ページの本文へ

Hitachi
お問い合わせお問い合わせ

background

メガリーク(大量漏えい)を防げ!
企業が取り組むべきCSIRT構築のポイントとは

本コラムは、2015年4月13日に「ビジネス+IT」に掲載されております。

2015年1月9日に施行された「サイバーセキュリティ基本法」は、サイバーセキュリティに対する国の基本方針を定めたものだが、一般企業にはどのような影響があるのか。長年、セキュリティソリューションを提供してきた日立システムズの大森雅司氏は、「ここ数年で日本のセキュリティ環境は大きく悪化した」と指摘する。大森氏に、セキュリティの最新動向や企業の対策で注目されるCSIRT(シーサート)構築のポイントなど、いま企業が取り組むべきセキュリティ対策について話を聞いた。

サイバーセキュリティ基本法成立で、国の取り組みも本格化


事業戦略・開発本部
サイバーセキュリティリサーチセンタ
主任技師 大森 雅司

2015年1月9日、「サイバーセキュリティ基本法」が全面施行された。「基本法」とあるように、本法はサイバーセキュリティの基本理念を定め、サイバーセキュリティに対する国の基本方針を示したものだ。この法律が施行された背景について、日立システムズ サイバーセキュリティリサーチセンタ 主任技師 大森雅司氏は次のように説明する。

「まず、情報セキュリティとサイバーセキュリティの違いを把握しておく必要があります。情報セキュリティは、あくまでデータに着眼したセキュリティであり、データを外部に漏らさない、壊されない、改ざんされないという視点のセキュリティモデルです。一方、今日のサイバーセキュリティは、影響範囲が、外交や安全保障、知財、経済など、より広い分野にまで波及する問題となっています。欧米では、数年前に同様の法律が制定されていますので、ようやく日本もそれに追いついたことになります」

同法では、内閣官房の下に「サイバーセキュリティ戦略本部」を設置することを定めており、今後は政府主導によるサイバーセキュリティ戦略立案の動きが活発化するだろう。

金融や鉄道、電力などの重要インフラ事業を展開する企業は、自社のビジネスだけでなく、安全操業を阻害する要因に直結するだけに、こうしたセキュリティ脅威の動向に十分注意する必要がある。一方で、一般企業の多くは「あくまで国の動きで自社との直接的な関係は薄い」と感じるかもしれない。しかし、国と個々の企業が置かれている状況がともに危機的であることは、実は同じなのである。

ここ数年で大きく悪化した日本のセキュリティ環境

数年前まで、日本はウイルス感染率では、比較的安全な国と考えられていた。日本語の壁もあり、海外の手法が日本でそのまま使えないこともあったが、現在では、こうした常識は完全に崩れていると、大森氏は指摘する。

「以前は、最新のOS、アプリケーションを導入し、最新のセキュリティ更新プログラムを適用したうえで、変なメールは開かない、怪しいサイトにはアクセスしない、という対策である程度は防げました。しかし、最近の標的型攻撃では、攻撃者は入念な下調べをしたうえで攻撃を仕掛けます。具体的には、会社の取引先や人間関係を調べ上げ、まったく不自然ではないメールを送りつけて侵入するのです。日本だけを狙った攻撃も増えており、たとえば、年末調整の時期に合わせて健康保険の問い合わせを装ったメールを送りつけ、侵入を試みた例も報告されています」

いったん侵入を許してしまうと、攻撃者がアドバンテージを握ってしまい、社内の機密情報が盗まれてしまう危険性が高くなる。たとえば、研究開発の情報を盗まれたら、他社に市場そのものを奪われる可能性がある。個人情報の漏えいがもたらすインパクトも、多くの事件・事故で実証済みだ。特別損失という財務上のインパクトはもちろん、その後の訴訟リスク、企業ブランドの毀損は大きい。特に“メガリーク”と呼ばれる大量データの漏えいは、経営そのものを直撃する。企業にとってサイバーセキュリティは、経営課題そのものなのである。

注目されるCSIRT、体制構築のポイントは?

サイバーセキュリティへの国の取り組みが本格化し、現実の被害が発生しているにもかかわらず、多くの企業の取り組みは、いまだ十分とはいえない。なぜなのか。

「残念なことですが、ほとんどの経営者がセキュリティを意識するのは、コンプライアンスの問題や現実のセキュリティ事故が起きたあとです。その理由は、経営者の中で、セキュリティリスクと経営リスクが結びついていないからだと思います。これは経営者側だけの責任だけではなく、IT従事者やセキュリティ担当者側が十分にそのリスクを説明できていないという面もあると思います。すなわち、現場と経営をつなぐパスが必要なのです」

そこで注目されているのが、CSIRT(シーサート)だ。CSIRTは「Computer Security Incident Response Team」の略で、コンピュータやネットワークを監視し、問題が発生した際は、その原因究明や調査を行う組織である。CSIRTの重要性について、大森氏は次のように説明する。

「CSIRTの役割は『コーディネータ』であることです。単純に技術だけで対応するのではなく、経営層に問題を提起し、自社のセキュリティレベルを踏まえたうえで、経営層としっかりコミュニケーションすることが重要です。CSIRTを立ち上げても、経営層とのパスがなく、情報システム部門だけで回していると、うまくいかないケースが多いようです。いまや、セキュリティはシステムだけでは守れません。最も狙われるのは人ですので、個々のセキュリティリテラシー、セキュリティレベルを上げて、なおかつセキュリティを守るというカルチャーを作っていくことが重要です」

CSIRTの役割

日本特有の攻撃にも強い国産CSIRTサービスの実力

これだけ攻撃が巧妙化・複雑化すると、自社だけで十分な対策を立てることは容易ではない。CSIRTを立ち上げるにしても、適切に運用し、効果を出していくためには、やはり外部の専門家の知恵を活用するのが賢明だろう。

現在、さまざまなソリューションがあるが、中でも日立システムズが提供するSHIELD(シールド)は、国内企業としては古参といえる歴史を持つセキュリティソリューションだ。

「SHIELDは、当社が提供しているセキュリティソリューションの総称です。もともとは、日立製作所のインターネット事業のセキュリティ事業として1996年にスタートし、時代に合わせてさまざまなサービスを提供してきました。現在は、お客さまの資産を預かって運用するアウトソーシングサービス、ファイアウォールの運用やIDS/IPSなどの攻撃検知サービス、セキュリティオペレーションセンター(SOC)、さらにCSIRTを支援するサービス「クラウドCSIRTサービス」を提供しています。「クラウドCSIRTサービス」は、お客さま先でセキュリティインシデントが発生した際に支援することはもちろん、セキュリティインシデントを予防するための情報提供や監視サービスを提供しています」

CSIRTの継続的な運用を支援する「SHIELD クラウドCSIRTサービス」のイメージ

2014年に、セキュアブレインを子会社化したことも、SHIELDの強化につながった。いま、セキュリティを手がける企業のほとんどが米国企業だが、セキュアブレインは独自の解析エンジンを開発している数少ない日本企業だ。日本を標的とした攻撃が増えている現在、これは大きな強みとなる。

セキュリティの脅威は、IT環境の変化とともに変化する。今後、IoTでさまざまなデバイスがインターネットにつながれば、これまで予想もしなかった攻撃が行われる可能性もある。世界の潮流としても、セキュリティ対策は国家の安全保障にかかわる課題であり、企業のトップが考えるべき経営課題であると認識されてきている。CSIRT構築やその支援を行うSHIELDの活用は、日本企業にとって喫緊のテーマと捉えるべきではないだろうか。

「ビジネス+IT」は、ソフトバンクグループのSBクリエイティブ株式会社によって運営されています。
本内容は、2015年4月13日に「ビジネス+IT」に掲載された情報を転載しています。
本内容は、2015年4月時点の情報です。本コラムに記載の情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。

日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。