サイバーレジリエンス、まずは何から始めるべきか?
近年、世間に衝撃を与える重大なセキュリティインシデントが立て続けに起こっている。そして、そのたびに意識の変化や対策の強化がなされてきた。たとえば、最近は病院や港湾が攻撃を受けた事例があり、生活や経済を支える重要インフラの防御に対する意識が高まってきている。さらに、2024年の初夏に起こったとある出版・エンターテインメント企業へのランサムウェア攻撃は、企業のサイバーセキュリティ対策を喚起する転機として後々語り継がれることになるかもしれない。
扇健一氏は、「もしサイバー攻撃によって企業の収益を支えるサービスに障害が発生すれば、収益悪化だけではなく株価や信用などにも悪影響を与えかねません。セキュリティ対策は今や株主や投資家からも注目されており、自社の取り組みや実績を統合報告書、有価証券報告書などに記載する企業も増えてきています」と話す。
企画本部 チーフセキュリティエバンジェリスト/Security CoE センタ長
扇健一氏
こうした環境の変化を受け、“サイバーレジリエンス”の強化に注目が集まっている。これは、サイバー攻撃の被害拡大やシステム障害などが起こっても、迅速に復旧・回復し事業を継続可能にするための取り組みだ。レジリエンスという言葉には、「回復力」や「耐久力」などといった意味がある。
昨今、デジタルツールやリモートワークが浸透する中でアタックサーフェス(攻撃対象領域)が増えていることもあり、防御側は攻撃者に侵入された“先”の対策を考えておかなければならない。もちろん、攻撃をブロックできればそれに越したことはないが、完全には防ぎきれず被害に遭うことも想定し、ダメージを局所化して迅速に回復できる力を蓄えておくことが必要なのである。
ただ、具体的に何をどう強化すべきかは各企業の状況によって異なる。まずはアセスメントなどを通じて、自社にどれだけ守るべき情報資産があるか洗い出しておく必要があるだろう。扇氏は手始めとして、IPA(情報処理推進機構)が発行している『中小企業の情報セキュリティ対策ガイドライン』に則った取り組みを推奨する。そうすることで、自社が情報セキュリティのアクションを起こしていることを自己宣言できるのだ。情報セキュリティ5ヵ条に取り組めば一つ星、自社診断の実施と基本方針の策定をすれば二つ星を宣言できる。
情報セキュリティ5ヵ条
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
(出典:情報処理推進機構『中小企業の情報セキュリティ対策ガイドライン』)
あくまで自己宣言ではあるが、このガイドラインには特に優先度の高い項目が盛り込まれているため、上記5つに本当に取り組んでいれば、かなりの効果が見込めるはずだという。たとえば、5ヵ条のうち最初には「OSやソフトウェアは常に最新の状態にしよう!」とあるが、これが不十分だったゆえにランサムウェアやマルウェアの侵入を許してしまったケースは非常に多い。
既にセキュリティ対策を施している企業も、この5ヵ条や自社診断と照らし合わせて十分かどうか確認してみてもよいだろう。
レジリエンス実現に必要な4つの力
さらに参考にすべきものとして、扇氏はNIST(米国立標準技術研究所)が公開している『NIST SP800-160 Vol.2 Rev.1(Developing Cyber-Resilient Systems: A Systems Security Engineering Approach)』を挙げる。これによれば、企業がサイバーレジリエンスで備えるべきは①予測力、②抵抗力、③回復力、④適応力となる。
「①予測力」とは、簡単に説明すると、脆弱性診断や最新のOS、セキュリティパッチをあてるなどの予防策、診断やアセスメントなどの現状把握を指す。そして「②抵抗力」とは、実際に攻撃に遭った際の“ダメージの局所化”だ。例としては、共有設定やアクセス権設定、EDR(Endpoint Detection and Response)による侵害の早期検知と被害環境の迅速な隔離などがある。
「③回復力」には、データのバックアップやリストアなどがある。データやシステムが被害に遭っても、いかに迅速に復旧・切り替えできるようにするか。特に、いざ事業停止の危機に陥った際、本当にリストアができるか検証や訓練をしておいたほうがよいと扇氏は警鐘を鳴らす。最後の「④適応力」は、社員の教育や組織力強化によって向上させるものだ。
ここまでを紹介したうえで、扇氏は特に推奨する②抵抗力の強化施策として、EDRの活用方法見直しを勧める。ウイルス対策ソフトに比べ、EDRはエンドポイントを常に監視し、感染してもその端末を隔離させる、感染範囲や感染日時を確認するなどといった対応が可能だ。しかし、「ただEDRを導入するだけで、大量のログやアラートに埋もれてしまい適切に運用できていないところもあります」と扇氏。たとえば、感染範囲や感染日時から迅速にリストアすべきバックアップデータを探し出す、海外や地方拠点など遠隔地の端末を緊急隔離するなど、EDRを効果的に活用できるよう、既に導入している企業でも今一度の見直しが必要だと指摘する。
企業のセキュリティ課題、状況を最適化する支援
セキュリティの分野は、一度被害に遭えば経営に甚大な影響を及ぼすリスクがありつつも、何も起こらないうちは、対策自体が直接利益や効果を生み出すものではない。こうした理由から、なかなか積極的に投資できなかったり、スムーズに対策を進められなかったりする企業も多い。加えて、セキュリティ人材の不足が問題視されている。
こうした問題の根底として、扇氏は「リテラシーの問題があるのでは」と話す。組織の中に推進者がおらず、取り組みが形にならない、人材育成が進まない、予算が認められない……。そうした背景には、サイバーレジリエンスの重要性について意識や理解が十分でないことが考えられるとした。
日立ソリューションズは、こうした各種課題に対応できるよう幅広いサービスを用意している。扇氏は「私たちは、20年以上のコンサルティング経験を活かし、全体を俯瞰して診断するサイバーレジリエンスの現状分析サービスや、約70種類の豊富な支援サービスの中から、お客様に最も適したものを柔軟に提案できます」と自信を見せる。実際、取り扱う製品やサービスのラインナップは実に多く、日本でトップレベルといえるだろう。
たとえば、予測力に該当する情報資産・脆弱性管理ソリューションは、社内ITだけではなく、工場のOT資産も含めて自動的に全体を可視化し、脆弱性を検出・収集・可視化できる。サイバーレジリエンスの強化に大きく寄与するはずだ。
また、ゼロトラストセキュリティの支援では部分的なツール導入にとどまらず、エンドポイントセキュリティ、ネットワークセキュリティ、アカウント管理、アプリケーション保護などを組み合わせて、総合的なゼロトラストセキュリティ対策を実現する。さらに、データ回復ソリューションであれば、バックアップの設計・保護から、EDRとの連携で迅速なデータ回復が可能な環境を構築するまで一連の流れを提供する。
セキュリティコンサルティングとして、同社のエキスパートがインシデント対応、リスクアセスメント、セキュリティ戦略策定などの課題解決を伴走型で支援するものや、マネージドセキュリティサービスとして、インシデントの監視やリスク軽減のための設定などを支援するもの。さらには、2024年中に施行される見込みのEUサイバーレジリエンス法にも対応した、製品ライフサイクル全体にわたるセキュリティを実現するなどといったサービスも同社は取り揃えている。
多様なセキュリティ人材と、「地に足の着いたコンサルティング」による強力な支援体制
なぜ、日立ソリューションズが強力な支援を提供できるのか。それは、同社の組織力に起因する。同社には、「セキュリティソリューション事業部」という形でセキュリティソリューションに特化した組織がある。そこには、業界でも名を馳せるホワイトハッカーや、高度なセキュリティ技術者、情報セキュリティスペシャリストなど、様々なスキルを有した豊富なセキュリティ人材が在籍している。
なぜ、これほど多様で高度なセキュリティ人材を抱えられているのか。理由の1つに、同社が長年セキュリティ関連製品を開発してきた歴史がある。代表的なものとしてよく知られているのは、情報漏洩防止ソリューションの「秘文」だ。扇氏もまた、かつて秘文の開発に携わっていた経歴を持つ。
自社製品開発の歴史が長いため、PSIRT(Product Security Incident Response Team)の運用においても多くの知見やノウハウを有している。扇氏は、「私が入社した30年近く前から、当社は今で言うところのSBOM(Software Bill of Materials:ソフトウェア部品表)管理をしていました。脆弱性が発見されると品質保証部門から『このライブラリを使っている人はいますか?』と問い合わせが来て、当時は表計算シートで確認していたのを覚えています。PSIRTという名前が出てくるよりもずっと前からこうした経験を積んできたので、ノウハウは豊富に蓄積されています」と語る。
自社研究開発だけではなく、海外のスタートアップ企業を発掘するリエゾン活動にも力を入れている。アメリカにおける新しい動向やソリューションは常に注視して、関連企業と情報共有しており、必要に応じて他社の先端技術をサービスに組み合わせることも多い。
これらを踏まえたうえで、扇氏は日立ソリューションズのさらなる強みとして「地に足の着いたコンサルティング」を謳う。システムの構築や開発ができて、取り扱う製品も幅広い同社ならではの強みだ。たとえば、SASE(Secure Access Service Edge)の導入を検討したいのであれば、導入の必要性判断から始まり、複数の製品やソリューションを並べて提案、実際の導入計画策定まで支援できる。
「お客様が何をしたいのか、何に困っているのか、どの製品が適しているのか、すべて一緒に検討いたします。戦略策定の段階から支援させていただくことも可能です。そのお客様に最も適したレジリエンス向上施策を伴走型で組み上げていくため、『コンサルテーションを受けてやるべきことはわかったけど、そこから進まない』『ツールを導入してみたけど、自社に合わなかった。効果が出なかった』などといった問題が起こらないよう支援します」(扇氏)
中小からグローバル規模まで、多様な悩みを解決可能
長年の実績があるゆえに、多くの企業から頼られている日立ソリューションズ。たとえば直近では、とある製造業の会社がランサムウェア攻撃に遭い、システムが停止する被害を被ったため、サイバーレジリエンス強化のためのソリューションについて相談があった。
また、グローバルで事業を展開する企業から、「海外の取引先から『セキュリティ対策を強化しないと取引を停止する』と突然言われて……」といった相談も。その企業に対しては、海外の規制や制度に対応したセキュリティポリシーの策定見直しから始め、現状のセキュリティリスク分析と並行して、ゼロトラストセキュリティの導入支援も進めているところだという。グローバル対応だと、最近ではEUのサイバーレジリエンス法対応の引き合いが多いようだ。
伴走の度合いも、顧客に合わせて柔軟に対応可能だ。セキュリティ戦略の支援として、中長期計画やロードマップ策定まで入り込むことも可能だが、逆に「それほどの必要はない」のであれば、アドバイザリーサービスという形で週に何回、月に何回といった具合での定期的な伴走支援という形もある。
サイバーレジリエンスに取り組む企業へ2つのメッセージ
これからサイバーレジリエンスを高めていきたいという企業に対し、扇氏は2つのメッセージを送る。1つ目は、「“社内の”サプライチェーンにも目を向ける」こと。サプライチェーンというと社外の取引先というイメージがされがちだが、自社内の調達部門や開発部門なども、自社プロダクトを構成するサプライチェーンの1つだ。それらの他部門と密にコミュニケーションを取りながら、全社的にセキュリティのリテラシーを高め、人材育成や対策を進めていかなければならない。
調達・開発部門などと連携しながら、サプライチェーン全体でセキュリティのレベルを上げていく。セキュリティ担当者にとっては長く大きな取り組みになるが、「私たちのようなマルチベンダーをぜひ頼ってほしい」と扇氏。日立ソリューションズの強みは、単一製品の導入による単なるコンサルティングだけでなく、1つの目的に対し複数の製品を並べて検討できる点だ。一度にたくさんの製品を比較できるため、時間の節約にもなる。
2つ目のメッセージは、「情報システム部門やセキュリティ担当者が、普段から経営層に情報提供する」ことだ。普段から経営層に何も情報を伝えていないとどうなるか。他社で大きなインシデントが発生した際、経営層がニュースを見て驚愕し、「うちは大丈夫か!?」と混乱に陥るかもしれない。そして、現場へ大量の質問や命令が押し寄せるだろう。そこから動くのでは大変な労力が生じてしまう。
普段から、「今月はこんなアラートがありましたが、これはこういう仕組みで、深刻度はこのくらいです」と、実際に起きたことやその仕組み、深刻度を伝えておけば、経営層の中でも理解が進み、感覚がつかめてくるだろう。すると、被害に遭っても冷静な判断ができるだけでなく、新しいソリューションを導入する際の説明も少なく済む。
「コミュニケーションや社内連携など、レジリエンスの強化には『人』の力や組織力が欠かせません。普段から社内全体で情報共有していれば、予算もつけやすくなりますし、今後の対策で相互に協力しやすくもなるでしょう。良いコミュニケーション……セキュリティとは一見無縁のように思えるかもしれませんが、その恩恵は計り知れません。ぜひ、明日からでも実践していただきたいです。そして困った時には、一人で足踏みせず、ぜひ我々のような存在を頼っていただきたいです。いつでもお待ちしています」(扇氏)
