変わりゆくITプラットフォーム、進むセキュリティ人材不足
標的型攻撃メール、マルウェア、Webサイト改ざんなどのセキュリティインシデントに対応する組織として、CSIRT(Computer Security Incident Response Team)を構築する企業が増えている。一方で、CSIRTを構築したもののうまく機能せず取り組みが形骸化してしまったケースや、属人化されてしまったため人員の配置換えなどがあった際にオペレーティングが再現できないなどの課題に直面するケースも散見される。そうした背景を受けて、CSIRTの必要性・構築方法・適切な運用について、事例を交えながら解説するセミナー「サイバー攻撃の被害を極小化するためのCSIRT構築・運用」が、2019年9月13日に都内で開催された。
そのうちの「深刻化する"セキュリティ人材不足"に立ち向かうサイバー攻撃への不安を解消する運用のヒント」と題する講演には、キヤノンマーケティングジャパン ゲートウェイセキュリティ技術開発部の石川 文也氏が登壇。喫緊の課題であるセキュリティ人材不足に悩む多くの企業に向けて、セキュリティ監視をアウトソーシングで解決するエンタープライズ向けセキュリティ機器監視サービス(SOC)について解説を行った。
-
キヤノンマーケティングジャパン株式会社
ゲートウェイセキュリティ技術開発部
石川 文也氏
2016年に経済産業省が発表した調査結果によると、2020年までに国内の情報セキュリティ人材は約20万人も不足すると予測している。その要因は以下の3つだ。
【要因2】セキュリティ脅威の変化
【要因3】国際イベントによる情勢の変化
石川氏は、この3つの要因について1つ1つ見解を述べていった。
【要因1】IT環境の変化
これまでのITプラットフォームの歴史を振り返ると、1980年代まで主流だったメインフレームを第一のプラットフォーム、その後のクライアントサーバーシステムを第二のプラットフォームと定義される。そして現在、第三のプラットフォームとしてデジタル・トランスフォーメーション(DX)がモバイル、ソーシャル、ビッグデータ、クラウドの4つの概念にもとづいて推し進められている。
IPAのIT人材白書によると、実に4割超の企業は『全社ITの企画に関する業務』および『情報セキュリティリスクの管理業務』が増えると予測している。IT化が進むことに比例してセキュリティリスクの管理業務量も増大するという見通しである。
石川氏は次のように強調した。「今後もITプラットフォームを構成する要素が爆発的に増えていくことで、必要となるIT業務も増大していくだろう。このような状況でセキュリティリスクに対応するには組織的な体制づくりが不可欠である。その際に、監視体制をどう組むのか、要員の教育をどうするのか、CSIRTやプライベートSOCをどうつくるのか、さらには何から始めたらいいのかわからない、などの悩みを多くの企業が抱えることになるだろう」
セキュリティリスクへの対応や体制づくりの課題の中で特に深刻なのが人材育成の難しさだ。必要となる知識やスキルが多く、育成や習得に時間とコストがかかるうえ、さらにネットワークやサーバーなどの知識と経験が求められる。加えて情報セキュリティを志望する人材はもともとそう多くはない。
【要因2】セキュリティ脅威の変化
セキュリティの脅威は時代を追って変化しているが、石川氏は『仮想通貨に関する脅威』『巧妙化する標的型攻撃』『狙われ続ける脆弱性』の3つを例に解説した。
○仮想通貨に関する脅威
近年、仮想通貨はサイバー攻撃者の間でダークウェブ上の取り引きに使われており、そこでは攻撃ツールやクレジットカード情報などの個人情報がやり取りされているという。
「ダークウェブも昔はコアな人間しかアクセスできなかったが、最近ではよりユーザーフレンドリーになっており、誰でも気軽にサイバー攻撃が可能になっている」と石川氏は説明した。
また、仮想通貨を獲得する脅威の1つとして挙げられるのが「クリプトジャッキング」である。これはWebサイトを改ざんしてコインマイナーを仕込み、ユーザーがそのWebサイトを閲覧している間、コンピューターリソースを勝手に用いてマイニングが行われる。そして計算量に応じた報酬が攻撃者のウォレットへと支払われてしまうのである。
「つまり攻撃者が、ユーザーのコンピューターリソースを盗用して金銭を得るという攻撃手法だ」(石川氏)
○巧妙化する標的型攻撃
標的型攻撃の脅威は2014年頃から叫ばれるようになったが、最近は「高度標的型攻撃(APT攻撃)」へと進化してきている。APTは「Advanced Persistent Threat(高度で持続的な脅威)」とされるとおり、特定の組織や個人をターゲットとして、さまざまな手法を用いて継続的に攻撃を行うサイバー攻撃である。主な目的は機密情報の窃取や重要情報の破壊にあることが多い。
標的型攻撃の1つとしてサプライチェーン攻撃が挙げられる。これはすでに強固なセキュリティを確立している政府機関や大企業ではなく、その取引先などセキュリティレベルの低そうな中小企業や個人商店や学校を踏み台にしてから、メインのターゲットを攻撃するという手法である。
「たとえ"うちはセキュリティ対策万全だから大丈夫"と思っていたとしても、関連会社や取引先などのセキュリティまで確認しないといけない時代になった」と石川氏は語った。
こうしたAPT攻撃に対抗すべく、これから増えていきそうなのが機械学習をベースにした防御手法である。しかし一方で機械学習のコストが下がっていけば、攻撃者もそうした技術が使えることになる。実際、近々の国際セキュリティカンファレンスにて、「端末のWebカメラを乗っ取って画像や音声の情報を取得し、機械学習によって標的を判定する」というようなマルウェアのコンセプトも発表されている。
「このような攻撃手法が現れてくれば、対策は非常に厄介だが、近い将来、確実に機械学習がバックグラウンドにあるマルウェアが登場してくるとみている」(石川氏)
○狙われ続ける脆弱性
脆弱性が攻撃の起点となることは言うまでもない。2019年上期のカテゴリ別インシデント件数の2位が脆弱性のスキャンとなっている。その脆弱性は売り買いできてしまうのが現実で、脆弱性を買い取る企業も出現している。一部の脆弱性では200万ドルという高値がついているという事実もある。
「脆弱性に関しては、当たり前のようにスキャンされ、売り買いまでされているので、情報システムを管理する立場であれば脆弱性情報等には特に気を配って対処を行わなければならない」と石川氏は注意を促した。
【要因3】国際イベントによる情勢の変化
東京オリンピック・パラリンピックを筆頭に、これから2020年にかけて日本国内では大規模なイベントが目白押しとなる。しかし過去の大規模な国際イベントは、必ずサイバー攻撃の標的となっている。たとえば2012年に開催されたロンドンオリンピックでは、公式サイトに対して2億件以上のサイバー攻撃が発生しており、電力供給システムを狙ったサイバー攻撃の企図も発覚している。また、2018年の平昌オリンピックの開会式に対するサイバー攻撃では、OlympicDestroyerというマルウェアが使われている。
石川氏はこう語った。「興味深いのは、このマルウェアには取得したファイルを外部に送付するような機能はなく、あくまでシステム障害を思わせるような挙動を取ることだ。当初は某国のハッカー集団がつくったとされていたが、実際は国同士の対立を煽るために第三者が企てたサイバーテロではないかともいわれている。つまり、ハクティビストやハッカー、愉快犯など、さまざまな人々がいろいろな思惑のもと攻撃をしかけるのが大規模な国際イベントの特徴といえる」
さらに、攻撃対象はイベント運営者には留まらない。スポンサー契約を結んでいる企業なども攻撃の対象になるため、イベントとつながりがあり、セキュリティの甘そうな組織が狙われる可能性がある。
「そのためイベント期間中はいつもにも増してセキュリティ体制を厚くする必要がある」(石川氏)
セキュリティリスク管理にはアウトソーシングの活用を
これまで石川氏が解説した3つの要因によって、当然ながらセキュリティ人材は不足していく一方になると予想される。ある調査によると、既に日本では87.8%もの企業が「自社のセキュリティ人材が不足している」と回答しているほどだ。しかし興味深いのは、アメリカやシンガポールで同様の回答を寄せた企業はわずか10%台でしかない点である。
その理由について石川氏は次のような見解を述べた。「人材が不足していないという理由として、アメリカではセキュリティ業務が標準化されていて役割分担が明確化しており、一方シンガポールでは自動化・省力化されていると回答している。結論としては、セキュリティリスク管理のすべてを自社で賄う必要はなく、自前で行う部分とアウトソーシングする部分を明確にするべきではないか」
このような見解のもと、キヤノンマーケティングジャパンでは2019年6月にセキュリティ機器監視サービス(SOCサービス)の取り扱いを開始した。セキュリティ機器監視サービスでは、顧客のもとに設置されたネットワーク監視装置のセキュリティログをエージェントサーバーに集約し、それをSOCに常駐するセキュリティエンジニアとログ分析システムが24時間365日リアルタイム監視し、ログを分析してレポートする。
「これに加え、主要なセキリティ機器メーカーの幅広いセキュリティ製品をサポートしているので、顧客ごとの環境に合わせたサービスを提供できる。また統計レポートや脅威情報の提供など、顧客目線のレポートをわかりやすいかたちで作成・提供しており、Webポータルでも状況を確認できる」と石川氏は強調した。
具体的にはファイアウォール、IPS機器、UTM、WAF、Proxy、ネットワーク監視装置からのログをエージェントサーバーで収集し、収集されたログをログ分析システムとセキュリティエンジニアが解析を行ってフィードバックを行う。
またたとえば、アウトバウンドとインバウンドの双方向の通信を監視している場合、ネットワークログから通常は発生しない不審な通信が出ていることを検知し、原因としてそれがセキュリティログからマルウェアによるC&Cサーバーの通信であることを割り出す、といったアプローチが可能になる。さらにオプションとなるアドバンスサービスでは、月次レポートをベースに報告会や脅威分析に関する解説、機器設定の見直し提案、対策のアドバイスなども実施している。
導入・運用までの流れは、「ヒアリング → 機器準備設定 → エージェント導入→ 試験運用→ 運用開始」と、至ってシンプルである。
「セキュリティリスク管理をすべて自社で抱えずにアウトソーシングを取り入れるべきである。キヤノンマーケティングジャパンがお役に立てると自負している。サイバー攻撃に対する不安や工数を少しでも軽減し、空いたリソースをDX推進に向けたIT戦略の策定へと振り向けることが望ましい」──こう石川氏は力説してこの日のセッションを締めくくった。
[PR]提供:キヤノンマーケティングジャパン