セキュリティのプロが一般論に抱いた違和感とは – まず見直すべきは技術ではなく組織

同氏は大手セキュリティ企業での業務を経て、内閣サイバーセキュリティセンター（NISC）に出向。官民いずれの立場も経験し、現在は自身が立ち上げた川口設計で企業向けのセキュリティ演習などを提供している。

1月22日～25日に開催された「TECH+働きがい改革 EXPO 2024 Jan. 働きがいのある企業になるために今すべきこと」に川口氏が登壇。「サイバーセキュリティの理想と現実：効果的なインシデント対応のための戦略」と題して、よく見られる組織の問題を提起するとともに、技術的課題についてすぐに実施できる対策を紹介した。

• 

  川口氏の経歴

サイバーセキュリティの理想と現実が程遠い現状

企業や組織のサイバーセキュリティを長年支援してきた川口氏は、企業のサイバーセキュリティにおける理想の姿について次のように説明した。

「経営者のリーダーシップ」、「サプライチェーン全体にわたる対策への目配り」、「社内外関係者とのコミュニケーション」の3原則の下で、経営者の理解があり、CISO（Chief Information Security Officer）などのセキュリティ担当幹部、その下にCSIRT（Computer Security Incident Response Team）などの担当者がいる組織構造がある。ここでPDCAを回し、情報システム部門と業務部門が連携しながら、日々のセキュリティの問題に対処する。

しかし、「現実は違うというところが多い」と川口氏は話す。経営者はセキュリティに興味を持たず、CISOやCSIRTは設置、任命はされていても職務に即した行動があまりできておらず、人事異動もある。これら複数の問題点を挙げた同氏は「特に、事業部門から情報システム部門に丸投げすることが、諸悪の根源になっているようだ」と分析する。

「ビジネスの中心を担う事業部門の方々が、情報システム部門に『セキュリティは情シスがやってくれるだろう』と丸投げしてしまっている組織も多くあります。事故が起きている組織に限って、このような傾向が多いと感じます」（川口氏）

組織と技術、それぞれの課題とは

理想と現実のギャップの中でインシデントが起きているわけだが、インシデント発生時の課題は、「組織的課題と技術的課題の2つに分類できる」と川口氏は言う。

ここで同氏が指摘するのが、資産管理、構成管理、パスワード管理、あるいは攻撃手法といった技術的課題はセミナーなどでよく語られるが、組織構造や業界特性、法律、ヒト・モノ・カネなど組織的課題への関心が高くないという点だ。

「組織的課題が原因になって技術的課題が生まれていることが多いのに、技術的課題に終始してお茶を濁しているケースが多く見受けられます。そもそもの組織的課題に手をつけられていないことに、私は課題感を覚えています」（川口氏）

例えば、高度なマルウエアによって侵入されたインシデントがあったとする。この技術的課題に対して、高度な検知機能を持つEndpoint Detection and Response （EDR）を導入して「対応が完了した」と考えられがちだ。しかし川口氏は「新しいシステムを入れたが、根本的な組織の問題が解決されていないために、再発してしまい、被害が広がることがある」と言う。

• 

  組織的課題と技術的課題の現状

組織的課題は現場ではなく、経営者の責任

では、組織的課題にはなぜメスが入りにくいのか。その理由はさまざまだろう。

企業や組織（当事者）は、ヒト・モノ・カネを簡単に動かせない。例えば、人材は簡単に増やせない。人事異動があるとセキュリティ関係者や管理職が入れ替わり、過去に起こった事故が風化してしまうこともある。また、技術的対策だけなら外部のITベンダーに丸投げすれば良いという考え方もはびこっているそうだ。

このような組織側の状況に対し、外部のベンダーは自社製品を売ることが最大の興味になっているケースも少なくないため、積極的な課題解決につながりづらいと同氏は説明する。また、組織の外部から見た目線のため、経営的な問題も把握しにくい。

このような状況下で「組織的課題に手をつけていないのは、最終的には経営者の責任。それを外部から伝えなければならない」と川口氏は断言する。

「インシデントが起きた時こそ、組織的な課題に手をつけるチャンスです。いろいろな事情があっても、この状況を生んできた責任は経営者にあるのだと思います。それを言えなかったのが、（当事者や外部の関係者の）これまでの活動の中で足りなかったことなのではないでしょうか」（川口氏）

また、組織の課題に取り組むとなると、経営者から「これまでもセキュリティの予算は増やしてきた」という意見があるそうだが、これについては「外部ベンダーに丸投げするために払っている金額が増えていただけではないか。自分たちの組織を強くすることにつながっていないところが課題」だと述べた。

技術的課題は基本を見直すことで改善できる

組織的な課題に目を向ける一方、自社の組織を強くするためには技術的課題の解決に向けたアプローチも欠かせない。

技術的問題については、ここ数年のゼロトラスト、Secure Access Service Edge（SASE）、EDRなど常に新しいキーワードが出てきているが、川口氏は「攻撃に遭っている組織は、それ以前の問題のことが多い」と指摘する。そして、「それ以前の問題」として、3つの具体例を示し、その基本的な対策を紹介した。

使い回しされる管理者パスワード

そもそもIDのリストアップができているのか、パスワードの管理状況はどうなっているのかなど、基本的な対策を採らなくてはいけない。

川口氏が見てきたケースでも、管理者パスワードの使い回しが問題になったことがあるという。この原因として、委託元が外部に対して「同じパスワードに設定しないように伝えていない」、そして委託先も「依頼されていないことをわざわざしない」状況にあると語った。

この例の対策として川口氏はアカウントの棚卸しと共通パスワードの撲滅を推奨した。

社内のどこからでも接続できる内部サーバ

川口氏は「業務アプリケーションはWebベースになっていても、実際はOSがあり、Secure Shell （SSH）とRemote Desktop Protocol （RDP）でメンテナンスしている状況のことが多い」と指摘する。

「攻撃者が基盤部分に不正アクセスして管理者権限にログインしてしまえば、どんなに高度なセキュリティ機能があっても止めようがないんです。SSH、RDPで接続する基盤部分が、社内のどこからでもつながる状態になっているのであれば、その部分はクラウドにお任せしてしまっても良いかもしれません」（川口氏）

加えて同氏は「接続元の制限を厳しめにかけてほしい」と話し、いざ攻撃を受けた場合でも、制限を強くすることによって被害の軽減につながると続けた。

未活用のセキュリティ機器

例えば、ファイアウォールを導入する時、経営者、事業部門、情報システム部門がベンダーに委託した結果、ベンダーはルールを入れない最小限の設定で進めることになる。結果として全員の業務を圧迫しないものの、攻撃者も簡単に攻撃できてしまうという状況が生まれる。

このような課題に対し、川口氏は「新しいものを購入するのではなく、既存の機器、製品、サービスを活用するべき」だとアドバイスする。

「今あるリソースを最大限使うだけでも、自社のセキュリティを向上させる伸びしろがあるはずです。自社の持つリソースを活用しないことには、新たなセキュリティ概念を投入しても意味がありません」（川口氏）

• 

  ファイアウォールの導入を例に挙げた課題

川口氏は講演を通して繰り返し、「技術的課題への対策が目につくのはわかるが、組織的課題に目を向けてほしい」と強調した。

「技術的な対策より時間がかかるし、組織の理論や力関係があるので手をつけにくい。だからこそ、ぜひ組織的な対策を忘れずに進めてほしいのです。それなしに、問題は片付かないのです」（川口氏）