自社のセキュリティ対策は大丈夫？
巧妙化する見えざるサイバー攻撃への対策最前線

不正アクセスやサイバー攻撃といったセキュリティインシデントは日々高度化・巧妙化し、IT環境の複雑化や人材不足などを理由に、十分なセキュリティ対策を施せていない企業が多く存在している。
本記事では、セキュリティインシデントの現状を踏まえ、企業で必要となるセキュリティ対策を紹介する。

う～んう～んセキュリティ対策なんてしなくてもいいよ　十分なセキュリティ対策を施せていない企業なんてたくさんあるんだし　そ、そうかな？ちょっと待って！セキュリティインシデントは日々巧妙化しているわ　企業は常に最新のセキュリティ対策が必要です！セキュリティインシデント？コンピューターの利用や情報管理情報システム運用に関してセキュリティの脅威となる事象全般のことよ。ほほぅ

セキュリティインシデントの1つのマルウェアは毎年新しい手口で攻撃をしてくるの！情報漏洩は法的な罰則だけでなく社会的信頼を失うことになるのよ！怖い怖い　怖いものは見なければいいよ　無視しちゃえ　怖がっていてはいけません　何言ってるんだちゃんとセキュリティ対策はやってるよな。もっもちろん！それはこれまでのセキュリティ対策でしょ？これまでの？

これまでは複数のセキュリティソリューションを組み合わせることでそれぞれの脅威を検知してそれぞれ個別にセキュリティ対策を行うのが主流でした。それじゃあダメなのか？その話はもういいよ。その手法だけと次々に新しいセキュリティソリューションを導入し続けなければならないでしょ？いらんこと言うなっ！さらに問題が発生した場合にどのように対応するか社内で準備をしなていない会社も多いのよね　最近のセキュリティインシデントの対策方法をご存知ですか？聞かなくていいっ。詳しく聞かせてくれ。すべてのコンテンツに悪意があると仮定しあらゆるルートから侵入するウイルスをクラウド上で無害化するう手法だとユーザーの利便性を変えずに対応できると注目を浴びてるの。すごいじゃないか

よし　早速それを導入しよう　これで安心だ。安心しちゃだめよ　どれだけセキュリティ対策を施していてもセキュリティ被害にある可能性はゼロではないの。そんな…ムダな努力はやめておけって。実はシステム運用をセキュリティのプロに委託する外部委託も有効な手段のひとつよ。え。それがNTT Comが提供するトータルマネージドセキュリティです。詳しく教えてくれっ。それは起きて自分で調べなさい。調べなくていいっ。トータルマネージドセキュリティ…

セキュリティインシデントとは
セキュリティ対策の現状と事前対策
セキュリティインシデントが起きてしまったら
まとめ：これからの企業に求められるセキュリティ対策

セキュリティインシデントとは

セキュリティインシデントとは、コンピューターの利用や情報管理、情報システム運用に関してセキュリティ上の脅威となる事象全般のことである。

その手口は日々巧妙化しているため、企業は常に最新のセキュリティ対策を施さなければならない。しかしサイバー攻撃者はそれをも上回る新しい手口で次々と攻撃を仕掛けてきている。企業の情報システム部門としては、いつまでたっても「万全のセキュリティ対策を講じた」と言えない状況が続いているのが実情である。

セキュリティインシデントとして扱われる主な事象・事態

情報セキュリティを脅かす事件や事故、およびセキュリティ上好ましくない事象・事態の一例を以下にまとめる。

マルウェア感染: 標的型攻撃に使われる手口で、具体的な方法は年々変化している。たとえば2017年には、システムをロックして金銭を要求する「ランサムウェア」が、2018年には仮想通貨を不正に発掘する「マイニングマルウェア」が流行した。
不正アクセス: 自社のWebアプリケーションやECサイトなどに不正にアクセスし、顧客の個人情報といった企業が守るべき重要な情報を盗み取る手口。2015年に発生した日本年金機構における個人情報流出は、この手口で組織とその資産に大きな被害をもたらすことを示す顕著な例である。
情報機器や記録媒体の紛失、盗難: セキュリティインシデントは、マルウェア感染や不正アクセスなどのように外的要因以外でも発生する可能性がある。業務用の情報機器や記録媒体の紛失、盗難、重要なデータの外部持ち出しなど、人為的要因によってセキュリティインシデントが発生しうることも、十分念頭に置かなければならない。

セキュリティ対策の現状と事前対策

従来のように、起きた事象に対応するのみでは、企業のセキュリティを守ることはできない。ではどのようなセキュリティ対策を施せばよいのであろうか。

従来のセキュリティ対策の課題と、いま必要なセキュリティソリューション

従来は、複数のセキュリティソリューションを多層的に組み合わせることで複数の脅威を検知可能にする「多層防御」が、セキュリティ対策の主流とされてきた。しかしながら、この方法では、新たな手口の攻撃が始まったら新たにセキュリティソリューションを導入しなければならない、というような弱点がある。

そのため、現在注目されているセキュリティソリューションは、あらゆるルートから侵入するウイルスを、エンドポイントから分離されたクラウド上で無害化する「インターネット分離・無害化」である。「すべてのコンテンツに悪意がある」と仮定して、Webやメール、ファイルを無害化してユーザーに提供する仕組みを、ユーザーの利便性を変えることなく実現できる点が特長的である。

セキュリティインシデントの発生前にできる対策

セキュリティソリューションを「多層防御」から「インターネット分離・無害化」に移行することの他に、どのような事前対策ができるか。代表的な3点を以下にまとめる。

狙われる資産が何かを見極める

サイバー攻撃者がなぜ自社を狙おうとしているのか。そう考えると、彼らが自社にあるどんな資産を狙いに攻撃を仕掛けようとしているのかを推察できる。狙われる資産を見極められれば、サイバー攻撃者がどのような行動をするのかを予測し、事前に対策を打ちやすくなる。

脅威の兆候を見極める

サイバー攻撃者は、実際に攻撃を仕掛ける前から企業に対して何らかの行動を起こしている。ターゲットを決めたサイバー攻撃者はまず、ターゲットに関する情報収集から始めるとされている。こうした兆候が少しでも見えた場合、近いうちに脅威にさらされるリスクがあると予見し、可能な限りの事前対策を打つべきである。ただ実際のところ、膨大なログのチェックと分析は、多忙な情報システム部門メンバーにおいては難しいことでもある。

人材配置や属人化している運用を見直す

現状では、情報システム部門メンバーの多くがシステム運用業務に割り当てられるうえ、高度な技術を理解しているメンバーが少ないために業務が属人化する傾向にある。

しかしこれからは、ICTを積極的に活用した新たなビジネスを創出すべく、デジタルトランスフォーメーション(DX)をはじめとする取り組みに人員を割り当てられるかどうかが、企業成長の鍵を握る。こうした時代の変化を見越し、情報システム部門メンバーの役割をいま一度見直す必要があるであろう。

セキュリティインシデント発生時にやるべきことをリストアップする

どれだけセキュリティ対策を施していても、セキュリティ被害に会う可能性はゼロとは言い切れない。万が一セキュリティインシデントが発生したとしても、速やかに復旧や原因調査、今後の対策を進められるよう、やるべきことをリストアップしておくとよい。リストアップすることは、セキュリティ対策担当の属人化を防ぎ、いつでも誰でも一定品質の対策を施すことができる環境作りの一環でもある。

セキュリティインシデント発生時を想定して訓練する

リストアップした内容が期待したとおりの成果を出せるのかの確認の機会として、セキュリティインシデント発生時を想定した訓練を実施する企業もある。情報システム部門のメンバー変更やシステム変更などの機会に、運用に慣れるためにも訓練をしておくとよい。

企業事例1：セキュリティルールを理解し、かつ日常的に標的型メール訓練を展開

ＮＴＴコミュニケーションズグループでは、eラーニングプラットフォームと独自の教材による全員対象の全社セキュリティ研修を毎年実施している。これを通じ社内外における最新のセキュリティ動向を捉えると同時に、セキュリティルールに関する社員各人の理解度を測定することを可能にしている。

また、日常的に予告なく、実際のメールを装った訓練メールが社員へ送られ、添付ファイルの開封やリンク先に遷移した場合はカウントされる。カウントされた社員は、訓練メールであったと気づいた場合においても、情報セキュリティ管理者へその旨を報告する義務を負う。さらにセキュリティ部門から原因についてのアンケート回答が求められ、結果は都度トップマネジメントに報告されるなど、リスクマネジメントのフレームワークにより、社員個人の力量に委ねるのではなく、全体としてセキュリティレベルを向上させている。一方で、攻撃者のセオリーにいち早く対処するためのセキュリティサービスに活かされている。

企業事例2：海外現地法人で日本水準のセキュリティ対策を実現

バンコクで2015年に開業した泰国三井住友信託銀行は、設立認可後1年半という短期間、かつ限られた人員で、日本水準のセキュリティや障害対策を有するIT環境を構築した。銀行としての本店機能を有するうえ、水害など自然災害にも対応できる高い水準を実現するために、同社はグローバル規模で一元化された窓口を提供する運用サービスを導入。各種機器の一元管理やワンストップでの運用管理サービスを受けながら、短期間でセキュリティ対策も含めたIT運用フローを確立している。

「泰国三井住友信託銀行」導入事例はこちら

セキュリティインシデントが起きてしまったら

万が一セキュリティインシデントが発生してしまったら、情報漏洩による直接的・間接的被害を最小限に抑えるように動くべきです。具体的な手順は次のとおりである。

発見・報告
システムのチェックによりインシデントを発見した場合、担当者に連絡を取る。
初動対応
サイトを閉鎖する必要があるかどうか、利用者に被害が出る可能性がないかどうかなどを確認する。
調査
被害の状況を明らかにして、原因の分析を行う。
通知・報告・公表など
公表の必要がある内容だと明らかになった場合、通知・報告・公表の手続きを行う。
抑制措置と復旧
システムの状態を正常に戻し、同じようなインシデントが発生しないように対応する。
事後対応
原因の分析結果によって、セキュリティポリシーへの反映や再発防止策を講じる。

まとめ：これからの企業に求められるセキュリティ対策

セキュリティインシデントの高度化・巧妙化に加え、企業の情報システム部ではICT環境の複雑化や人材不足、運用の属人化といった課題が挙がっている。そのため、システムの脆弱性対策が追いつかず、セキュリティインシデントが発生した時に適切な対応をとることが難しい可能性が高い。

そこで有効な解決策の一つとなるのが、システム運用の外部への委託である。NTT Comが提供する「トータルマネージドセキュリティ」では、端末からインターネット、そしてクラウドにいたる資産管理やエンドポイントのセキュリティ対応が可能だ。さらに、多言語ユーザーサポートでは、セキュリティオペレーターが24時間365日体制でインシデントハンドリングを行い、セキュリティサービスマネージャーと連携してセキュリティインシデントの未然防止や解決を図る｡

より戦略的なICT環境を構築し、デジタルトランスフォーメーションを加速推進するためには、安定的なシステム基盤が重要だ。いま一度、自社のセキュリティ対策の見直しをおすすめする。