【マンガ付きコラム】
セキュリティインシデントへの対策と企業事例
不正アクセスやサイバー攻撃といったセキュリティインシデントは日々高度化・巧妙化し、IT環境の複雑化や人材不足などを理由に、十分なセキュリティ対策を施せていない企業が多く存在している。
本記事では、セキュリティインシデントの現状を踏まえ、企業で必要となるセキュリティ対策を紹介する。
不正アクセスやサイバー攻撃といったセキュリティインシデントは日々高度化・巧妙化し、IT環境の複雑化や人材不足などを理由に、十分なセキュリティ対策を施せていない企業が多く存在している。
本記事では、セキュリティインシデントの現状を踏まえ、企業で必要となるセキュリティ対策を紹介する。
セキュリティインシデントとは
セキュリティインシデントとは、コンピューターの利用や情報管理、情報システム運用に関してセキュリティ上の脅威となる事象全般のことである。
その手口は日々巧妙化しているため、企業は常に最新のセキュリティ対策を施さなければならない。しかしサイバー攻撃者はそれをも上回る新しい手口で次々と攻撃を仕掛けてきている。企業の情報システム部門としては、いつまでたっても「万全のセキュリティ対策を講じた」と言えない状況が続いているのが実情である。
セキュリティインシデントとして扱われる主な事象・事態
情報セキュリティを脅かす事件や事故、およびセキュリティ上好ましくない事象・事態の一例を以下にまとめる。
マルウェア感染
標的型攻撃に使われる手口で、具体的な方法は年々変化している。たとえば2017年には、システムをロックして金銭を要求する「ランサムウェア」が、2018年には仮想通貨を不正に発掘する「マイニングマルウェア」が流行した。
不正アクセス
自社のWebアプリケーションやECサイトなどに不正にアクセスし、顧客の個人情報といった企業が守るべき重要な情報を盗み取る手口。2015年に発生した日本年金機構における個人情報流出は、この手口で組織とその資産に大きな被害をもたらすことを示す顕著な例である。
情報機器や記録媒体の紛失、盗難
セキュリティインシデントは、マルウェア感染や不正アクセスなどのように外的要因以外でも発生する可能性がある。業務用の情報機器や記録媒体の紛失、盗難、重要なデータの外部持ち出しなど、人為的要因によってセキュリティインシデントが発生しうることも、十分念頭に置かなければならない。
セキュリティ対策の現状と事前対策
従来のように、起きた事象に対応するのみでは、企業のセキュリティを守ることはできない。ではどのようなセキュリティ対策を施せばよいのであろうか。
従来の「多層防御」から、「インターネット分離・無害化」へ
従来は、複数のセキュリティソリューションを多層的に組み合わせることで複数の脅威を検知可能にする「多層防御」が、セキュリティ対策の主流とされてきた。しかしながら、この方法では、新たな手口の攻撃が始まったら新たにセキュリティソリューションを導入しなければならない、というような弱点がある。
そのため、現在注目されているセキュリティソリューションは、あらゆるルートから侵入するウイルスを、エンドポイントから分離されたクラウド上で無害化する「インターネット分離・無害化」である。「すべてのコンテンツに悪意がある」と仮定して、Webやメール、ファイルを無害化してユーザーに提供する仕組みを、ユーザーの利便性を変えることなく実現できる点が特長的である。
セキュリティインシデントの発生前にできる対策
セキュリティソリューションを「多層防御」から「インターネット分離・無害化」に移行することの他に、どのような事前対策ができるか。代表的な3点を以下にまとめる。
狙われる資産が何かを見極める
サイバー攻撃者がなぜ自社を狙おうとしているのか。そう考えると、彼らが自社にあるどんな資産を狙いに攻撃を仕掛けようとしているのかを推察できる。狙われる資産を見極められれば、サイバー攻撃者がどのような行動をするのかを予測し、事前に対策を打ちやすくなる。
脅威の兆候を見極める
サイバー攻撃者は、実際に攻撃を仕掛ける前から企業に対して何らかの行動を起こしている。ターゲットを決めたサイバー攻撃者はまず、ターゲットに関する情報収集から始めるとされている。こうした兆候が少しでも見えた場合、近いうちに脅威にさらされるリスクがあると予見し、可能な限りの事前対策を打つべきである。ただ実際のところ、膨大なログのチェックと分析は、多忙な情報システム部門メンバーにおいては難しいことでもある。
人材配置や属人化している運用を見直す
現状では、情報システム部門メンバーの多くがシステム運用業務に割り当てられるうえ、高度な技術を理解しているメンバーが少ないために業務が属人化する傾向にある。
しかしこれからは、ICTを積極的に活用した新たなビジネスを創出すべく、デジタルトランスフォーメーション(DX)をはじめとする取り組みに人員を割り当てられるかどうかが、企業成長の鍵を握る。こうした時代の変化を見越し、情報システム部門メンバーの役割をいま一度見直す必要があるであろう。
セキュリティインシデント発生時にやるべきことをリストアップする
どれだけセキュリティ対策を施していても、セキュリティ被害に会う可能性はゼロとは言い切れない。万が一セキュリティインシデントが発生したとしても、速やかに復旧や原因調査、今後の対策を進められるよう、やるべきことをリストアップしておくとよい。リストアップすることは、セキュリティ対策担当の属人化を防ぎ、いつでも誰でも一定品質の対策を施すことができる環境作りの一環でもある。
セキュリティインシデント発生時を想定して訓練する
リストアップした内容が期待したとおりの成果を出せるのかの確認の機会として、セキュリティインシデント発生時を想定した訓練を実施する企業もある。情報システム部門のメンバー変更やシステム変更などの機会に、運用に慣れるためにも訓練をしておくとよい。
企業事例1:セキュリティルールを理解し、かつ日常的に標的型メール訓練を展開
NTTコミュニケーションズグループでは、eラーニングプラットフォームと独自の教材による全員対象の全社セキュリティ研修を毎年実施している。これを通じ社内外における最新のセキュリティ動向を捉えると同時に、セキュリティルールに関する社員各人の理解度を測定することを可能にしている。
また、日常的に予告なく、実際のメールを装った訓練メールが社員へ送られ、添付ファイルの開封やリンク先に遷移した場合はカウントされる。カウントされた社員は、訓練メールであったと気づいた場合においても、情報セキュリティ管理者へその旨を報告する義務を負う。さらにセキュリティ部門から原因についてのアンケート回答が求められ、結果は都度トップマネジメントに報告されるなど、リスクマネジメントのフレームワークにより、社員個人の力量に委ねるのではなく、全体としてセキュリティレベルを向上させている。一方で、攻撃者のセオリーにいち早く対処するためのセキュリティサービスに活かされている。
企業事例2:海外現地法人で日本水準のセキュリティ対策を実現
バンコクで2015年に開業した泰国三井住友信託銀行は、設立認可後1年半という短期間、かつ限られた人員で、日本水準のセキュリティや障害対策を有するIT環境を構築した。銀行としての本店機能を有するうえ、水害など自然災害にも対応できる高い水準を実現するために、同社はグローバル規模で一元化された窓口を提供する運用サービスを導入。各種機器の一元管理やワンストップでの運用管理サービスを受けながら、短期間でセキュリティ対策も含めたIT運用フローを確立している。
セキュリティインシデント発生時の対応
万が一セキュリティインシデントが発生してしまったら、情報漏洩による直接的・間接的被害を最小限に抑えるように動くべきです。具体的な手順は次のとおりである。
-
発見・報告
システムのチェックによりインシデントを発見した場合、担当者に連絡を取る。 -
初動対応
サイトを閉鎖する必要があるかどうか、利用者に被害が出る可能性がないかどうかなどを確認する。 -
調査
被害の状況を明らかにして、原因の分析を行う。 -
通知・報告・公表など
公表の必要がある内容だと明らかになった場合、通知・報告・公表の手続きを行う。 -
抑制措置と復旧
システムの状態を正常に戻し、同じようなインシデントが発生しないように対応する。 -
事後対応
原因の分析結果によって、セキュリティポリシーへの反映や再発防止策を講じる。
セキュリティインシデント対策には外部委託も有効
セキュリティインシデントの高度化・巧妙化に加え、企業の情報システム部ではICT環境の複雑化や人材不足、運用の属人化といった課題が挙がっている。そのため、システムの脆弱性対策が追いつかず、セキュリティインシデントが発生した時に適切な対応をとることが難しい可能性が高い。
そこで有効な解決策の一つとなるのが、システム運用の外部への委託である。NTT Comが提供する「トータルマネージドセキュリティ」では、端末からインターネット、そしてクラウドにいたる資産管理やエンドポイントのセキュリティ対応が可能だ。さらに、多言語ユーザーサポートでは、セキュリティオペレーターが24時間365日体制でインシデントハンドリングを行い、セキュリティサービスマネージャーと連携してセキュリティインシデントの未然防止や解決を図る。
より戦略的なICT環境を構築し、デジタルトランスフォーメーションを加速推進するためには、安定的なシステム基盤が重要だ。いま一度、自社のセキュリティ対策の見直しをおすすめする。