サイバー攻撃の手口はかつてないほど巧妙化している。日本でも大規模な攻撃が相次いでおり、企業のビジネス継続を脅かすまでになった。

しかし多くの企業は、いまだに境界防御の発想が根強いという。もはやサイバー攻撃を完全に防ぐことはできず、侵入時の検知と対処がポイントとなる。そうした状況を踏まえ、企業はどのようにセキュリティ対策の手を打つべきなのか。

内閣官房サイバーセキュリティセンター 副センター長を務めた、東海大学 情報通信学部長 三角育生教授と、クラウドストライク合同会社 スペシャリスト・セールス・マネージャー 藤岡正浩氏の対談を通じて、日本企業が押さえるべき「サイバーセキュリティの勘所」を紹介する。

東海大学 情報通信学部長 教授
三角 育生 氏

2012年より内閣サイバーセキュリティセンターに内閣参事官として勤務。内閣審議官・同センター副センター長や経済産業省大臣官房サイバーセキュリティ・情報化審議官兼内閣官房内閣サイバーセキュリティセンター内閣審議官兼内閣官房情報通信技術(IT)総合戦略室長代理(副政府CIO)を歴任。日本年金機構事件を含む重大なサイバーセキュリティ事象など、数々のインシデントレスポンスの指揮を執った経歴を持つ。2020年に退官後、2022年より現職。
  • 集合写真

    (左)東海大学情報通信学部長 教授 三角 育生氏
    (右)クラウドストライク合同会社 スペシャリスト・セールス・マネージャー 藤岡 正浩氏

日本のサイバーセキュリティの現状と対策の指針とは

藤岡氏:
政策立案やインシデントレスポンスの指揮などを長く担ってこられた三角先生に、攻撃の最新動向やサイバーセキュリティのあるべき姿について、お話を伺いたいと思います。よろしくお願いいたします。

三角氏:
だいぶ前のことになりますが、2015年、日本年金機構がサイバー攻撃を受け、大量の個人情報が流出してしまう事件が発生しました。この時、外部からの侵入を防ぐゲートウェイ対策だけでなく、システム内部の対策を強化しなければならないと痛感しました。

藤岡氏:
私もまったく同感です。毎日、多くの企業様とお話ししているなかで危機感を覚えるのが、いまだに境界防御の発想が根強いことですね。もはやサイバー攻撃を完全に防ぐことはできないので、侵入してきたときの検知と対処が重要なポイントと考えています。

三角氏:
従業員は本来の業務に専念しているので、サイバーセキュリティへの対応は専門ではありません。そして、侵入のテンポは早いため、その検知や対処のレスポンスは、できるだけ自動化することが重要です。そもそも「人が脆弱性を内包している」ということも経営層は理解する必要があります。

最近も顧客管理などを受託する組織において、ランサムウェアによる大きな事件がありましたが、過去の日本年金機構の事件と似たような状況が続いていると感じました。本来、個人情報などを扱うことが予定されていないサーバーに情報が移転していて、その情報を削除していなかったことが不正アクセスによる情報流出につながってしまうなどといった事例です。

  • (写真)三角教授が話している様子

    東海大学情報通信学部長 教授
    三角 育生氏

藤岡氏:
情報を持ち歩くことは盗むことに等しい、という情報リテラシー教育は重要ですね。ただ、それだけでもいけない。ひとつの対策だけで解決するようなことはありません。三角先生がおっしゃるように、自動化できるところは自動化して、社員教育もして、警備員も置いて、と複合的な取り組みが必要だと思っています。

いま改めて問い直す、企業における「セキュリティ人材」の役割

藤岡氏:
先ほど社員教育という話もありました。セキュリティ対策には自社内におけるセキュリティ人材の存在が不可欠ですが、その点、三角先生はどのようにお考えですか?

三角氏:
セキュリティのことだけを考えていると理想に走りがちですが、私は「セキュリティ原理主義者になるな」とよく言っています。複雑なセキュリティ手順はユーザビリティを阻害し、ビジネスの足かせにすらなってしまいます。

セキュリティの専門家ではなく、ビジネスとセキュリティの両方をバランス良く考えられる人材こそが、多くの企業にとって必要なセキュリティ人材であると考えています。

しかし、専門家なしに複数のセキュリティソリューションを万全に運用していくことは、難しいでしょう。自動化やマネージドサービスの重要性はここにあります

藤岡氏:
我々はセキュリティに特化した企業ですが、お客様には「使う側のプロ」になっていただきたいと思っています。資産運用の考え方と同じように、マネージドサービスを使うにしても、事前にしっかり調べて、信頼できるところに任せていただきたいです。

また、いまはAI技術がめまぐるしく発展しており、検知・対処の自動化においても精度はどんどん高くなっていますが、ちゃんと対応がされているかどうかを見極める必要があります。ChatGPTが間違った答えを出す際に、裏をとる必要があるのと同じですね。

企業の信用につながるセキュリティ対策の進め方

藤岡氏:
実際にセキュリティ対策を進めるにあたって、NIST(National Institute of Standards and Technology)やCIS(Center for Internet Security)の提唱するフレームワークが推奨されています。日本企業がこのすべてを実行しつづけることは、体力的に難しいと感じていますが、対策の仕方については、どのように考えていくべきなのでしょうか?

三角氏:
フレームワークはもちろん基本ではありますが、最終的には「自社がどんなビジネスをしていて、どのデータが最重要か」を把握し、企業自ら優先順位を付けていくことが不可欠です。

藤岡氏:
「このシステムが止まればビジネスに致命的なダメージを受ける」という部分をしっかりと洗い出し、そこは確実に守る。一方で、優先度を落としたところには、リスクがあることを認識しておく、ということですね。

三角氏:
そのためには経営層が「どこを守り、対策によりどこのリスクを低減するのか、どのような残存リスクを受容できるのか」を判断しなければいけません。

自動車でたとえるなら、運転性能を優先してそれに応じたブレーキを備えるのか、それとも安全運転を重視してそのためのプラクティスをしっかり行うのか。それは、舵取りする運転者が決めます。同様に、組織においては、舵取りする者である経営者の責務であり、現場のセキュリティ担当者が判断することではありません。一方で、現場はシステムなどの技術的事項をビジネス側に理解してもらうように伝える必要はあります

藤岡氏:
被害を受けたとき、対策していなかったがゆえに説明もできなければ、ステークホルダーに非常にネガティブな印象をもたらしてしまいます。リスクを受容するとしても、対策をとれないと諦めるのではなく、説明責任は果たせるようにしておかなければなりませんよね。

三角氏:
サイバーセキュリティに限らず、リスクマネジメントとしての基本的な考え方ですね。外部からの攻撃が無くとも、IT障害は起き得ます。「SIer任せでちょっと分かりません」ではなく、何か起きたときは、その原因や影響範囲、再発防止策などを明確に説明できるように体制を整備しておくことが、今の時代の必須要件です。

サイバーセキュリティに限っても、法律上のコンプライアンスリスクや、実際に被害を受けた際の損失リスク、さらには顧客対応におけるレピュテーションリスクなど、さまざまなリスクが存在します。最近はコンプライアンスが特に厳しくなっており、個人情報だけでなく、周辺情報も気をつけなければなりません。

いずれにせよ、会社全体のストラテジーや指針をもとに考えていくべきことです。

藤岡氏:
我々のようなベンダーの反省点としては、顧客企業の戦略を踏まえるのではなく、「ウイルスにはアンチウイルスソフト」など、セキュリティ製品をポイントソリューションとして販売しつづけてしまったことです。

こうしたポイントソリューションでそれぞれ対応するとなると、セキュリティコストを割けない問題などから、どうしてもリスクを受容しなくてはいけないことが増えてきます。

これまでベンダーは、いわゆるパッチ的なソリューションを提供することが多かったですが、EDRといった対策方法が出てきたように、もっと広く良く見ることができる技術が出てきました。

三角氏:
セキュリティ製品に限らず、刻々と新たなITツールが誕生しているわけですが、新たなITツールを使うとなると守備範囲もその分広くなります。それに伴って新たなセキュリティ対策を講じ対応できているかどうかがカギを握ると思います。

藤岡氏:
これからは、ポイントソリューションの考え方からシフトして、全体最適でセキュリティを捉える必要がありますね。

新時代のセキュリティプラットフォーム

藤岡氏:
そこで、私たちクラウドストライクはセキュリティプラットフォームのビジネスを展開し、「CrowdStrike Falcon®プラットフォーム」を提供しています。端末に入れるのは軽量のセンサーだけで、エンジンを含めたプラットフォームはすべてクラウド上にあります。

これまでのキーワードのひとつが「自動化」でしたが、エンドポイントからネットワーク、クラウドにいたるまでログが収集でき、それに基づいてさまざまな機能の自動実行が可能になります。

  • (写真)藤岡氏が話している様子

    クラウドストライク合同会社 スペシャリスト・セールス・マネージャー
    藤岡 正浩氏

三角氏:
日本年金機構の事件の経験から、何が起きているのか、必要な対応が日頃からとれているかなどについて、ダッシュボードのようにして見たいと考えていたことを思い出しました。翌2016年にアメリカに行った際、セキュリティリスクや脆弱性を「継続的」に監視・診断し、それを早期に検知・軽減する「CDM(Continuous Diagnostics and Mitigation)」を実施していることを目の当たりにして、これこそが必要だと感じましたね。

藤岡氏:
次に重要なのは、そのコンセプトをどう運用していくか、ですね。

三角氏:
24時間人を張り付かせることは困難ですからね。

藤岡氏:
我々のプラットフォームのなかには、サイバー攻撃の監視・検知・分析・対応を代行するマネージドSOC(Security Operation Center)や、セキュリティ運用業務を自動化するSOAR(Security Orchestration, Automation and Response)などもあります。

サイバーセキュリティにあたっては本当に多くの製品があるので、情報が分散し過ぎるとその分監視のスキルやSIerとのやり取りが増えると思います。そうした負担を可能な限り減らすためにも、サイバーセキュリティの拠り所をある程度共通化することは必要だと考えています。

三角氏:
そのように有用な仕組みを上手に活用し、任せるべきところは任せて、方針をしっかり決めていくことが、企業には今後必要でしょうね。

藤岡氏:
クラウドストライクは、「We Stop Breaches」を掲げる企業として、お客様を守るために存在しています。日本の企業には、決してセキュリティインシデントを起こしてほしくありません。そのために、これからも全力でサポートを続けていきたいと思います。

  • (写真)お二人が談笑されている様子

関連リンク

[PR]提供:クラウドストライク