シンプルかつベーシックなセキュリティ対策とは
――昨今の脆弱性の傾向と、対策におけるポイントを教えてください。
デパオリ氏:最近は特に、ソフトウェアの脆弱性が急増しています。これは、脆弱性を探す人が増えていることも一因だと思います。また、脆弱性の公表からそれを悪用する攻撃の開始までの時間が短くなってきています。そこで重要となるのが、脆弱性を検知したときの具体的な対応の優先順位付け、プライオリティをどうつけていくかです。例えば、緊急度の高い脆弱性が公表されたとき、社内ラボのシステムよりも社員用のデータベースのシステムの方が対応の優先度は高くなります。
高橋氏:脆弱性がひとつ発見されると、同じプラットフォームのいろいろなシステムが同時に影響を受けます。そのため速さも重要ですが、全部を同時に同じスピードで対処することは不可能です。そこで、優先順位付けが重要になります。特にプラットフォーム系は対応がより難しいため、そこに優先順位を付けておくことで、比較的早く対応することができます。
――パッチマネジメントの課題について教えてください。
デパオリ氏:まず、脆弱性の対象が広範です。さらに、それらのバージョン管理も課題となります。ソフトウェアやアプリケーション、プラグイン、アドオンのバージョンを把握し、管理する必要があります。また、脆弱性のボリュームも問題です。一つの脆弱性が一つのシステムのみに影響を与えるのであればまだ楽ですが、一つの脆弱性が複数のシステムに影響を及ぼすこともあります。さらに、パッチを適用する際にはダウンタイムが発生します。これも軽視できない課題です。
高橋氏:特に日本国内ではビジネス側の声が非常に強く、問題を難しくしています。ITやセキュリティの担当者がパッチをあてようとしても、ビジネス側がダウンタイムの発生を許容してくれない。例えば稟議を上げて承認を得るなど、パッチ適用の前のネゴシエーションに多くの時間を費やしてしまっています。
――その状況は、少しは好転しているのでしょうか。
高橋氏:グローバルの数字で見ると、作業調整にかかる時間は12.1日、日本は12.7日と、あまり変わりません。傾向ではないので好転しているかどうかの判断は難しいですが、WannaCryなどの経験から内部意識は上がってきているように感じます。そこに課題を持って日数をいかに早くするか、それからいかに簡単に承認を取ってきちんとパッチをあてられるようにしていくかという取り組みをしているお客様は、比較的多い印象です。
――調査により判明した課題について、ServiceNowが考える対処法を教えてください。
デパオリ氏:先ほど、情報漏えいリスクを低減するためには、パッチの適用とスキャニングといった、ある意味シンプルでベーシックな対応が重要としました。例えば、私たちのソリューションでは、全般のセキュリティに関するプロセスの自動化を図る手助けをしています。スキャニングについては、テナブル、Rapid7などソリューションを提供している他の多くのセキュリティベンダーと連携しており、そうしたパートナー経由での提供も取り組んでいます。
ソフトウェアの脆弱性については、脆弱性が検知、認識されたときに、どの脆弱性から対応すべきか、あるいはどのシステムから適用すべきか、その優先度をソリューションでご支援できます。例えば、ITから入ってくるデータによって、対象となるマシンから対応するという判定もできますし、先ほどのようなスキャニングによりデータを取り込むこともできます。
例えばスプレッドシートやメールは、極めてマニュアルなコミュニケーションといえます。それをすべて自動化することは難しいため、特定の脅威、重要度の高そうなところから少しずつシフトしていくような段階的なアプローチを推奨しています。
北川氏:脆弱性対応はセキュリティの一連の対応プロセスの中でも、プロアクティブな対応と考えています。検知や防御はもちろん必要ですが、脆弱性を先につぶしておくことで、そもそものインシデント件数の数を減らすことができます。
ただ、現状として脆弱性の件数は年々右肩上がりで増加しています。去年は14000件、今年もすでに8000件の脆弱性が報告されており、年内には16000件に到達すると想定されています。しかし、その脆弱性の伸びと比較してセキュリティの人材が増えているか、あるいはそれに対応できるプロセスがあるか、というとそうではありません。
国内でもセキュリティ人材の不足が指摘されています。そこで作業を効率的にしていく仕組み作りが必要です。それがまずひとつの課題で、私たちはそこをいろいろな脆弱性スキャンのベンダーとの協業、私たちのセキュリティオペレーションの脆弱性対応モジュールなどを活用してご支援していきます。現在は働き方改革なども言われていますが、セキュリティ業界の中での改革の一助になるのではないかと考えています。また、その後のセキュリティインシデント対応も、検知や防御の技術を組み合わせてセキュリティの対応を効率化できます。
デパオリ氏:ServiceNowのプラットフォームには、あらかじめ自動化の機能が組み込まれています。また、スキャニングやセキュリティインシデント関連のソリューションのベンダーとのパートナーシップの元に、APIで連携できる仕組みも用意されています。
高橋氏:日本のケースでは、フィッシングメールやセキュリティインシデントが起きたときに、サンドボックスに流すといった調査の活動に、インシデント1件あたり1時間くらい費やしています。そうすると、8時間勤務で8件しか処理できないわけです。他の業務もありますから、そこの時間を短くしないと、脆弱性やセキュリティインシデントの数が増えてきたときに対応できなくなります。その自動化、効率化を実現する必要があります。
デパオリ氏:今のお話しのように、フィッシングやインシデントへの対応が1時間に1件しか処理できないか、300件処理できるかという違いになります。この時間を減らせることは、ビジネス部門にも歓迎していただけると思います。 解決のために人を雇うとなると、人件費だけでなくトレーニングも必要になるわけですから、コスト的にも有効です。
――ありがとうございました。
