ランサムウェアに代表されるサイバー攻撃が企業に甚大な被害を与え続けており、従来のセキュリティ対策だけではこうした脅威に立ち向かうことが困難になりつつある。そうしたなか、「日本企業は海外の攻撃者からターゲットになっている。いまこそサイバーレジリエンスに真剣に取り組まなければならない」と唱えるのが、日立ソリューションズの扇 健一氏だ。サイバーレジリエンスとは、攻撃を受けても事業への影響を少なくする取り組みのことである。扇氏によって、サイバーレジリエンスが求められる背景、そして取り組みを推進するポイントが語られた。
-
株式会社日立ソリューションズ
セキュリティソリューション事業部 企画本部
チーフセキュリティエバンジェリスト
Security CoE センタ長
扇 健一氏
海外のサイバー攻撃者にとって、日本企業は格好のターゲット
サイバー攻撃の被害が深刻化している。ランサムウェア攻撃によって生産管理システムに影響が出て、生産中止を余儀なくされるメーカーが後を絶たない。また、取引先のシステムが被害を受けたことにより、その影響で自社システムが停止に追い込まれるサプライチェーン攻撃も増えている。
そうした状況に対し、扇氏は「サイバー攻撃はいまや重大な経営課題であり、多くの企業がセキュリティのあり方を再検討する必要があります」と訴える。
扇氏は、インターネット草創期からサイバーセキュリティに携わり、現在はサイバーレジリエンス、ゼロトラストをはじめとするセキュリティソリューションの企画、社内セキュリティ技術支援などを担当する。同社の暗号化ソフトウェア「秘文」の開発に携わった経験もあり、アプリケーション開発からシステム構築、顧客支援までさまざまな立場においてセキュリティの知見を持つ。
「規模や業種に関係なく、多くの企業が攻撃の被害を受けている状況です。セキュリティ対策を講じていても被害に遭うケースが増えており、ビジネスそのものに直接的な影響が出ています。特に日本は、対策が遅れているとして海外の攻撃者の格好のターゲットになっています。新たな攻撃の手口も次々と出現しており、一度対策を導入したら終わりというわけにはいかなくなっています。被害に遭うことを前提に、現場から経営層までが一体となって新しいセキュリティ体制を築き、継続的にアップデートしていくことが重要なのです」(扇氏)
そうした新しいセキュリティ体制の構築において大きな指針となるのが、「サイバーレジリエンス」だ。
「サイバーレジリエンスという言葉は徐々に浸透しつつありますが、まだ当たり前の取り組みとまでは至っていません。サイバー攻撃が猛威をふるういまこそ、目の前の課題を解決しながら、この取り組みを推進していく必要があります」(扇氏)
-
扇氏
攻撃を受ける前提で、事業継続を目指す「サイバーレジリエンス」
サイバーレジリエンスの最終目標は、サイバー攻撃を完全に防ぐことではない。攻撃を受けることを前提として、セキュリティインシデントの被害を低減し、システムを早急に復旧して事業継続性を高めることで、企業経営への影響を少なくするための取り組みだ。レジリエンスとは「耐性」や「回復力」などの意味を指している。
サイバーレジリエンスが求められる背景には、サイバー攻撃の巧妙化により、従来のセキュリティ対策だけでは対抗できなくなってきたことが挙げられる。たとえば最近のランサムウェアでは、セキュリティの脆弱性を悪用して気づかれないように社内ネットワークに侵入するため、ウイルス対策ソフトで完全に防ぐことが困難であり、侵入されることを前提とした対策が求められる。こうしたランサムウェア攻撃の動向について、扇氏は次のように説明する。
「ランサムウェアの対策として、万一の感染時に備えたデータのバックアップが重要ですが、最近のランサムウェアは、当初からバックアップシステムを暗号化することを狙ってきます。バックアップシステムが暗号化されてしまうと、自力での復旧ができないというケースがほとんどです。また、ランサムウェアのなかにはデータを暗号化せず、盗んだデータだけで脅しをかける攻撃も増えています。暗号化しないためデータ窃取までの時間が短く、気づいたときにはすべてが終わっている場合があります」(扇氏)
扇氏は、実際に被害を受けた企業の現場に出向き、防御をすり抜けてきたマルウェアの分析を行い、破壊されたシステムを目の当たりにし、復旧を支援した経験がある。そのうえで、こう指摘する。
「セキュリティ対策として新しい技術やツールを導入しただけでは、防ぐことができません。組織体制や文化、プロセスを一体として強化していくことが求められます。また、サプライチェーン攻撃のような他社の状況に左右される場合には、自社のセキュリティ対策だけで対抗することは困難です。取引先やグループ企業などが一体となった体制作りが欠かせません」(扇氏)
サイバーレジリエンスを実践するために必要な「4つの力」と「3つの要素」
そこで、日立ソリューションズがサイバーレジリエンス実現のために提案するのが、「4つの力」と「3つの要素」を意識した取り組みだ。
4つの力は 「予測力」 「抵抗力」 「回復力」 「適応力」を指しており、米国立標準技術研究所(NIST)が定めたサイバーレジリエンスの規格「SP800-160 Vol.2」で示されている能力に相当する。扇氏はそれぞれの力をこう解説する。
「『予測力』は、サイバー攻撃に対する準備態勢の維持を行う能力です。具体的には、脆弱性診断や管理、是正などを行います。『抵抗力』は、被害を局所化し、事業機能を維持する能力であり、主にダメージの局所化を図ります。『回復力』は、被害から迅速に回復する能力で、バックアップを用いた復旧などを指しています。『適応力』は、再発防止に向けて組織を改善する能力です。教育や組織力の強化に取り組みます。サイバーレジリエンスは、これら4つの力を強化することで、攻撃を受けても事業への影響を少なくする取り組みです。システムの稼働率を維持しながら、従来の対策よりも復旧時間を短縮していくことが大きな特長です」(扇氏)
また、3つの要素とは「プロセス」「人・組織」「ツール・システム」 を指す。これらは情報システムの管理で基本となる要素であり、先述した4つの力を高めるためのポイントになるものだ。
「セキュリティ対策は、技術だけではカバーできません。例えば、VPN装置を導入していてもセキュリティパッチを適切に適用しなければ、脆弱性を突かれてランサムウェアの侵入を許してしまいます。そこでポイントになるのが、3つの側面です。たとえば、プロセス面から脆弱性を検出・対策するための運用やバックアップやリストア運用を見直します。また、人・組織面では、機器のアップデートやリストアの訓練が重要であることを意識、教育していきます。さらにツール・システム面で、脆弱性を検出する仕組みやダメージを局所化する仕組みを整えています」(扇氏)
この4つの力と3つの要素を企業の取り組みに適用していくかは、企業が置かれた状況で変わるという。そこで、日立ソリューションズでは企業の状況にあわせてさまざまなソリューションを提供している。
EDRと連携したデータ回復策や、海外サプライチェーン攻撃への対抗策を提供
日立ソリューションズが提供するサイバーレジリエンスソリューションは、予測力、抵抗力、回復力、適応力、そして全体というカテゴリーごとに分類されており、70を超える製品・サービスを企業の適材適所に応じて提供している。そのなかから、本稿では予測力を高めるための「海外拠点向けセキュリティアセスメント」と、回復力を高めるための「データ回復ソリューション」の2つを紹介したい。
まず「海外拠点向けセキュリティアセスメント」は、海外拠点に対するアセスメントプロセスの整備から、現地に赴いてのアセスメント実施支援までを対応するサービスだ。海外進出する企業が増えているなか、海外拠点ではセキュリティの人材が不足していたり、セキュリティに対する意識が国内とは異なっていたりする背景から、セキュリティの統制がとれないケースが多いという。
「海外拠点がサプライチェーン攻撃の起点になるケースが増えたことで、こうした支援のニーズが非常に高まっています。当社のセキュリティコンサルタントが、工場や研究・開発環境など、国内の情報システム管理者の目が届きにくいセキュリティ状況をアセスメントします」(扇氏)
「データ回復ソリューション」は、ランサムウェアの被害から迅速なデータ回復を支援する。同社の豊富な知識を持ったセキュリティのエキスパートが、セキュリティの観点や業務継続性を踏まえたバックアップ・リストアの設計から構築、EDR(エンドポイントでの検知・対応)製品を活用した端末の日常的な監視運用、インシデント発生時の初動対応、データ復旧までを支援するソリューションだ。
「先述のとおり、バックアップそのものが暗号化され、復旧ができないというケースが増えています。そこでポイントになるのが、EDRと連携した迅速な復旧です。当社ではEDRの検知機能と暗号化のノウハウを活用して、いつ・どの端末が暗号化され、脅威がどう広がったかを追跡します。バックアップを高頻度で取得しておき、バックアップの復旧時点や復旧ポイントをEDRの情報から割り出し、感染前のバックアップの特定・データ回復を正確に素早く実施できるようにします」(扇氏)
このほかにも、日立ソリューションズでは4つの力の強化に向けた豊富なソリューションを取り揃えている。企業の状況分析から行い、補うべき力を見極め、各社の事業・業務に適したソリューションの提供を通して、サイバーレジリエンスの実現をトータルで支援する構えだ。最後に扇氏は、これからサイバーレジリエンスに取り組む企業に対して、こうアドバイスを贈る。
「セキュリティの取り組みにおいて、経営層の理解を得ることは欠かせません。それを促すのがセキュリティリーダー層の大きな役割です。当社では、経営層の理解醸成のためのサポートも行っています。まずは現場からのボトムアップと経営層とのコミュニケーションで、サイバーレジエンスの実現に向けて、ともに一歩を踏み出しましょう」(扇氏)
関連記事
- IT資産に潜むセキュリティリスクを攻撃者目線で発見し、脆弱性対策の運用負荷を軽減! 「ASM」を効果的に活用するための選定ポイントとは?
https://news.mynavi.jp/techplus/kikaku/20240205-2870831/ - サイバーレジリエンスにおける「予測力」の強化で、継続的な脆弱性対策を実現
https://news.mynavi.jp/techplus/kikaku/20240820-2981549/
[PR]提供:日立ソリューションズ