サイバー攻撃が激化しているが、そのほとんどはランサムウェアやDDoS攻撃など既知の脅威と言えるものだ。つまり手口や対策方法も知られているはずだが、それでも被害に遭う組織は後を絶たない。

6月26日~27日に開催された「TECH+セミナー セキュリティ 2025 Jun. 今を守り、未来を築く」にNTTセキュリティ・ジャパン サイバーセキュリティ・ストラテジストの結城則尚氏が登壇。既知の脅威に対して実効的なセキュリティ体制を構築するために、組織がすべきことについて説明した。

ガバナンスとリアルタイムのIT資産管理が不十分

講演冒頭で結城氏は、既知の脅威により重大な被害を被った例として、ランサムウェア攻撃を受けた半田病院と名古屋港コンテナターミナルの事例を挙げた。2021年の半田病院の場合は復旧までに2か月以上を要したし、2023年の名古屋港の場合はそれよりは短縮されたとはいえ2日半かかっている。たとえ2日半であっても重要インフラが機能を停止するのは致命的な事態だ。これらはいずれもVPN機器からの侵入という既知の脆弱性を利用されたものだが、それ以降も同様に既知の脆弱性を悪用された事例が後を絶たない。

脆弱性が既知であるということは、対策方法も知られているはずだ。それでも被害が絶えない大きな理由として同氏は、実効性のあるガバナンスがないこと、そしてリアルタイムのIT資産管理が不十分であることを挙げた。IT資産は分単位で状況が変化するため、リアルタイムのチェックでバージョンや振る舞いをつねに確認しておけば、脆弱性が放置されることも防げる。

「あまり報道されていませんが、ランサムウェア攻撃を受けてから半日程度で復旧している組織は少なくありません。きちんと対策すればすぐに復旧できるということを知っておいていただきたいのです」(結城氏)

NIST CSFを活用して組織全体でリスク管理に取り組む

ガバナンスを機能させるために有用なのが米国国立標準技術研究所(National Institute of Standards and Technology、NIST)のサイバーセキュリティフレームワーク(Cyber Security Framework、CSF)だ。CSFは特定、防御、検知、対応、復旧の5つの機能からなるセキュリティ対策の枠組みである。ただし実装の前にはCore(対策)、Tiers(対策の深さ)、Profile(組織の特質)の検討が必要となる。自分たちの組織は何をどう守るのか、緊急時に何を優先するかというProfileをまず明確にすることで、リスクが理解でき、どんな対策をどの深さまで実施するかというCoreとTiersが決まってくる。

「CSFは現状を踏まえて改善を支援するものです。日本の組織では、CSFをチェックリストのように要求事項に適合するかどうかというコンプライアンス型のものと誤解していることが多いのですが、そうではありません。CSFは現場の実情を踏まえてパフォーマンスを向上させるためのパフォーマンス型のものです」(結城氏)

現在CSFはバージョン2に改定されている。バージョン1の基本的な考え方を引き継いだうえで、ガバナンスの重要性が追加され、経営層の関与によって部門間の壁を越え、組織全体でリスクに取り組むものになったと同氏は説明する。ミッションやステークホルダーの期待、環境、要求事項をインプットとしてフレームワークを回すことで目標とするProfileを目指すというかたちが明確になり、マネジメントシステムとの親和性も高められた。

  • NIST CSFの概要と意義

CSFでは「シフトレフト」を考えることも重要だ。サイバー攻撃が激化している昨今では、検知や対応だけでは対処しきれない。そのため流れの初めのほうにある特定と防御に重きを置くことが有効なのだ。ランサムウェアの被害を防ぐには前述の通りリアルタイムにIT資産管理を行う必要があるが、汎用の資産管理ツールではVPNや産業用機器のOSには対応していないことが多いため、別途対策を考えなければならない。例えばVPN機器のSyslogを回収して分析し、振る舞いの監視やバージョンのチェックを行う、検知に利用されるEDRの負担を減らすためにProtective DNSを使うといった対策が有効だ。

ここまで分かっていても対策が進まないこともある。結城氏はその理由を「インフラ部門とセキュリティ部門の間に壁があり、調和が難しいため」だと説明する。したがって、シフトレフトを進めるためにもトップダウンのガバナンスが求められるのだ。

インテリジェンス活動で脅威の予兆を捉える

結城氏が「ぜひ能動的にやっていただきたい」と強調するのは、インテリジェンス活動だ。サイバー脅威は常に変化しているため、セキュリティ機関からの注意喚起に依存するだけでは出遅れてしまう。また国際情勢の変曲点の兆候がネットワーク上に顕著に現れる現在は、ネットワーク防御だけで完結できた2000年代とは異なり、地政学的リスクや広報戦略も考慮しなければならない。DDoS攻撃についても、その背景や目的を理解すれば先回りして手を打つことができる。そこで必要になるのがインテリジェンス活動、つまり組織の意思決定を支えるために情報を収集、分析、評価し、意味ある知見として提供する活動だ。

「ただし、情報を積み上げるだけではインテリジェンスではなく、ただのインフォメーションです。情報を目的に応じて整理し、判断に役立つかたちで整理することが必要になります。最初に情報要求があり、そこから情報の収集、分析、伝達、消費、フィードバックというサイクルを確立することで、脅威の予兆を捉えて対応できるようになるのです」(結城氏)

危機管理と復旧体制の整備

危機管理の面からは、組織のレピュテーションを守ることも重要な課題だ。例えばランサムウェアによって顧客データが流出すれば、組織や、組織が提供するサービスのレピュテーションも損なわれる。したがって広報や総務の支援も受けながら広報戦略も整備しておきたい。また、被害状況の対外公表が必要な場合、情報の精度が低くてもとにかく迅速に公表すべきものと、時間をかけても精度を高めて公表すべきものを決めておくことが重要だ。さらに、あえて公表しないという選択肢もあり得る。公表することで組織や国家に悪影響を及ぼす可能性があるものは、所管省庁とも相談したうえで判断しなければならない。ここには経営判断も必要になる。つまり、部門横断で連携できる体制を整備しておくことが重要なのだ。

迅速な復旧のための体制を構築しておくことも必要である。例えばデータを暗号化しておくことは、データ流出への備えになる。データをきちんとバックアップし、レストア体制をつくって訓練もしておけば、万一の際にも迅速に復旧することができる。またBCPについては事業継続計画である「Business Continuity Plan」と、万一の際にどう対応するかという緊急時対応計画である「Business Contingency Plan」の2つがあり、その両方を準備しておくことが必要だ。

「とくに緊急時対応計画は重要です。何を守るべきか、いつまでにどうする必要があるか、使える資源は何かを明らかにし、組織全体を統制する計画をつくっておくことが必要なのです」(結城氏)

最後に結城氏は、明日からの行動提案として、自組織のリスクの特定とProfileの見直し、各部門の連携強化、そして経営層への定期的なリスク報告と意思疎通の3つを挙げた。この中で特に注意が必要なのはProfileの見直しだと同氏は話す。

「Profileは経営方針と連動するものですから、ぜひ経営層も参画して決定していただきたいです」(結城氏)