セキュリティ設計は未来から逆算せよ! - 情報セキュリティEXPO 春

[2016/05/25 16:00]小池 晃臣 ブックマーク ブックマーク

セキュリティ

5月11日から13日にかけて開催された「情報セキュリティEXPO 春」のセミナーに、日本放送協会(以下、NHK) 情報システム局 IT企画部 情報セキュリティ対策 専任部長 熱海徹氏が登壇。「高度サイバー攻撃に対処するためのインテリジェンス・セキュリティ構築デザイン」と題した講演を行った。本稿では、その内容をダイジェストでお届けする。

放送人為事故”10年間ゼロ”の実績をセキュリティ対策に生かす

熱海氏は、2013年6月の異動で現職に就任。2015年6月に情報セキュリティ対策グループを立ち上げ、同部門を統括している。氏はかつて、山形局・技術部長時代にヒューマンエラー低減に向けた活動を展開し、放送人為事故”10年間ゼロ”を達成した実績を持つ。

NHK 情報システム局 IT企画部 情報セキュリティ対策 専任部長 熱海徹氏

NHK 情報システム局 IT企画部 情報セキュリティ対策 専任部長 熱海徹氏

「当時注力したヒューマンエラーへの取り組みは、現在のセキュリティ対策にも大いに通じるところがあると実感しています」と熱海氏は語る。

セキュリティ課題として熱海氏がまず挙げるのが、経営視点での課題である。Web改ざんや情報漏洩などのサイバー攻撃により、経済的損失、信用の失墜などが生じる。次に、運用視点での課題が挙げられる。その背景には、サイバー攻撃の巧妙化により、パターンファイルやシグネチャベースでの対処が難しいことや、万が一システムに侵入された場合、被害の早期特定とすばやい初動対応が必要になることなどがある。

そして、こうした課題を踏まえたセキュリティの”あるべき姿”の1つとなるのが、迅速かつ自動化されたセキュリティ機器間の連携だ。不正通信をいち早く隔離、遮断することで、セキュリティリスクの最小化と安全なシステム運用を実現するのである。

もう1つは、次世代セキュリティアーキテクチャと仮想ネットワークの連携である。これらの実現により、標的型攻撃による高リスクなセキュリティインシデントに対しても、迅速な初動対応の実現を期待できる。

標的型攻撃への対応で大切なのは「経験に頼らないこと」

熱海氏は、標的型攻撃に対応するためには「『継続的な対応』に発想を切り替える必要がある」と説く。「攻撃を検知したから既存のシグネチャ対策を行って終了」では、非常に危険な状況に陥りかねないというのだ。今後のセキュリティ運用では、「フォレンジック分析・調査や攻撃者を特定できる予測など、一環したPDCAで対応できるSOC(Security Operation Center)が必要」(熱海氏)だという。

この対応にあたっては、以下の4点がポイントとなる。

1. インシデント対応にかかる時間が短いこと
2. 侵入を止めることよりも侵害されてからの動きを止め、恒久的な対策をすること
3. 複数のセキュリティ設備を使い、総合的に判断すること
4. 経験に頼らないこと

「『経験に頼らない』というのは、ヒューマンエラー削減の取り組み時に実感したことです。当時は、経験に頼ることで生じるエラーが多かったという反省があります」と熱海氏は語り、今回の講演の最大のポイントとなるセキュリティへのアプローチを紹介した。それは、「未来から逆算してデザインする」ということだ。

「まず目的を定めて、そこから逆算してセキュリティ計画を立てるのが肝要です。ただ場当たり的にセキュリティ対策を実施しても、うまくいきません」(熱海氏)

つまり、高度なサイバー攻撃に対応するには、「この前マルウェアを見つけたときは、そのシグネチャを作って、こうやって対策した。だから今回は……」と過去の経験をベースにしていたのではダメだということだ。

「経験や知識だけで判断せずに、攻撃からの影響を予測してセキュリティ設計を行う必要があります。そうすることで、利便性、安全性、効率性を兼ね備えた仕組み作りが可能になるのです。そのためには、セキュリティレベルを知ること、そして知るための方法を考えること、セキュリティへの取り組み環境を作ることが求められます」(熱海氏)

ここで氏は、セキュリティアセスメントである「APT(Advanced Persistent Threat)侵害診断」を推奨した。これは、攻撃者の特性・手法・戦術・手順を理解し、攻撃の全段階において、システムの持つさまざまな証跡を全システムで調査するというものだ。NHKでも昨年6月以降に実施したが、その理由として熱海氏は、次の3つを挙げた。

1. セキュリティ運用の可視化と弱点の把握
2. アナリストとの会話による人材育成
3. ウイルスの一斉駆除ができる

「特に、人材育成方法の1つとしてはぜひお勧めしたい。APT侵害診断を受けることでセキュリティ人材を1人育成できる可能性があります」と熱海氏は強調した。

>> 「先入観は捨てるべし!」 - SOC担当者に求められるスタンスとは?

関連リンク

1455
2
セキュリティ設計は未来から逆算せよ! - 情報セキュリティEXPO 春
5月11日から13日にかけて開催された「情報セキュリティEXPO 春」のセミナーに、日本放送協会(以下、NHK) 情報システム局 IT企画部 情報セキュリティ対策 専任部長 熱海徹氏が登壇。「高度サイバー攻撃に対処するためのインテリジェンス・セキュリティ構築デザイン」と題した講演を行った。本稿では、その内容をダイジェストでお届けする。
https://news.mynavi.jp/itsearch/2016/05/25/0511EXPONHK_001.jpg
5月11日から13日にかけて開催された「情報セキュリティEXPO 春」のセミナーに、日本放送協会(以下、NHK) 情報システム局 IT企画部 情報セキュリティ対策 専任部長 熱海徹氏が登壇。「高度サイバー攻撃に対処するためのインテリジェンス・セキュリティ構築デザイン」と題した講演を行った。本稿では、その内容をダイジェストでお届けする。

会員新規登録

初めてご利用の方はこちら

会員登録(無料)

マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る