防御偏重の体制からの脱却！サイバー攻撃へのレスポンス態勢、セキュリティ監査のツボ―PwC林和洋氏

標的型攻撃を想定した対処方法のポイント――2つの重要な柱

　加えて近年ではサイバーセキュリティ基本法、金融庁の監督指針等の改正があり、コンプライアンス的にも見直すべき項目も多い。林氏は標的型攻撃を想定した対処方法のポイントを説明した。重要な柱を2つ挙げると、セキュリティ監査による現状分析を行うことと、防御偏重の体制からの脱却である。

「セキュリティ監査」による現状分析

　まずはセキュリティ監査。網羅的に監査するためには、マトリックスを作成するのが有効だという。軸の1つは企業活動フレームワークを据えて「戦略／ポリシー／プロセス／人／技術」、もう片方の軸には情報セキュリティアーキテクチャを据えて「抑止／予防／検知／回復」、ここから全ての項目を埋めていく。日本では後者の軸で「検知」と「回復」部分が弱い傾向にあるという。

　もうひとつ、監査に有効なのがツールや標準の組み合わせだ。林氏はPwCが独自に提供しているセキュリティ・アセスメントフレームワーク「PwC Security ATLAS」と各種セキュリティガイドラインの組み合わせが「全体像を把握するのに有効」と話す。

　さらに深く切り込んでいくにはいくつかのアプローチがある。脅威の特性によりシナリオを作成する、保有する資産や事後の影響を見直す、情報システムの脆弱性と脅威の関連づけを行うなどだ。 　

　セキュリティ管理態勢と脅威シナリオで現状をチェックしたら、次はアクションプランの策定だ。あるべき姿を明確にして、投資計画とロードマップを策定していく。この段階で参考になるのが同業他社との比較だ。PwCでは情報セキュリティ態勢について調査をしており、業界ごとの平均像などを把握している。同業他社と比較することで、おおよその目指すレベルが分かり、どこにどれだけ注力すればいいかが見えてくる。林氏はセキュリティ態勢については本業のビジネスではないため、「業界トップを目指せばいいということではありません」と念を押す。

防御偏重の防衛体制からの脱却を

　監査とならび、重要な柱として林氏が指摘するのが防御偏重の体制からの脱却だ。PwCのグローバル情報セキュリティ調査2015によると、多くの日本企業では「防御」のレベルは高いものの、「戦略」、「検知」、「レスポンス態勢」は海外に後れを取っている。標的型攻撃など昨今の脅威を考えると、防御以外の部分を強化していく必要がある。 　

　特に注視すべきは「検知」だ。日本ではSOCの未設置、あるいは十分に機能していないことによりインシデントの監視や検知が十分に行われていない。林氏は最近のサイバー攻撃が複雑化かつ巧妙化していることを指摘した。標的型になると用意周到に準備し、情報を収集したり、指令サーバーなどを使うという仕組みを理解しておく必要があるという。