「より安全なWebサイト」が生みだす社会的な価値と意義 - サイバー攻撃の傾向と対策セミナーレポート

サイバーセキュリティ対策にどのように取り組むか?

続いて、SCSKで基盤インテグレーション事業本部グローバルセキュリティソリューション部サイバーセキュリティソリューション課の玉木誠氏が登壇し、企業がサイバーセキュリティを高めるための取り組み方について紹介した。

玉木氏は、情報システムのセキュリティ確保が重要になっている背景として「情報システムへの依存の拡大」「さらされている脅威の変化」「攻撃者の変化」の3つの変化を挙げた。

一つ目の変化「情報システムへの依存の拡大」は、Webを経由した商取引の拡大や、ビジネス上の情報交換機会が拡大していることが挙げられる。例えば、個人消費者においては、スマートデバイスの普及や、それを通じた購買行動、他社とのコミュニケーションなどが進展しているといった状況がある。こういった、人々の生活に関連するあらゆる情報が、ネットを通じてやり取りされ、システムがその基盤となっているという意味で依存が高まっていると言える。

二つ目の変化「さらされている脅威の変化」は、サイバー攻撃のような「外部からの脅威」が非常に多発していることが挙げられる。最近では、組織の情報管理不備以外でのサイバー攻撃による情報漏えいが多発している。あるセキュリティ監視会社の報告書では、データ漏えい/侵害事件の約8割が外部者による攻撃によるものと報告されている。

さらに三つ目の変化「攻撃者の変化」は、攻撃者の目的が変化していることが挙げられる。かつて「自己顕示」や「愉快犯」的な動機で攻撃を行っていた攻撃者は、近年では経済的、政治的な「明確な目的」を持ってサイバー攻撃を行うようになってきている。実際の侵害事件としても、クレジットカード情報や機密情報の窃取などが行われるようになっている。

これら、システムへの依存が高まるのと合わせ、脅威の質や、攻撃者の目的の変化により、システムのセキュリティリスクは高まっており、その対策が求められてはいるものの、「どこからやるか(優先順位)」「どこまでやるか(メリハリを付けた対策)」「何をやるか(有効性のある対策)」については、具体的な指標を持っていない企業や組織が多い点が、大きな課題となっている。その際の解決策を検討するには、全体を俯瞰した視点が必要になるという。

多くの企業においては、セキュリティ対策というと、ネットワークセキュリティやホストのセキュリティばかりが重要視される傾向がある。しかしながら、実際には、物理的セキュリティ、アプリケーションセキュリティ、データセキュリティ、人的セキュリティなどの多層での対策が必要、と玉木氏は強調するという。

さらに、これら対策で出来る事と出来ない事を理解して、出来ない事により残るリスクを考慮した上で、どこまで対策を取って行くか検討する事が必要となる。各々の対策で出来る事を考えるには、その対策が攻撃の発生を予防するものか(予防的対策)、それとも攻撃が発生した後に発見するものか(発見的対策)、これらを理解した上で網羅的に対策を取って行く必要がある。

玉木氏は最後に「多くの企業においては、セキュリティ対策として予防的対策を重視しており、攻撃の検知や攻撃からの回復について重視されていない傾向がある。攻撃を防ぐ事には限界があり、今後は、攻撃の検知や攻撃からの回復の対策をいかに取って行くかを検討する必要がある」と述べ、セキュリティに対する意識変革の重要性を訴えた。

サイバーセキュリティ対策検討の「6ステップ」

全体を俯瞰した対策検討を行う際の有効な手順として、次の6ステップによって検討する事が有効という。

1. 現状調査
2. リスクアセスメント
3. 「望ましい姿」の検討
4. 検証評価
5. 乖離分析
6. 計画立案

これらの6ステップに関する注意点として「リスクアセスメントでは、アセスメントに凝りすぎず、6つのステップを繰り返していくことを考えること」、「『望ましい姿』の検討では、単なる対策を考えるのではなく、ルールとしてどうか、それが運用されているかに詳細化して検討すること」、「乖離分析では、乖離をそのまま改善事項とするのではなく、リスクアセスメントの内容や現在の状況を考えて対策の優先度を決めること」がある。

SCSKでは、こうしたサイバー攻撃対策の実施にあたって、多くの企業に対してサポートを行ってきた実績があるという。次のセッションでは、その事例が紹介された。

ポイント導入からコンサル～運用までをサポートするSCSK

SCSKが「SECURE YOUR SITE」ソリューションとして手がけてきた多数の事例紹介を行ったのは、SCSKグローバルセキュリティソリューション部サイバーセキュリティソリューション課の松村卓也氏だ。

ある生命保険会社の事例では、経営層からの自社のセキュリティレベルに関する質問に明確に回答できるよう、現状と対策状況を把握するためのコンサルティングと、新たに構築されるモバイル向けシステムの要件定義の支援を行ったという。また、ある貿易関連企業の例では、現状把握のコンサルティングに加え、インシデントに対する迅速なレスポンスフローの構築を行うため、SOCによるグローバルの複数のデータセンターのフルタイム監視を提供している。

松村氏は、SCSKの提供するSOCのメリットとして、情報網の幅広さと、独自の包括的な視点での不正アクセスの監視、分析ノウハウを挙げた。

「SCSKでは、通信キャリアと、アンチウイルスベンダーの双方から情報提供を受けている。サイバー攻撃にはさまざまな手法が考えられるため、通信とウイルス対策の両方の観点がなければ片手落ちになりがちだ。双方の視点で情報を集め、独自のノウハウで監視を行える点がSCSK SOCの大きな優位性である」(松村氏)

そのほか、Webアプリケーションの脆弱性診断を行って、それに応じたWAF(Web Application Firewall)の導入を行って監視を続けている証券会社の例、アプリケーションセキュリティ診断ツールである「IBM AppScan」を全社的に導入し、グローバルでの企業サイトのセキュリティレベルを標準化する社内体制を構築したオリンパスグループの例、ネットワーク脆弱性診断ツールである「Retina」の導入を行ったソフトバンクモバイルの例など、多くのソリューション提供実績がある。

松村氏は「SCSKでは、ポイント導入だけでなく、コンサルから運用までの包括的なサポートを含む、企業のニーズに応じた多様なソリューションを提供できる。サイバーセキュリティの確保に関して、より効果的な対策を検討している場合には、ぜひとも相談してほしい」と述べて、セミナーを終えた。