現場の回線品質/セキュリティー対策のばらつきをなくすため、SASE(Secure Access Service Edge)機能を備えたグローバル広域WANを導入済みだ。「最終的に目指すのは、クラウド上でファイル単位の操作管理を実現することで、仮に情報が外部に漏洩しても権限変更で適切に制御できる仕組みです」と伊藤氏は話す。

 自ら「デジタルゼネコン」に変貌することで、様々な事業者が関わる建設業界のデジタル変革を牽引する――。多方面にわたるセキュリティー対策が、その基盤を強固に支えている。

特別講演

三井物産
「予防」「鍛錬」「処置」のサイクルで挑む
三井物産のサイバーセキュリティー戦略
三井物産株式会社
デジタル総合戦略部 デジタルインフラ室長
荒木 伸介氏
三井物産株式会社 デジタル総合戦略部 デジタルインフラ室長 荒木 伸介氏

サイバーセキュリティーは
DX戦略の一環

 総合商社大手の三井物産は2020年5月、東京・大手町へ本社を移転した。これを機に「Work-X」プロジェクトを立ち上げ、新しい働き方を実現するための制度やオフィス環境整備を全社レベルで進めている。

 移転に先立つ2018年には“Anywhere Any Device”のコンセプトを提唱。クラウドとインターネットの活用を軸に、いつでも・どこからでも・どんなデバイスでも仕事ができる環境を整えてきた。また、この取り組みは同社のDX戦略の一環でもある。リアルビジネスとデジタルを掛け合わせて事業を強化し、データを迅速かつ正確な意思決定に活用する。全社員がデジタルを標準装備する企業文化も醸成していく。

 これらの活動を支える上で、欠かせないのがサイバーセキュリティーだ。取り組みは同社デジタル総合戦略部が、グループ会社の三井物産セキュアディレクション(MBSD)と連携して進める。「世界63の国や地域に展開する拠点において、24時間365日のセキュリティー監視・運用体制を確立。ゼロトラストセキュリティーとサイバーレジリエンスの強化に力を入れています」と同社 デジタル総合戦略部の荒木 伸介氏は話す。

様々な取り組みで
「病気」に負けない組織をつくる

 基本方針は、NIST(米国国立標準技術研究所)が提示する「特定」「防御」「検知」「対応」「復旧」のセキュリティーフレームワークをベースに策定。「セキュリティー上の脅威を病気になぞらえて、『予防』『鍛錬』『処置』という3ステップの対策を実施しています」と荒木氏は説明する。

 「予防」は手洗いやうがいに当たる。自社のシステム環境を常にきれいに、健全な状態にしておく「サイバーハイジーン」の活動だ。適切な予防が行われていれば、サイバー攻撃の約85%を防ぐことができるという。「ハード/ソフトウエアのインベントリ管理、脆弱性管理、IDや権限の管理などを徹底するほか、ログの保全と監視・分析も行います。加えて、セキュリティー意識の向上を図る啓発活動にも注力しています」と荒木氏は言う。

 「鍛錬」は、病気にかかりにくい体をつくる活動である。EDRをはじめとするエンドポイントセキュリティー、ファイアウオールやクラウドプロキシ、CASB(Cloud Access Security Broker)などによるネットワークセキュリティー、IAM(Identity and Access Management)によるアイデンティティセキュリティーを実践。さらにログの集約と分析、問い合わせやインデントへの対応をグローバルな体制のもとで運用している。「テレワーク環境でもオフィスと同等のセキュリティーレベルを実現し、安全・快適に仕事できるようにしています」(荒木氏)。

 そして「処置」は病気の治療に相当する取り組みだ。有事の際に迅速に対処できるかどうかは、適切な準備と危機対応体制にかかっている。そこで同社は、ランサムウエア攻撃を想定した実践的な訓練に力を入れているという。関係部署が集まり、身代金支払判断のシミュレーションや、必要な社内外へのアクションを確認・討議する。訓練で課題を洗い出し、万が一の“備え”に磨きをかける狙いだ。「社内規程にサイバーBCPを明記し、セキュリティー担当との情報連携強化、サイバーレジリエンス向上を図っています」と荒木氏は話す。

 また昨今は、サプライチェーンの脆弱性を狙う攻撃が増えている。そのため今後は、「予防」「鍛錬」「処置」の各種対策のさらなる高度化とグループ全体のセキュリティーレベルの底上げを図る予定だ。「サイバーセキュリティーは、いわば『終わりなき戦い』のようなものです」と荒木氏。三井物産はサイバーセキュリティーをDXに不可欠な取り組みと位置付け、グループ全体で、一層の対策強化を目指していく。

特別講演

メドレー
先進ヘルステック企業が取り組む
セキュリティリスクマネジメント
株式会社メドレー
執行役員
CLINICS事業部長
田中 大介氏
株式会社メドレー 執行役員 CLINICS事業部長 田中 大介氏

医療業界に求められる
セキュリティの適正管理

 医療機関や医療情報システムなどへのサイバー攻撃が頻発している。機密性の高いセンシティブな医療情報を取り扱う医療事業者にとって、サイバーリスクはもはや新たな経営課題だ。

 「しかし、日本の医療業界の現状を鑑みると、根本的なセキュリティリスクの解消も重要な課題です」と話すのは、医療ヘルスケア向けのクラウドサービスや人材採用サービスを展開するメドレーの田中 大介氏だ。

 同氏が指摘する根本的なリスクとは、医療業界のおけるデジタル化の遅れを指す。「電子カルテ1つとっても、その普及率は欧米諸国に比べると格段に低い。いまだ紙カルテを使用している医療機関は少なくありません。紙は紛失や混在、情報漏えいといったリスクがつきまといます。まずは、紙で管理している情報のデジタル化を推し進める必要があります」。

 メドレーでは、プロダクト開発だけでなく組織や業務の運営においても、徹底したデジタル化を図った上で、セキュリティリスク管理を徹底しているという。

 「取引先などから紙で提供される一部の帳票類などを除き、ドキュメントの完全デジタル化を実践しています。紙によるセキュリティリスクを防ぐことができるだけでなく、情報や知識を共同作業するワークスペースに集約して一元的に管理・運用することで、業務の効率化と品質向上を図っています」と田中氏は語る。

 また、社内の情報管理体制やクラウドのセキュリティ対策を図り、社内外の環境変化に応じて継続的にセキュリティ水準を維持・向上させていくため、個人情報保護の認証マークである「TRUSTe」をはじめ、クラウド分野のセキュリティに特化した「ISMSクラウドセキュリティ認証(ISO/IEC 27017)」を取得。セキュリティ体制の強化にも積極的に努めているという。

ガイドラインの
本質を読み解くことが重要

 一方、プロダクトの開発においては、「3省2ガイドライン」の徹底遵守に努めている。3省2ガイドラインとは、厚生労働省、経済産業省、総務省という3つの省が発行する、2つのガイドラインを示し、医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインの総称だ。

 「ただし、何も考えずに遵守するだけでは意味がありません。ガイドラインで示されたセキュリティリスクへの対応をそのままなぞるだけでは、重厚長大で使い物にならないサービスを生み出してしまうことになりかねません。ガイドラインや要件の本質は何かを捉え、何が求められているのかを読み取り、サービスの手かせ・足かせとならないセキュリティリスクマネジメントを実践することが重要です」と田中氏。こうした姿勢でガイドラインの遵守に取り組むことが、ガイドラインの変更や市場環境の変化へと柔軟に対応できる体制の構築・運営にもつながるのだという。

 医療機関にとっても患者にとっても、安心してより良い医療サービスを利用できるようになるためには、セキュリティリスクマネジメントを怠ることはできない。「医療ヘルスケアの未来をつくる」というミッションを掲げるメドレーにおけるセキュリティリスクマネジメントへの取り組みや姿勢は、医療ヘルスケア領域におけるプロダクトやインターネットサービスの開発に関わる企業にとって1つの道標となるのではないだろうか。