Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

IT運用とセキュリティ運用は統合できる――企業のセキュリティ対策体制の強化で注目される「サイバー・ハイジーン(衛生管理)」とは?

2018/08/09 11:00

 2017年、ワーム型ランサムウェア「WannaCry」が猛威をふるった。世界各国で大きな被害が発生したのはまだ記憶に新しい。現在、WannaCryのような“ばらまき型”のランサムウェアだけでなく、特定の組織内の情報を狙う標的型攻撃でも深刻な被害が出ている。これまでは存在しなかった脅威が次々と現れており、企業には新たなセキュリティ対策の体制が求められる。そんな中、有効なアプローチとして重要視されているのが「サイバー・ハイジーン(衛生管理)」だ。企業経営の視点から現在の脅威動向と今重視すべきセキュリティ対策の論点、そしてサイバー・ハイジーンを実現する方法についてエンドポイントにおける脅威検索プラットフォームを提供するタニウム合同会社に話を聞いた。 

今企業が注目する「サイバー・ハイジーン」とは

 WannaCryだけでなく、最近表面化した攻撃には仮想通貨を狙う「不正マイニング」などもある。新たな攻撃のターゲットには、もちろん日本企業も含まれる。

 「日本企業もグローバルで活躍するようになり、あらためて攻撃者のターゲットとなっています。日本では問題が顕在化するまで即座に対応を行わない場合もあるため、十分に脆弱性対策がなされていないものがあると分かれば、益々狙われることになります」と語るのは、タニウム合同会社 代表執行役社長の古市力氏だ。

タニウム合同会社 代表執行役社長  古市 力氏

 WannaCryなどランサムウェアによる被害は、表面化していないものも含めれば国内でもかなり発生している。インターネットには接続していない、工場のライン制御装置にのみつながっているPCなどでは、Windows Updateなどを適用していないことも多い。そういった端末がインターネット以外の経路からランサムウェアに感染してしまう。結果、数日間にわたり工場ラインを止めざるを得ない状況に陥る。こうなれば情報システム部やCIOの責任範囲を超え、CEOなど経営トップの課題となる。

 経営視点でのセキュリティ対策が求められる中、タニウムにも多くの相談が寄せられているという。相談してくる企業の状況は、大きく3つに分けられる。1つが金融業界などCSIRTやSOCを設置し、既にセキュリティ対策の体制を整えている企業。新たな脅威にも対応すべく、さらなるセキュリティ対策体制の強化が目的となる。

 もう1つが、直近でセキュリティインシデントを経験した企業。新たなセキュリティ対策体制が急務な企業だ。3つめは、他社動向などを見て動き出す“右へならえ型”。新たなセキュリティ対策に取り組む話を聞きつけ、自社でも検討を開始する企業となる。

 これら3つの中でも、セキュリティ対策体制を既に整えている企業が注目しているのが、IT運用とセキュリティ運用の統合を実現する「サイバー・ハイジーン」と呼ばれる対策だ。これは日本語では「衛生管理」などと訳される。「衛生管理は風邪の予防で手洗い、うがいを徹底するのと同じように、ITでも日常の運用の中でしっかりと予防するものです」と古市氏は説明する。

 サイバー・ハイジーンでは、IT部門が把握できていない「野良端末や野良サーバー」も含め、全てのIT資産の脆弱性を可視化しタイムリーに対策を行う。そのためにPCなどで動いているOS、ソフトウェアの種類、バージョンを全て把握し、パッチ適用状況がどうなっているかなどをリアルタイムに把握する。対策がなされていないものがあれば隔離し、パッチを当てるなどの対策を実施する。

 サイバー・ハイジーンの考え方は、決して新しいものではない。NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が2014年2月に公開した「重要インフラにおけるサイバーセキュリティフレームワーク」(参考:独立行政法人 情報処理推進機構)を基にしており、「従来のアセットマネメントやパッチ管理にきちんと時間軸を加えたものと捉えればいいでしょう」と、タニウム合同会社 リード・セキュリティ・アーキテクトの楢原盛史氏は述べる。

タニウム合同会社 リード・セキュリティ・アーキテクト 楢原 盛史氏

 NISTのサイバーセキュリティフレームワークでは、構成要素として「特定」「防御」「検知」「対応」「復旧」の5つの機能を定義しており、起点となる特定から始まり終点となる復旧に至る攻撃のステップとして捉えられる。それぞれのステップに対し、適切な対処法が存在する。一般に特定、防御のステップは、ITオペレーションの範疇だ。ここがまさに、セキュリティ・ハイジーンの主な対象だ。

 検知から対応の初期段階はセキュリティオペレーションが担い、対応から復旧の部分は再びITオペレーションが担当する。企業は全ての機能を網羅しそれを迅速に回せる体制が必要だ。ところが現実は検知と対応に多くのリソースを投入し、新たな脅威が発生すればそれを検知できるようエンドポイントセキュリティを強化するような対応も多い。

 「たとえばセキュリティの強化で、AI機能を加えるとします。それを使ってウィルスの検知度を上げれば、未知の脅威を検知できるかもしれませんが誤検知も発生するリスクがあります。仮に誤検知をすれば、端末やサーバーは止めなければなりません。実はこれは、ウィルスに感染して端末を止めるのと同じです」(楢原氏)

 検知の部分だけを強化しても、それでセキュリティの体制全体が強化されるとは限らないのだ。


著者プロフィール

  • 谷川 耕一(タニカワ コウイチ)

    EnterpriseZine/DB Online チーフキュレーター ブレインハーツ取締役。AI、エキスパートシステムが流行っていたころに開発エンジニアに、その後雑誌の編集者を経て、外資系ソフトウェアベンダの製品マーケティング、広告、広報などを経験。現在は、オープンシステム開発を主なターゲットにし...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5