今企業が注目する「サイバー・ハイジーン」とは
WannaCryだけでなく、最近表面化した攻撃には仮想通貨を狙う「不正マイニング」などもある。新たな攻撃のターゲットには、もちろん日本企業も含まれる。
「日本企業もグローバルで活躍するようになり、あらためて攻撃者のターゲットとなっています。日本では問題が顕在化するまで即座に対応を行わない場合もあるため、十分に脆弱性対策がなされていないものがあると分かれば、益々狙われることになります」と語るのは、タニウム合同会社 代表執行役社長の古市力氏だ。
タニウム合同会社 代表執行役社長 古市 力氏
WannaCryなどランサムウェアによる被害は、表面化していないものも含めれば国内でもかなり発生している。インターネットには接続していない、工場のライン制御装置にのみつながっているPCなどでは、Windows Updateなどを適用していないことも多い。そういった端末がインターネット以外の経路からランサムウェアに感染してしまう。結果、数日間にわたり工場ラインを止めざるを得ない状況に陥る。こうなれば情報システム部やCIOの責任範囲を超え、CEOなど経営トップの課題となる。
経営視点でのセキュリティ対策が求められる中、タニウムにも多くの相談が寄せられているという。相談してくる企業の状況は、大きく3つに分けられる。1つが金融業界などCSIRTやSOCを設置し、既にセキュリティ対策の体制を整えている企業。新たな脅威にも対応すべく、さらなるセキュリティ対策体制の強化が目的となる。
もう1つが、直近でセキュリティインシデントを経験した企業。新たなセキュリティ対策体制が急務な企業だ。3つめは、他社動向などを見て動き出す“右へならえ型”。新たなセキュリティ対策に取り組む話を聞きつけ、自社でも検討を開始する企業となる。
これら3つの中でも、セキュリティ対策体制を既に整えている企業が注目しているのが、IT運用とセキュリティ運用の統合を実現する「サイバー・ハイジーン」と呼ばれる対策だ。これは日本語では「衛生管理」などと訳される。「衛生管理は風邪の予防で手洗い、うがいを徹底するのと同じように、ITでも日常の運用の中でしっかりと予防するものです」と古市氏は説明する。
サイバー・ハイジーンでは、IT部門が把握できていない「野良端末や野良サーバー」も含め、全てのIT資産の脆弱性を可視化しタイムリーに対策を行う。そのためにPCなどで動いているOS、ソフトウェアの種類、バージョンを全て把握し、パッチ適用状況がどうなっているかなどをリアルタイムに把握する。対策がなされていないものがあれば隔離し、パッチを当てるなどの対策を実施する。
サイバー・ハイジーンの考え方は、決して新しいものではない。NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が2014年2月に公開した「重要インフラにおけるサイバーセキュリティフレームワーク」(参考:独立行政法人 情報処理推進機構)を基にしており、「従来のアセットマネメントやパッチ管理にきちんと時間軸を加えたものと捉えればいいでしょう」と、タニウム合同会社 リード・セキュリティ・アーキテクトの楢原盛史氏は述べる。
タニウム合同会社 リード・セキュリティ・アーキテクト 楢原 盛史氏
NISTのサイバーセキュリティフレームワークでは、構成要素として「特定」「防御」「検知」「対応」「復旧」の5つの機能を定義しており、起点となる特定から始まり終点となる復旧に至る攻撃のステップとして捉えられる。それぞれのステップに対し、適切な対処法が存在する。一般に特定、防御のステップは、ITオペレーションの範疇だ。ここがまさに、セキュリティ・ハイジーンの主な対象だ。
検知から対応の初期段階はセキュリティオペレーションが担い、対応から復旧の部分は再びITオペレーションが担当する。企業は全ての機能を網羅しそれを迅速に回せる体制が必要だ。ところが現実は検知と対応に多くのリソースを投入し、新たな脅威が発生すればそれを検知できるようエンドポイントセキュリティを強化するような対応も多い。
「たとえばセキュリティの強化で、AI機能を加えるとします。それを使ってウィルスの検知度を上げれば、未知の脅威を検知できるかもしれませんが誤検知も発生するリスクがあります。仮に誤検知をすれば、端末やサーバーは止めなければなりません。実はこれは、ウィルスに感染して端末を止めるのと同じです」(楢原氏)
検知の部分だけを強化しても、それでセキュリティの体制全体が強化されるとは限らないのだ。
