企業のIT部門にはスタンスの変更が求められている
3月12日、「従来型では通用しない新たな脅威にどう対応すべきか? 急増する道なる脅威への対策と処方箋」と題したセミナーが開催された。企業の情報を守るためにどういったセキュリティ対策を行うべきなのか、最新の脅威動向とそれに対抗するための対応策を各分野のエキスパートが語るセミナーだ。
冒頭にはアイ・ティ・アールのシニア・アナリストである舘野真人氏による「サイバー攻撃時代のIT部門の役割」と題した基調講演が行われた。
舘野氏はJNSAが発表した2012年のセキュリティ10大ニュースの中で、企業が外部から攻撃されるタイプのものが7件あることを指摘。以前と比べて企業が攻撃される機会が増えている今、企業のIT部門はスタンスの変更を求められているという。内部の人間がきちんとルールを守っていても攻撃される状態であり、政府等のガイドラインに従っていれば被害が防げるというものでもない今、従来型のセキュリティや考え方では対応しきれない状態になっているからだ。
「インシデントが発生しなかった、ウイルス感染数がゼロだったというような何もないことをよしとする事なかれ主義から、インシデントが発生した場合にダメージを最小限にすることを考える形に転換すべきだ。これまでのセキュリティはこれだけ対策をしているということを示すための対策が多かったが、外部の脅威が増してくると実害が出る。金銭や情報をどう守るかを考えなければならない。被害をいかに食い止めていくかがこれからのセキュリティの中心的課題になるだろう」と舘野氏は語った。
意識変革と技術導入で捜査能力を保持せよ
すでに大企業を中心にサイバー攻撃への対応は経営課題の中でも優先度が高くなっており、IT予算の中でもリスク対策費用にかける割合は伸びている。国内企業におけるセキュリティ被害状況の調査では多くの被害が出ているというほどの結果が出ていないが、標的型攻撃等の場合は攻撃を検知できていないという可能性も高い。
「標的型攻撃は全体で見ると8.3%が経験しているが、会員制ウェブサイトを持つ企業だけに絞ると10%以上が被害に遭っている。攻撃する側も情報を持っている企業を対象にするため、会社の属性や事業タイプによってリスクはかなり違ってくる。そのため、サイバー攻撃はけして対岸の火事とはいえないのではないか」と舘野氏は指摘している。
攻撃目的は多様化しているが、愉快犯的なものよりも業務停止や金銭窃取を目的としたものが増えている傾向があるという。世界的にもサイバー紛争は熾烈化しており、攻撃内容から類推される犯人像もかなり高度な技術を持っている人になってきている。さらにランサムウェアの被害拡大や、モバイル向け攻撃の拡大といったものも今後予想される。
そうした中、IT部門に求められる捜査力とは警察的なものだという。「警察でいえば内偵、捜査、防犯という機能があるが、IT部門の中でもそういったものを強化すべきだ。内偵にあたるのは情報収集力の強化。ネットワークトラフィックの可視化や脅威情報の収集をすべきだ。捜査にあたるのは検知・分析力。アプリケーションレベルでの脅威検知技術を採用し、ログ分析環境も整備したい。防犯にあたるのは社内マーケティングの強化だろう。セキュリティポリシーの見直しやサイバー攻撃を想定した訓練・教育の実施を行わなければならない」と舘野氏は語った。
特に最新の技術については積極的に採用すべきだという。「頑張って防ぐというのはもうムリ。頑張る、注意する、気をつけるということはこれからのサイバー攻撃には無意味。できる限り自動化すべきだろう。自動化した上で分析する力が必要ではあるが、インフラを守るための技術はこれから必要になる」と舘野氏は指摘している。
人材育成も業界全体の大きな課題
脅威への対応として有効だとされる多層防御については、何から手をつけるべきか戸惑っている企業が参考にすべきものとしてオーストラリア政府が公表した「35の緩和策」が紹介された。
「優先度が高い順に並べたもので、1番はクライアントアプリケーションのパッチ適用。こういった基礎的なものは非常に重要だ。上位4つをやれば75%くらい緩和できると言われている。100%にはならないが、ひとつの参考としてお金をかけずに自社でやれることを見つけて行くとよいのではないか」と舘野氏は語った。
最後に指摘されたのは、人材育成の必要性だ。組織的な対策はかなりなされており、セキュリティ対策部門を設置しているという企業は67%ある。しかし、その下に実際にどういうスキルを持つスタッフがいるのかまで追求すると、セキュリティ系の資格をきちんと持っている人材がいるという企業は非常に少ないという。
「5年前と比べると組織的な対策はかなり進んでいる。あとは、どう人材を育てて行くかの問題。これが業界全体の課題だ。少ない人材を補うために外部のオペレーションセンターを使うという方法も出てきているが、私としてはそれを使う前に自社のセキュリティに関する考え方をもう一度見直して欲しいと考えている」と舘野氏は語った。
現在、企業のセキュリティ管理者の活動は自社の競争優位性や事業継続性に直結するものとなっている。脅威に対応するためには捜査能力が求められており、それを獲得するためには適切な技術の導入とともに人材の育成が不可欠だと舘野氏は強調した。