9月27日から29日まで、東京都内でセキュリティ関連のカンファレンス「Security Days Tokyo」が開催された。同カンファレンスでは、ANAシステムズ 品質・セキュリティ監理室 ANAグループ情報セキュリティセンター ASY-CSIRT エグゼクティブマネージャーを務める阿部恭一氏が、「重要インフラの情報セキュリティ対策~情報共有体制、障害対応体制、防護基盤~」というタイトルの下、講演を行った。
日本国内のほか、世界42都市に就航するANAグループのITインフラはどのようにして、守られているのだろうか。阿部氏の講演から重要インフラを提供する企業が考える情報セキュリティ対策の在り方を明らかにしてみたい。
「情報共有の体制の強化」に重要なことは?
日本シーサート協議会に所属し、CSIRT(Computer Security Incident Response Team)の啓発活動を推進する阿部氏は、セキュリティ業界において著名人である。
阿部氏は、内閣官房内閣サイバーセキュリティセンター(NISC)が発表した「重要インフラの情報セキュリティ対策に係る第4次行動計画(案)」で示されている5つの施策のうち、「情報共有体制の強化」「障害対応体制の強化」「防御基盤の強化」について、説明した。
まず、「情報共有体制の強化」については、下図のように、情報を「予防に役立つ情報」「インシデント発生時に役立つ情報」「経営陣への説明、自社のベンチマークとして役立つ情報」に分類した上で、さらに「共有が難しい情報」「(市場に出てこない)インテリジェンス」「自動化・機械化できる情報」に分けて示した。
阿部氏は、それぞれの情報には、「鮮度」「どう活用するか」「信頼関係」というパラメーターがあると語った。鮮度とは、情報のフレッシュさでを意味する。予防として内容の確実性よりも即時対応が必要な場合は早期情報として1次情報を、対応内容の再確認や点検を目的とし、確実性を重視した対応が必要な場合は公的機関などが発表する2次情報を利用すべきとのことだ。
「活用」については、受け取る側のレベルに応じて、要・不要も含めて、伝えないと意味がないという。
信頼関係について、阿部氏は「情報共有のために不可欠なもの」とし、信頼関係を築くために必要なものとして「平常時のコミュニケーション」「ギブ&テイク」「共有の利害関係」「情報発信力」「Face to Faceの付き合い」を挙げた。
情報共有のレイヤーは共有の目的や内容によって異なり、日本シーサート協議会では3層に定義していることが紹介された。
「障害対応体制の強化」に向けて必要なこと
阿部氏は、2つ目の施策「障害対応体制の強化」について説明する前提として、ANAグループのすべての危機に対応するための基本方針「Crisis Management Manual(以下、CMM)」を紹介した。CMMでは、自然災害、テロ、感染症の拡大といった事象に対し、危機レベルの判断基準、危機対応体制と対策本部の設置、危機対応の実施内容などが定められており、ITシステムのセキュリティもここに含まれる。
ANAグループの情報セキュリティセンターでは、人的分野、情報システム分野に分けて、スコープを分けている。続けて、阿部氏は、システム障害時、セキュリティインシデント発生時の障害対策本部を紹介した。重大なセキュリティインシデントが発生した時は、「ASY-CSIRT」と障害対策本部が連携して、障害復旧に努めるという。
ANAグループのCSIRTでは、「脆弱性情報を入手した場合」「DoS、DDoSなどのサービス妨害を受けた場合」などの8種類のケースを想定して、実際に訓練を行っているという。
また阿部氏は、障害対応体制を強化する上で、リスクアセスメントが重要であり、それには資産管理がきちんと行われている必要があると指摘した。加えて、インテリジェンスの利用にも触れた。
インテリジェンスを利用する目的としては、「攻撃キャンペーンなどの動向を監視し、ターゲットや攻撃手法を入手することにより、防衛体制を整備する」「規模に発生しているサイバー攻撃の内容を分析し、自社に降りかからないように防衛体制を整備する」「アンダーグラウンドに流通している自社に関する情報を入手して、それらを悪用した攻撃に対抗する防衛策を整える」の3つがある。
「防御基盤の強化」はSoCの自動化・効率化が必須
「防御基盤の強化」においては、セキュリティオペレーションの自動化・効率化がカギとなる。これを行わないと、セキュリティオペレーションセンター(Security Operation Center:SoC)は疲弊してしまうという。阿部氏は自動化できる情報として、各種インディケーター情報の対応や脆弱性関連の情報を挙げた。
単純作業を自動化した結果、SoCには、共有された情報やインテリジェンスを活用することで、高度な攻撃に対する高度な分析に専念させることが可能になる。
阿部氏はインテリジェンスを活用する上での課題として、「米国やEUに関する情報は多いが、アジアの情報は乏しい。また、データを集めることは可能だが、そこから先の"人による分析"が今後の課題。分析内容は、ベンダーによって差が出てしまう」と話した。
また、取得したインテリジェンスは経営層にも共有することが重要となる。これにより、経営者との信頼関係も良好になり、必要な対策に対して、経営判断が早くなるという。
阿部氏は、人材育成においては「セキュリティ専門ではない一般企業だからこそ、セキュリティ担当の「評価とスキルパスが重要」と述べた。
ANAグループでは、役割とスキルを掛け合わせて、セキュリティ人材のモデルを設定している。加えて、ジョブローテーションも踏まえ、社内の人事制度とのすり合わせも必要だという。
飛行機という重要インフラを担うANAグループだけあって、重厚かつ堅牢な体制が構築されており、一朝一夕で真似できるものではないだろう。しかし昨今、セキュリティ人材の不足は深刻であり、人材育成については特に力を入れたいところだ。参考になる部分から取り入れていくことで、情報セキュリティのための体制の強化を図っていかれてはいかがだろうか。