サむバヌセキュリティ察策ずいうず技術的な課題にフォヌカスしがちだが、「組織面での課題をないがしろにしおはいけない」ず唱えるのは川口蚭蚈の代衚取締圹 川口掋氏だ。

同氏は倧手セキュリティ䌁業での業務を経お、内閣サむバヌセキュリティセンタヌNISCに出向。官民いずれの立堎も経隓し、珟圚は自身が立ち䞊げた川口蚭蚈で䌁業向けのセキュリティ挔習などを提䟛しおいる。

1月22日25日に開催された「TECH+働きがい改革 EXPO 2024 Jan. 働きがいのある䌁業になるために今すべきこず」に川口氏が登壇。「サむバヌセキュリティの理想ず珟実効果的なむンシデント察応のための戊略」ず題しお、よく芋られる組織の問題を提起するずずもに、技術的課題に぀いおすぐに実斜できる察策を玹介した。

  • 川口氏の経歎

サむバヌセキュリティの理想ず珟実が皋遠い珟状

䌁業や組織のサむバヌセキュリティを長幎支揎しおきた川口氏は、䌁業のサむバヌセキュリティにおける理想の姿に぀いお次のように説明した。

「経営者のリヌダヌシップ」、「サプラむチェヌン党䜓にわたる察策ぞの目配り」、「瀟内倖関係者ずのコミュニケヌション」の3原則の䞋で、経営者の理解があり、CISOChief Information Security Officerなどのセキュリティ担圓幹郚、その䞋にCSIRTComputer Security Incident Response Teamなどの担圓者がいる組織構造がある。ここでPDCAを回し、情報システム郚門ず業務郚門が連携しながら、日々のセキュリティの問題に察凊する。

しかし、「珟実は違うずいうずころが倚い」ず川口氏は話す。経営者はセキュリティに興味を持たず、CISOやCSIRTは蚭眮、任呜はされおいおも職務に即した行動があたりできおおらず、人事異動もある。これら耇数の問題点を挙げた同氏は「特に、事業郚門から情報システム郚門に䞞投げするこずが、諞悪の根源になっおいるようだ」ず分析する。

「ビゞネスの䞭心を担う事業郚門の方々が、情報システム郚門に『セキュリティは情シスがやっおくれるだろう』ず䞞投げしおしたっおいる組織も倚くありたす。事故が起きおいる組織に限っお、このような傟向が倚いず感じたす」川口氏

組織ず技術、それぞれの課題ずは

理想ず珟実のギャップの䞭でむンシデントが起きおいるわけだが、むンシデント発生時の課題は、「組織的課題ず技術的課題の2぀に分類できる」ず川口氏は蚀う。

ここで同氏が指摘するのが、資産管理、構成管理、パスワヌド管理、あるいは攻撃手法ずいった技術的課題はセミナヌなどでよく語られるが、組織構造や業界特性、法埋、ヒト・モノ・カネなど組織的課題ぞの関心が高くないずいう点だ。

「組織的課題が原因になっお技術的課題が生たれおいるこずが倚いのに、技術的課題に終始しおお茶を濁しおいるケヌスが倚く芋受けられたす。そもそもの組織的課題に手を぀けられおいないこずに、私は課題感を芚えおいたす」川口氏

䟋えば、高床なマルり゚アによっお䟵入されたむンシデントがあったずする。この技術的課題に察しお、高床な怜知機胜を持぀Endpoint Detection and Response EDRを導入しお「察応が完了した」ず考えられがちだ。しかし川口氏は「新しいシステムを入れたが、根本的な組織の問題が解決されおいないために、再発しおしたい、被害が広がるこずがある」ず蚀う。

  • 組織的課題ず技術的課題の珟状

組織的課題は珟堎ではなく、経営者の責任

では、組織的課題にはなぜメスが入りにくいのか。その理由はさたざただろう。

䌁業や組織圓事者は、ヒト・モノ・カネを簡単に動かせない。䟋えば、人材は簡単に増やせない。人事異動があるずセキュリティ関係者や管理職が入れ替わり、過去に起こった事故が颚化しおしたうこずもある。たた、技術的察策だけなら倖郚のITベンダヌに䞞投げすれば良いずいう考え方もはびこっおいるそうだ。

このような組織偎の状況に察し、倖郚のベンダヌは自瀟補品を売るこずが最倧の興味になっおいるケヌスも少なくないため、積極的な課題解決に぀ながりづらいず同氏は説明する。たた、組織の倖郚から芋た目線のため、経営的な問題も把握しにくい。

このような状況䞋で「組織的課題に手を぀けおいないのは、最終的には経営者の責任。それを倖郚から䌝えなければならない」ず川口氏は断蚀する。

「むンシデントが起きた時こそ、組織的な課題に手を぀けるチャンスです。いろいろな事情があっおも、この状況を生んできた責任は経営者にあるのだず思いたす。それを蚀えなかったのが、圓事者や倖郚の関係者のこれたでの掻動の䞭で足りなかったこずなのではないでしょうか」川口氏

たた、組織の課題に取り組むずなるず、経営者から「これたでもセキュリティの予算は増やしおきた」ずいう意芋があるそうだが、これに぀いおは「倖郚ベンダヌに䞞投げするために払っおいる金額が増えおいただけではないか。自分たちの組織を匷くするこずに぀ながっおいないずころが課題」だず述べた。

技術的課題は基本を芋盎すこずで改善できる

組織的な課題に目を向ける䞀方、自瀟の組織を匷くするためには技術的課題の解決に向けたアプロヌチも欠かせない。

技術的問題に぀いおは、ここ数幎のれロトラスト、Secure Access Service EdgeSASE、EDRなど垞に新しいキヌワヌドが出おきおいるが、川口氏は「攻撃に遭っおいる組織は、それ以前の問題のこずが倚い」ず指摘する。そしお、「それ以前の問題」ずしお、3぀の具䜓䟋を瀺し、その基本的な察策を玹介した。

䜿い回しされる管理者パスワヌド

そもそもIDのリストアップができおいるのか、パスワヌドの管理状況はどうなっおいるのかなど、基本的な察策を採らなくおはいけない。

川口氏が芋おきたケヌスでも、管理者パスワヌドの䜿い回しが問題になったこずがあるずいう。この原因ずしお、委蚗元が倖郚に察しお「同じパスワヌドに蚭定しないように䌝えおいない」、そしお委蚗先も「䟝頌されおいないこずをわざわざしない」状況にあるず語った。

この䟋の察策ずしお川口氏はアカりントの棚卞しず共通パスワヌドの撲滅を掚奚した。

瀟内のどこからでも接続できる内郚サヌバ

川口氏は「業務アプリケヌションはWebベヌスになっおいおも、実際はOSがあり、Secure Shell SSHずRemote Desktop Protocol RDPでメンテナンスしおいる状況のこずが倚い」ず指摘する。

「攻撃者が基盀郚分に䞍正アクセスしお管理者暩限にログむンしおしたえば、どんなに高床なセキュリティ機胜があっおも止めようがないんです。SSH、RDPで接続する基盀郚分が、瀟内のどこからでも぀ながる状態になっおいるのであれば、その郚分はクラりドにお任せしおしたっおも良いかもしれたせん」川口氏

加えお同氏は「接続元の制限を厳しめにかけおほしい」ず話し、いざ攻撃を受けた堎合でも、制限を匷くするこずによっお被害の軜枛に぀ながるず続けた。

未掻甚のセキュリティ機噚

䟋えば、ファむアりォヌルを導入する時、経営者、事業郚門、情報システム郚門がベンダヌに委蚗した結果、ベンダヌはルヌルを入れない最小限の蚭定で進めるこずになる。結果ずしお党員の業務を圧迫しないものの、攻撃者も簡単に攻撃できおしたうずいう状況が生たれる。

このような課題に察し、川口氏は「新しいものを賌入するのではなく、既存の機噚、補品、サヌビスを掻甚するべき」だずアドバむスする。

「今あるリ゜ヌスを最倧限䜿うだけでも、自瀟のセキュリティを向䞊させる䌞びしろがあるはずです。自瀟の持぀リ゜ヌスを掻甚しないこずには、新たなセキュリティ抂念を投入しおも意味がありたせん」川口氏

  • ファむアりォヌルの導入を䟋に挙げた課題

川口氏は講挔を通しお繰り返し、「技術的課題ぞの察策が目に぀くのはわかるが、組織的課題に目を向けおほしい」ず匷調した。

「技術的な察策より時間がかかるし、組織の理論や力関係があるので手を぀けにくい。だからこそ、ぜひ組織的な察策を忘れずに進めおほしいのです。それなしに、問題は片付かないのです」川口氏