ビジネス環境の悪化や慢性的な人手不足のなかで、セキュリティに対して人と予算がかけられなくなっている。一方、ITとビジネスの一体化が進むにつれ、セキュリティはますますその重要度を高めている。リソースと重要度の間にギャップが開きつつある中、企業はどのようなセキュリティ運用体制を築いていくべきか。セキュリティ運用センター(SOC)を提供し、年間1,000件以上のインシデント対応実績のあるセキュアワークスに話を聞いた。

セキュリティ事故を完全に防ぐのは不可能

十分な準備をしたつもりでも、セキュリティ事故は発生してしまう。日本を代表するような有名企業であっても例外ではない。2020年に入っても、数多くのセキュリティ事故が報道されている。

この理由の1つが "サイバー攻撃の高度化" であることは自明だろう。今日の攻撃者は、かつてのようないたずら目的の愉快犯ではない。金銭目的や機密情報の窃取など、 "ビジネス" として、積極的に投資を行い、組織的に攻撃を仕掛けてくる。企業が投じる人や予算よりも攻撃者が投じる人と予算のほうが多いということもけっして珍しくないのだ。

セキュアワークス 主席 上級セキュリティアドバイザーの古川 勝也 氏は、こうした事実を踏まえて「サイバー攻撃やセキュリティ事故を完全に防ぐのは現実として不可能です」と指摘する。ただ、同氏は、"不可能" の理由は先述の高度化だけが理由ではないと言及。年間1,000件以上のインシデント対応実績から、こう分析する。

セキュアワークス株式会社
マーケティング事業本部
主席上級セキュリティアドバイザー
古川 勝也 氏

「各社のインシデント対応やその原因を調査してみると、そもそもの "基本対策" ができていない企業が大半を占めていました。基本対策というのは、セキュリティポリシーの定義や運用ルールなど、その名の通りセキュリティ対策の基本となるものです。また、エンドポイントにどんな端末がありネットワークにどのようなデータが流れているかなどを把握する "可視化" や、事故が起こったときにログを追跡して対応するための "準備" が疎かなケースもかなり多くみてとれました。専任のセキュリティ部門を置いている企業であっても同じ傾向です。ここから、ある問題が浮き彫りになりました。ほとんどの企業は、基本的な体制づくりを困難にさせる、あるボトルネックを抱えているのです。」(古川 氏)

  • 全体の約8割の企業が "基本対策" に不足があったという。他にも、可視化については約5割が、準備については約7割の企業が、対策に不足があった。

基本的な体制づくりを困難にさせる要因

サイバー攻撃はたしかに高度化し、複雑化している。だが、基本対策、可視性、準備の3つにきちんと取り組めば、リスクは劇的に低減できると古川 氏。では、何がこれを難しくするのか。

同氏は「問題について説明するために、まず、どのようなアプローチで基本対策、可視化、準備を進めていくべきかをお話します。」と述べ、サイバー攻撃対策の要点を整理する。

「ポイントとなるのは、セキュリティ侵害発生後の対策に目を向けることです。究極的には、セキュリティ事故が起こることを前提とし、事故が起こったときの被害を最小限にしていくというアプローチになります。人と予算をかけても、あるいは高度化した攻撃を防ぐためのポイントソリューションを導入しても、今述べたアプローチ無しにはうまく機能しません。」(古川 氏)

続けて古川 氏は、具体的な対策として、セキュアワークスは以下の6つの実践を推奨していると説明。

セキュアワークスの推奨事項
(1) 多要素認証の実装(MFA)
(2) 可視性の向上とログ機能の強化
(3) エンドポイント検出機能の実装
(4) インシデント対応準備の改善とテスト
(5) セキュリティの警戒とポリシーに関するユーザーのトレーニング(サイバー衛生)
(6) ガバナンスのフレームワークの選択

(2)(3)の可視化にかかわる取り組みや(4)(5)の「準備」にかかわる取り組みを進め、基本対策であるセキュリティポリシー、運用ルールを定義する。そして、実際の運用とその結果を分析する。こうしたPDCAによって、基本対策が強化されていくわけだ。

ただ、こうした取り組みは、実運用で大きな問題に直面することとなる。古川 氏は、この問題が "基本的な体制づくりを困難にさせる要因" だとし、次のように説明する。

「一般的なセキュリティ運用の仕事は、脅威の判定、脅威の調査、意思決定、対応という4つのステップで構成されます。この中で意思決定は、もっとも管理者がリソースを費やすべき事項となります。意思決定の正確性や迅速さが、被害を最小限に食い止めることや基本対策の強化に直結するからです。ただ、実状は違います。意思決定の前段にある脅威の判定と調査に多大な時間と手間をかけざるをえないために、運用者は意思決定に手が回せないのです。」(古川 氏)

運用を部分的にアウトソースしてセキュリティ運用のリソースを最適化する

どうして脅威の判定と調査に手間や時間がとられるのか。一例として、セキュリティ製品が出力するアラートが多すぎるという問題がある。

脅威に対抗しようとして新たなソリューションを導入すると、その製品が出すアラートを見る必要がでてくる。例えば、エンドポイント検出機能を実装するためにEDR(エンドポイントでの脅威検知と対応)ソリューションを導入したとしよう。ソリューション導入により、見るべきアラートの数は一気に増える。その結果、判定すべきことが多すぎて対処しきれない、判定基準がバラバラで判定漏れが起きるといった事態が生じるわけだ。

「クラウドの普及、テレワークの浸透を受けて、ゼロトラストネットワークの実現が必至となってきています。ただ、そこではファイアーウォールの外の通信、デバイス、ユーザーまで見なくてはなりません。監視対象は膨大に広がります。判定・調査すべき対象は、数を増す一方なのです。」古川 氏はこう述べ、もはや社内のリソースだけで運用することが困難な時代に差し掛かっていると漏らす。そこで同氏が提案するのが、運用の部分的なアウトソースだ。意思決定に運用者が注力できるよう、外部サービスを活用してセキュリティ運用のリソースを最適化するのである。

  • 脅威の判定と調査にリソースの大半が費やされるために、現状のままでは意思決定に手を回すことができない。右図の形へと、社内リソースの振り分けを最適化していく必要がある。

外部リソースは、意思決定を助長する手法として活用すべき

アウトソースと聞くと、"作業の外出し" という印象を持つかもしれない。しかし、ことセキュリティにおいては別の認識を持つべきだ。"脅威の判定と調査の委託" ではなく、"スムーズな意思決定の支援" として、アウトソースの活用を検討する必要がある

「セキュリティポリシーの定義、運用ルールの策定を外部にゆだねるケースがありますが、それは間違いです。何が守るべきものなのか。それは自社しか判断できません。ベンダーは解を持っていないのです。したがって、セキュリティのアウトソースは、作業の外出しではなく意思決定を助長するために活用すべきです。」古川 氏はこのように述べ、同社のソリューションについて説明する。

セキュアワークスはSOCの運用で知られるが、既述した意思決定を支援するさまざまなサービスもあわせて提供している。まずマネージド・セキュリティ・サービスによって、アラートの過多によって現場が回らなくなっているという課題を解消し、企業自身によるスムーズな意思決定を支援する。さらに、「不測事態の現況と対応状況を知る」ためのアセスメントサービスやコンサルティングサービス、「不測事態に気づく」ためのセキュリティ監視・ログ監視・分析サービス、「不測の事態を知り判断する」ためのインシデント管理サービス、「不測事態に対応する」ためのセキュリティ侵害対応やインシデント対応サービスなどを提供し、基本対策、可視性、準備の水準を引き上げるためのサポートを行う。

「この中でインシデント管理は、近年多くの企業で課題意識が高まっています。多くの企業は、インシデント管理を "起こった後の対応" と思われていますが、実際には起こったときにスムーズに対応するための準備が重要です。当社はインシデント管理リテーナー(IMR)と呼ばれるサービスで、この準備を支援します。」(古川 氏)

  • セキュアワークスは、意思決定に費やすことのできるリソースの確保 (左)と、各種コンサルティングによる意思決定自体のサポート(右)を提供する。

  • IMRを利用すると、インシデント対応計画(CSIRP)策定支援やインシデント対応手順(Playbook)策定支援、机上訓練、初動対応トレーニングなどを受けることができる。

*  *  *

経済産業省が2016年に報告したIT人材に関する調査では、今年2020年に情報セキュリティ人材が19万3000人不足すると予想した。セキュリティに対しては、ますます人を投入することが困難になっている。こうした中では、内部リソースだけでなく外部サービスも活用して、基本対策、可視化、準備を中心としたセキュリティのあり方を模索していくことが求められるだろう。

[PR]提供:セキュアワークス