サイバーインテリジェンス
セキュリティマネジメントSummit
2024 Winter

～高まるばかりのサイバーリスク、先進企業はどう向き合っているのか～

Review

　日本取引所グループ（JPX）では、サイバーセキュリティー対策を最重要経営課題の1つと捉え、マーケットの安全を守るための多面的な活動を展開している。「まず管理態勢の面では、サイバーセキュリティーを全社的なリスク管理フレームワークで管理。『第3層：リスク対応の実行』『第2層：リスク対応の実施判断』『第1層：リスク対応方針の策定』の3層構造で対応を行っています」と同社の夏目 卓哉氏は話す。

　このうち第3層は、インシデント対応をはじめとする各種作業の実行部隊であり、CSIRTや情報システム部門がこれを受け持つ。また、第2層では、個人情報保護やデータ管理なども含めた形で一気通貫のリスク管理を実施。CEOやCIO／CISOが中心となり、現状の対応に抜け・漏れがないか管理統制を行う。

　「さらに第1層では、こうした執行サイドの動きが適切かどうかについて、取締役がレビューします。当社取締役会は過半数が社外取締役ですので、その知見を生かしつつ今後の方針も定めていきます」と夏目氏は続ける。

　具体的な取り組みについては、PDCAサイクルにのっとって進めているという。例えばPLANフェーズでは、中長期計画と年次計画の2つのセキュリティー対応計画を策定。前者は会社の中期経営計画と同じサイクルで3年ごとに見直す一方、年次での計画も別途策定することで早期の改善や新たな脅威への対処を図っている。

　「これらの計画に基づいて各種対策を実施していきますが、ここでは対処や防御だけでなく教育や訓練にも力を入れています」と夏目氏。その一環として、社内の全役職員を対象とした教育訓練プログラムを定期的に実施している。例えば、eラーニングによる学習を行ったり、抜き打ちで標的型攻撃メールを送ったりといった具合だ。また、万一の有事の際にも的確な判断が下せるよう、経営層に特化した訓練なども行っているという。

　さらにCHECKフェーズにおいては、現状の取り組みに抜け・漏れがないかアセスメントを実施。ペネトレーションテストやレッドチームテストなどのセキュリティー診断も定期的に実施している。「アセスメントを行うにあたっては、国内外の各種ガイドラインを積極的に活用。また、セキュリティー診断では、設計段階でのレビューも行うことで実効性を高めています」(夏目氏)。

　このように盤石な態勢を築き上げている同社だが、現在はちょうど現行計画の完了期にあたっている。そこで同社では、これまでにない発想も取り入れた形で次期対応計画の策定を進めている。

　「当社システムは金融市場を結ぶネットワークシステムですが、限られた接続先と専用線でつながる中央集権的な構造であるため、ある意味守りやすいシステムであると言えました。しかしサイバー攻撃の悪質化・高度化は一段と進んでおり、クローズドネットワークといえども安心はできない状況です。また、当社がDXを進めていく中では、金融機関以外の企業との接続も行われるようになります。従って次期対応計画では、このような新たなリスクへの対応を考える必要がありました」と夏目氏はその背景を説明する。

　そこでポイントとなったのが、「リライアビリティ（Reliability：信頼性）の追求」と「レジリエンス（Resilience：復元力）の向上」の2点である。まず前者は、自社や関係先のリスクを含めた防御強化の取り組みを指す。日々刻々と進化するサイバー攻撃に対し、より高度な防御体制を構築することで、リスクが発現する可能性をできるだけ極小化する。「とはいえ、個社での対応には限界もありますので、クラウド技術やデファクト・スタンダード技術の活用も図っていきたい」と夏目氏は話す。

　また後者は、インシデント発生時の被害軽減や検知・対処能力強化に向けた取り組みだ。万一脅威の侵入を許したとしても、早期に対応できる体制が整っていれば、事業への影響を抑えることができる。但し、こうした取り組みでは、海外製の先進技術を用いることも多いため、経済安全保障面にも配慮しつつ、計画策定を進めていく考えだ。

　電子モジュール用の自動外観検査システムを開発・製造・販売しているサキコーポレーション。同社には、情報セキュリティー対策の観点から守るべきものが大きく3つある。

　1つ目は、OT（制御システム）系ネットワーク環境でつくられる製品だ。意図しない目的外のアクセスが発生しないよう、各ホストに対する厳格な通信制御が必須となる。実際、ファームウエアの不正な改変やマルウエアの混入などが行われてないことを担保できない製造プロセスは、EUのサイバーレジリエンス法対応の面からも問題となる。

　「人に依存した運用ルールで管理するだけでなく、実行力を持った仕組みとともに、製造プロセスの証跡を取得する仕組みが必要です」と同社の佐々木 景太氏は語る。

　2つ目は、IT系ネットワーク環境で運用されている業務サーバーだ。こちらについては既にEDR（Endpoint Detection and Response）をはじめとするセキュリティー対策を施しているが、周りの製造業でもランサムウエアなどの被害が拡大しており、事業継続性のリスクへの追加対策として、より厳格な通信制御が求められていたという。

　そして3つ目が、IT系とOT系の2つのネットワークにまたがって運用されている開発機やデモ機だ。「後付けでのセキュリティー対策が困難、あるいはホストごとに実装可能なセキュリティー対策が異なるなど複雑な問題が発生するため、ここでもやはり個別の通信制御が必要となります」と佐々木氏は話す。

　そこで同社が目指したのが、ネットワーク分離である。「ネットワークセグメントを適切なエリアに分割して通信制御を行うことで、マルウエアのラテラルムーブメント（感染の横展開）などの被害拡大を防ぐことが期待できます。加えてネットワークが侵害された際の影響範囲を限定することができ、事業継続へ及ぼす影響を最小化できます」と佐々木氏はその理由を話す。

　しかし、この目的に沿ったネットワーク分離を行ったとしても、時代とともにネットワークの利用・運用形態がどんどん変化してゆき、あるべき姿との間に乖離が広がっていくのが現実だった。ネットワーク分離でまず思い浮かぶのは、ファイアウオールアプライアンスを要所に配置する方法だが、システム構築のコストが膨らむだけでなく、ネットワークの運用変化に追随していくためにも多大なコストと工数が発生してしまう。

　そうした中で出合ったのが、ソフトウエアによってマイクロセグメンテーションを実現する「Illumio」である。Illumioは物理サーバーや仮想サーバー、エンドポイント、クラウドまで、あらゆる環境にどこでも簡単に論理的なファイアウオールを設定して通信を制御できるのが特徴だ。

　設定も容易だ。ホストにエージェントをインストールまたはIPアドレスを登録するだけで済む。実際、同社は各サーバーおよび約200台のエンドポイントへのエージェントの展開をわずか4日間で完了し、これらのホストを通信制御の単位とするマイクロセグメンテーションの運用を開始している。

　そして現在はIllumioのもう1つの特徴である内部通信の可視化機能を活用。「通信状況をモニタリングしつつ、実現したいマイクロセグメンテーションの適切なルール設定を進めています」と佐々木氏は語る。

　まずは初期段階として必要最低限のセグメント区分けを採用。当初から抱えていた課題解決を図るとともに運用の安定性を確保することを優先した。その上でリスク評価に基づいて段階的にセキュリティーレベルの強化を図りながら、より精緻なマイクロセグメンテーションの設計・運用を実現していく計画だ。

　さらにその先では海外の小規模拠点へのIllumioの展開のほか、IllumioとSIEM（Security Information and Event Management）と連携させたセキュリティー監視の高度化なども見据えている。今後も同社は本来あるべきネットワーク分離を徹底するためのマイクロセグメンテーション戦略を深化させていく考えだ。

　人々の生活スタイルが変化した現在は、いつでも・どこでも行政サービスをオンラインで利用したいというニーズが高まっている。この状況を受けて横浜市は、「横浜DX戦略」を策定。「デジタル×デザイン」をコンセプトに、魅力ある都市づくりを目指している。

　この戦略は3つの柱で成り立っている。行政サービスや庁内システムのデジタル化を推進する「行政のDX」、町内会など地域コミュニティーのデジタル化を支援する「地域のDX」、そして街のサービスやインフラをデジタル技術で支える「都市のDX」だ。「横浜市は人口377万人で、規模が大きい分だけリスクも大きくなります。3つのDXを推進する上で、セキュリティー強化は欠かせません」と横浜市の福田 次郎氏は言う。

　福田氏は、これからのセキュリティー施策には、遵法性や社会的許容性に照らした職員の行動リスク（コンダクトリスク）の管理が重要だと述べている。情報セキュリティーの3要素である「機密性」「完全性」「可用性」に「倫理性」を加え、4要素を基にデジタルリスクに対応することが求められているという。

　オリンピックなど大規模イベント開催時にはNISCと協力してリスクアセスメントを実施し、サイバー攻撃の監視体制を強化。重大インシデントに備えてCSIRT体制も用意し、セキュリティーポリシーや管理規程も整備した。「職員一人ひとりが規則を守ることで、部署単位で高いセキュリティーレベルを維持します」と福田氏は紹介する。

　三層分離の庁内ネットワークも見直しを図った。クラウドサービスの利用拡大や働き方改革に対応するためだ。これまでLGWAN接続系にあった業務端末や業務システムをインターネット接続系に配置し、ゼロトラストモデルへの移行を進めている。

　さらにIoTのセキュリティーリスクにも備えている。「新庁舎では、空調や照明、監視カメラなどのIoT機器に対し、ネットワークの侵入防止や冗長性の確保、ファームウエアバージョンアップの事前検疫など様々な対策を行っています。上下水道、交通、ごみ処理などのインフラ設備におけるセキュリティー対策も重要です」と福田氏は語る。

　IoT製品のセキュリティー確保に向けて、IPAのセキュリティーラベリング制度「JC-STAR」が始まった。これは、IoT製品がセキュリティー要件を満たしているかを評価して、IPAが認定ラベルを付与する制度だ。今後、地方公共団体のセキュリティガイドラインに盛り込まれることが想定されているため、横浜市でも調達仕様での導入を検討しているという。

　セキュリティー教育にも力を入れている。例えば、フィッシングメール訓練は全職員を対象に実施。訓練を通じて、実際の攻撃への防御力向上とセキュリティー意識の浸透を図っているほか、職員向けのセキュリティー研修も毎月実施しているという。

　リテラシーの向上を促進するため、情報セキュリティー大学院大学（IISEC）への職員の派遣も行っている。これまでに11人を派遣し、卒業後はセキュリティー担当部署に配属している。こうした人材が中心となって、各種のセキュリティー施策を推進していく。

　「横浜市では地域のDX・都市のDXとして、デジタルを活用したスマートシティの実現にも取り組んでいます」と福田氏。一例が、横浜市旭区にある若葉台団地での取り組みだ。

　情報連携基盤をハブとして、利用者一人ひとりのプライバシーを守り情報許諾を得ながら、地域アプリ、遠隔医療相談、女性の就業支援、防災情報、モビリティ、コミュニティーなど様々なデジタルサービスを連携して提供している。「倫理性も考慮したセキュリティーと利便性が共存する、新しいスマートシティの姿を目指しています」と福田氏は述べる。

　横浜市では、環境技術やエネルギー問題に焦点を当てた世界的な博覧会である「GREEN EXPO」が2027年に開催される。この場を、日本のスマートシティの絶好のPRの場とするためにも、横浜市は今後も市民・行政が安心してデジタルサービスを利用できる環境整備を推進していく計画だ。

　デジタル化が加速し、金融サービスを取り巻く環境が変化する中、サイバー攻撃の脅威はますます深刻化している。総合金融グループのSMBCグループは、サイバーリスクを経営におけるトップリスクの1つとして定義し、継続的なサイバーセキュリティー対策強化を経営主導で進めている。

　同グループがサイバーセキュリティーの強化に向けて動き出したのは2011年頃だ。2012年には金融サービスに関連するサイバー脅威情報の収集・分析・共有を目的とした米国の業界団体FS-ISACに加盟。同時期にSMBCグループ-CSIRTも組成した。「2016年から順次、国内・欧米・アジア地域にそれぞれSOCを設置し、グローバルベースでの24時間365日監視体制を構築しています」と三井住友フィナンシャルグループの荒木 惟之氏は紹介する。

　2021年にはSMBCグループCyber Fusion Centerを設立。国内のセキュリティー機能と人材を集約し、管理体制の効率化と迅速なインシデント対応が可能な環境を整備した。

　またSMBCグループは、一連の取り組みやセキュリティーに対する姿勢を対外的に示すため、「サイバーセキュリティ経営宣言」を策定している。荒木氏も所属するサイバーセキュリティ統括部が中心となり、外部環境や経営戦略などを踏まえたセキュリティー管理に関する基本方針を定めたものだ。

　「対策推進を担う役割を明確化するため、グループCIO・CROの配下にグループCISOを設置しています。このグループCISOがグローバルの体制整備や各所の施策推進を監督・指導します。現在までに、グループ全体のセキュリティー要員は700人を超えています」と、荒木氏は紹介する。

　対応方針は、新たな脅威の動向やリスク評価の結果を踏まえながら、常に改善のPDCAサイクルを回している。具体的な取り組みの一例が、金融業界向けの国際的なフレームワークや金融庁ガイドラインなどを活用した「セキュリティアセスメント（第三者評価）」だ。

　「初めにリスク評価を行い、次にリスクに応じた体制や対策の成熟度を評価します。その後、評価結果を分析し、是正対応を繰り返していきます」と荒木氏は言う。

　加えて、SMBCグループ全体を対象とした脆弱性診断や、脅威ベースのペネトレーションテスト（TLPT）も実施している。いずれも、外部からの攻撃を想定したものはもちろん、侵入されたと仮定して実施する診断／テストも行うことで、網羅的なリスクの洗い出しに努めているという。

　セキュリティー人材の育成にも力を入れている。中でも力を入れているのが、中長期的なサイバーセキュリティー管理体制の維持を支える専門人材だ。キャリア採用を積極的に進めるとともに、有識者による集中トレーニングや国内外の大学院への派遣、セキュリティー資格の取得補助、海外拠点との人材交流など多面的な取り組みを展開している。

　「一口にサイバーセキュリティーといっても、様々な専門領域が存在します。メンバーのキャリア展望をしっかり支援するとともに、互いに切磋琢磨できる環境を構築することが、持続的な組織体制の整備には不可欠です」と荒木氏。サイバーセキュリティーは海外の企業・組織に学ぶことが非常に多いため、今後も積極的に海外との接点を持って連携していく予定だという。

　また、ビジネスの安全性をより高めるためには、セキュリティー担当者以外の一般社員も相応のリテラシーを身に付けることが肝心だ。そこでSMBCグループは、商品・サービスの企画担当者向けのセキュリティ・バイ・デザイン研修や従業員向けの啓発活動も実施。セキュリティー対策に意識的に取り組むカルチャーを醸成している。

　「私は、企業・組織のセキュリティー強化に向けて何より重要なのが、サイバーセキュリティーエンジニアが気持ちよく活躍できる環境があるかどうかだと考えています。その視点を忘れず、今後も様々な取り組みを実施していきます」と荒木氏は最後に語った。