講演レポート:第96回 相次ぐサイバー攻撃被害、もはや常識的な対策は通用しない!|Prowise Business Forum|株式会社日立ソリューションズ

株式会社 日立ソリューションズ

Prowise Business Forum in TOKYO 第96回

相次ぐサイバー攻撃被害、もはや常識的な対策は通用しない!
~BCP(事業継続計画)視点で捉えるセキュリティ対策の全体最適化~

 2018年7月5日、Prowise Business Forum in TOKYO 第96回が開催され、多くのご来場者を集め盛況のうちに終了しました。
冒頭のセッションは日立ソリューションズが担当し、企業が事業継続計画(BCP)として実施すべきサイバー攻撃への対応策について論じました。また今回は、当社と「サイバー攻撃対応BCPソリューション」の提供で協業する日立システムズが、サイバー攻撃の被害を最小化するためのセキュリティの運用監視、早期検知、未然対応の実現について説明しました。
 後半の基調講演では、国立研究開発法人情報通信研究機構(NICT)の園田 道夫氏にご登壇いただき、今後必要なセキュリティの技術や知見と、それを備えるための人材を育成するさまざまな育成事業についてご紹介いただきました。

開催概要

日時 2018年7月5日(木) 14:30~17:10 (14:00 受付開始)
会場 〒140-0002 東京都品川区東品川4-12-7
日立ソリューションズタワーA 4F 講堂
主催 株式会社日立システムズ、株式会社日立ソリューションズ

【日立ソリューションズセッション】
企業が事業継続計画として実施すべきサイバー攻撃への対応策
~事例から学ぶサイバーBCPの対策ポイント~

中川 克幸
株式会社日立ソリューションズ
セキュリティソリューション本部 セキュリティマーケティング推進部
グループマネージャ 中川 克幸

 日立ソリューションズセッションでは、通常の事業継続計画(BCP)とサイバー攻撃に対応するためのBCPの違いや、最近のセキュリティインシデント事例、サイバー攻撃対応BCPソリューションについて紹介した。

災害・パンデミック対応BCPとサイバー攻撃対応BCPでは対策内容が大きく異なる

 セッションの冒頭で中川は、近年の代表的なサイバー攻撃による顧客情報漏えい事件などをいつくか紹介した上で、BCPをITの側面で整備するIT-BCPにおけるサイバー攻撃対策の盲点について指摘する。

 IT-BCPでは、情報システム部門と業務部門が連携し、DR(災害復旧対策)サイトの構築や、バックアップデータを利用した代替手段の準備が主な要素となる。だが、一旦サイバー攻撃が発生するとDRサイトにもマルウェアが感染したり、本番環境がランサムウェア(データを勝手に暗号化して身代金を要求するマルウェア)に気付かず暗号化されたファイルがバックアップデータと保管されたりするなどの被害が拡大する。

 また、公開Webサーバーが不正アクセスやDDoS攻撃(標的のサーバーに大量の処理要求を送ることでサービスを停止させてしまう攻撃)をされた場合も、原因究明・対策が遅れたり、Webサーバーがダウンしている間の損失やサイトの信用失墜が想定されていなかったりすることが問題になるという。

「従来のIT-BCPだけではサイバー攻撃には対応できません。自然災害やパンデミックとは異なる経営の観点や事業を考慮した特別な対応策の検討が必要です。」と中川は強調する。

 災害やパンデミックは不特定が被害を受けるが、被害状況は気付きやすく、復旧タイミングは即時に行えるという特徴がある。一方、サイバー攻撃の場合はターゲットを明確にした攻撃が多い上、被害状況は把握しづらい。また、復旧には原因究明が必要なため調査体制の構築が必要になるが、リスク低減はある程度可能になるという違いがあるという。

サイバー攻撃特有のIT-BCP策定・運用をPDCAサイクルで支援

 次に中川は、セキュリティインシデントに対応する「サイバー攻撃対応BCPソリューション」の概要を説明した。サイバー攻撃対応BCPソリューションは、サイバー攻撃対策に悩む企業に向け、セキュリティの運用監視に強みを持つ日立システムズと、リスク分析やコンサルティングにノウハウを持つ日立ソリューションズが共同で企画・開発し、両社のセキュリティ関連の製品・サービスを組み合わせることで、サイバー攻撃に対応できるBCPの計画から運用までを支援する。2018年1月に提供を開始した。

「マルウェアなど高度化・多様化するサイバー攻撃に対し、特有の判断基準や行動基準を考慮したBCP策定およびマルウェア感染対策、24時間365日の総合監視など、お客様の規模・予算に応じたBCPの策定・運用をPDCAサイクルで支援します。」と中川は解説する。

 PDCAのPlanとなる「サイバー攻撃対応BCP策定コンサルティング」では、1)リスクアセスメント手法を用いた事業への脅威分析と、2)予防策と事後対策の両面を考慮したサイバー攻撃対応BCP策定の2フェーズで構成され、日立ソリューションズの約18年にわたるコンサルティングの実績とノウハウを基に、サイバー攻撃にはどのようなBCPが必要かを明確にし、今後のセキュリティ運用の強化を図る。

 次に、Doの「防御策およびインシデント対応」では、入口対策だけでは標的型サイバー攻撃やランサムウェアの攻撃を100%防止できないことを想定し、WAF(Web Application Firewall)やDoS/DDoS対策、改ざん検知、脆弱性攻撃対策やエンドポイント対策などで多層防御することにより未知の攻撃リスクを低減する。

 3つ目のCheckの「運用・監視」は、ネットワークおよびコンピュータの監視を24時間365日体制で実施する。

 最後のActionとなる「教育・訓練」では、主に経営層や管理職を対象に、標的型メール攻撃や情報漏えい発生を想定したインシデント疑似体験を通じて、1)インシデント対応の当事者の判断力を向上するインジェクト型、2)インシデント発生時の体制の確認・整備を想定したシミュレート型の2種類の実践的な演習を提供する。

 最後に中川は、「サイバー攻撃による被害が発生したとしても、慌てずに影響範囲を最小化し、業務を継続できるようなサイバー攻撃に特化したBCPを策定しておくべきです。そのための具体的な対策の強化や運用・監視、あるいは教育・訓練の必要があれば、ぜひ私たちのような専門家にご相談ください」と提案し、セッションのまとめとした。

【日立システムズセッション】
サイバー攻撃の被害を最小化するための「セキュリティ運用監視」

山野 浩 氏
株式会社日立システムズ
ネットワークセキュリティサービス事業部
主管技師長 山野 浩 氏

 日立システムズセッションでは、サイバー攻撃の現状とセキュリティ運用管理の問題点や、サイバー攻撃を監視・早期検知・未然防止する仕組みを構築するためのポイントなどついて紹介した。

サイバー攻撃対策実現のポイントは攻撃や予兆の早期検知と被害の未然防止

 近年のサイバー攻撃の傾向について、山野氏は2010年ごろから潮目が変わったと話す。それまでは愉快犯的な目的で不特定多数を狙ったウイルスのばらまき・Web改ざんなどが中心だったが、近年は金銭・情報窃盗、事業妨害を目的に、プロフェッショナル化した犯罪組織が標的企業や社会インフラを狙う攻撃手法の巧妙化が進み、国内不正プログラムの数も2015年から2017年までのわずか2年間で8倍近くも増加しているという。

 山野氏は、「2017年度は脆弱性を狙った攻撃による被害が連続的に発生しました。そのため、脆弱性を放置せず、速やかに対策を行うことが企業に求められています」と語る。

 国内では、2015年1月に全面施行、2016年10月に改正法が施行された「サイバーセキュリティ基本法」にて国のセキュリティ対策の柱が定まり、現在は、年次計画の具体的な施策を示した戦略案「サイバーセキュリティ 2018」が策定・公開されている。経済産業省による「サイバーセキュリティ経営ガイドライン」の普及活動もその具体策の一つで、昨年11月に改訂されたVer2.0では、リスク対応策(防御・検知・分析)と復旧体制の整備が加えられ、企業経営者に対し、“攻撃は防げない”、“経営への影響を最小化する”といった意識改革と責任理解を促している。

 さらに、そこでは情報セキュリティ対策を実施する担当幹部(CISO;最高情報セキュリティ責任者)に指示すべき“重要10項目”も示され、その中でも特に、「サイバーセキュリティリスクに対応するための仕組みの構築(早期検知のための運用導入)」(指示5)や、「インシデントによる被害に備えた復旧体制の整備(サイバーセキュリティにおけるBCP)」(指示8)に山野氏は注目しているという。

「サイバー攻撃対策実現のポイントとしては、攻撃を想定したBCPの策定は必要。そして、そのBCPを有効に機能させるためには、セキュリティ監視による攻撃や予兆の早期検知・アラートを促したり、被害の未然防止のため侵入されても脆弱性を悪用されない資産管理を実施したりすることが重要です」と山野氏は重ねて訴える。

セキュリティ運用管理の問題を解決する日立システムズの統合監視サービス

 次に、山野氏は、セキュリティ運用管理の問題点について大きく4つを挙げた。1つ目はインテリジェンス(脅威情報)。日々膨大なインテリジェンスが収集される中、その判断・フィルタリング・分析・点検にも膨大な工数とコストがかかっている。

 2つ目はシステムの脆弱性診断。診断ツールが取り込む新たな脆弱性情報に合わせて短周期(海外並みに週に1度)での診断が必要となる。

 3つ目はログ監視。一般的な企業におけるインシデント検出件数は毎月1万件にも及ぶが、何らかの調査や対策が必要な検知はその数%~十数%しか過ぎず、分析スキルと人材の不足が大きな問題となっている。

 4つ目はレポーティング。個々の活動を運用者が総合的に評価しリスク分析レポートとして報告することになるが、人によって内容が変わってしまうことを避けるため、人に依存しない形でのセキュリティリスク管理を考慮する必要がある。

 そこで山野氏は、自社にそうしたスキルを持った人材が不在の企業に役立つ、日立システムズの「SHIELD セキュリティ統合監視サービス」を紹介した。これは、同社のSOC(SHIELD統合SOC)の専門家が、お客様のIT資産の状態を24時間365日体制で運用・管理・監視するサービスで、“統合SOC”と銘打つ理由としては、オフィスの情報システムのみならず、工場などの制御系システムにおけるラインのセキュリティ監視も実施するという意味を持っている。また、従来のSOCは不正通信(脆弱性攻撃)が本格化してからアラートを上げるが、統合SOCは脆弱性情報を取り込んだ段階で脆弱性監視を開始し、攻撃コードの公開で攻撃リスクが上がったことを検知して、お客様へ対策案を提示するとともに対策サポートも実施するため、攻撃が本格化する前に対策を実施する“未然防止”の効果も実現するという。

 加えて山野氏は、遠隔でCSIRTの運営を支援する「クラウドCSIRTサービス」や、お客様のシステム構成情報と脆弱性情報を定期的にマッチングさせる「ぜい弱性管理支援サービス」なども紹介し、自身のセッションを終了した。

【基調講演】
サイバーセキュリティ人材育成の現在地

園田 道夫 氏
国立研究開発法人情報通信研究機構
ナショナルサイバートレーニングセンター
センター長 園田 道夫 氏
【講師プロフィール】

中央大学大学院 工学博士課程修了。博士(工学)。2003年よりNPO日本ネットワークセキュリティ協会(JNSA)非常勤研究員、2004年より独立行政法人情報処理推進機構(IPA)非常勤研究員、経済産業省、IPA主催セキュリティ・キャンプ実行委員・講師等として携わる。2007年4月より、サイバー大学IT総合学部准教授、2007年より白浜サイバー犯罪シンポジウム危機管理コンテスト審査委員、2012年よりSECCON実行委員(事務局長)、2014年4月サイバー大学IT総合学部教授(2017年退官)、2016年 国立研究開発法人情報通信研究機構セキュリティ人材育成研究センター長等を経て、2017年 国立研究開発法人情報通信研究機構ナショナルサイバートレーニングセンター長として、現在に至る。

 基調講演では、サイバー攻撃対策に必要なセキュリティの技術や知見について論じたほか、サイバーセキュリティに関わるさまざまな人材育成事業の事例について紹介した。

日本独自のサイバーセキュリティ人材の育成が急務

現在、世界では年間7億種のコンピュータウイルスが作られ、その勢いは止まらない状態にあるという。また、ウイルスだけではお金を儲けるモデルが描きづらいということから、データを人質に取って直接身代金を窃取する現在のランサムウェアが生まれ、最近ではIoTをターゲットにしたマルウェア「Mirai」が猛威を振るい、膨大な数のルーターやWebカメラなどのネットワーク接続機器がボット化される事態にもなった。

 こうしたサイバー攻撃の現状について、園田氏は、「これまでの開発、研究、試行されてきた攻撃全てを繰り返す総攻撃に加えて、ハイブリッド化やコンビネーション化などが進み、何か・誰かに感染すれば組織のどこかに必ず残っている弱い部分をターゲットにできることから、全てのコンピュータが狙われる状態になっています」と分析する。

 園田氏の所属する国立研究開発法人情報通信研究機構(NICT)では、国内外30万IPアドレスの観測網を持つ「NICTER」による観測で国別のサイバー攻撃傾向を調査するほか、狙われるポート番号の比率と脆弱性を解析しているという。また、標的型攻撃の攻撃者を模擬環境である並行ネットワークに誘引し、攻撃者の挙動をリアルタイムに観測・分析可能なサイバー攻撃誘引基盤「STARDUST」を活用することで、攻撃者にとって都合のよい判定をさせる“データ汚染”の研究や、観測点の検知研究も行っているという。

 そのデータ汚染について、園田氏はいくつかの懸念を持っている。例えば、プロトコルの認証がなく脆弱なGPSデータの汚染や、敵対的AIによる推測と攻撃、特徴的モデル推測からの攻撃、ネットワーク化・抽象化の異常検知などだ。

 また、データセットの重要性も増す中、データセットの整備プロセス(特微量設計、偏り、欠損値、数値化など)の煩雑さなどにより共有と保護が課題となっているほか、変化が大きなデータ(マルウェア、クロスサイトスプリクティング攻撃など)によるデータセットの鮮度維持と共有も難しいという課題がある。また、実測データは網羅性でも課題があるため、実測データそのものよりも網羅性が高い、人工データセットを設計・構築できる人材の育成が必要になっているという。

 園田氏は、今後日本で求められるセキュリティ人材像について、「可能性を広げる攻撃の研究や、データセットの設計・構築、特徴モデルの発明・実装・テストが可能なエンジニア」と明言し、海外の知見に頼らず、日本独自で仕組みやシステムを作ることができる力を養うべきだと訴える。

セキュリティをもの作りでなんとかしたいという強い思い

 そんな園田氏が関わってきたセキュリティ人材育成にはイベント形式の取り組みが多い。例えば、合宿形式の勉強会「セキュリティ・キャンプ全国大会」や、セキュリティコンテスト「SECCON」、若手セキュリティイノベーター育成プログラム「SecHack365」などがある。  特に、2012年にスタートしたSECCONは、世界で開催されている情報セキュリティ技術を競い合うゲーム大会のCTF(Capture the Flag)と、ワークショップやカンファレンスが合体したようなイベントで、2017年のオンライン予選には102ヶ国、1028チーム、4347名が参加するなど大変な人気となっている。

 「CTFは人間の知識や経験による戦いだけではなく、検知の自動化の実験場となっており、発明やモデル化の戦いという側面も持っています」と園田氏は話す。SECCONに参加することでライバルと知識を共有し、自分の技術的立ち位置の確認や定量的測定手段にもなり、サイバー攻撃を試すための高価なサイバーレンジ(攻撃側と防御側に分かれてサイバー攻防を疑似体験できる装置)や演習環境を存分に利用できるメリットもあるという。

 こうした園田氏の活動の動機には、「セキュリティをもの作りでなんとかしたい」という強い思いがあるという。根性論を強いるセキュリティリテラシーの向上を見直し、よいモノを作ることで攻撃者の攻撃コスト負担を高め、防御側の苦労を激減させるために、もっと多くの人にセキュリティ課題に取り組んで欲しいという。そのためには、社会的コストの投下先を見直し、投資パフォーマンスの最大化を図る必要があるという。

 「一般の人に根性論的な教育で投資し続けるよりも、セキュリティ専門家に投資して、新しい手口や攻撃手法から守る仕組みの発明を促進するシステムを構築する方が、社会的な投資の循環効率は高まります」と園田氏は訴える。

 そして最後に、園田氏は、「セキュリティ人材の育成においては、競技やワークショップなどによってさらなる工夫と刺激を与え、セキュリティ業界が楽しい場所だとプロモーションすることが大事です。そのために、若い人たちに経験を積ませる場や、刺激を与える場を用意し、さらにはもの作りを支援する場や、もの作りを実践する場を作っていくことが必要です。それらの実現を今後もめざしていきたいと思っています」と抱負を語り、基調講演を終了した。

講演資料ダウンロード

フォーラム当日の講演資料はこちらからダウンロードできますのでご覧ください。

お問い合わせ

株式会社日立ソリューションズ Prowise Business Forum 事務局
〒140-0002 東京都品川区東品川4-12-6(日立ソリューションズタワーB)
TEL : 0120-958-545 (受付時間 月~金(祝祭日を除く) 10:00~17:30)
FAX : 0120-989-097
E-mail : pbf@hitachi-solutions.com

セミナーに関するお問い合わせ

セミナーに関するご質問・ご相談など

お電話でのお問い合わせ 0120-958-545 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分

Webからのお問い合わせ

セミナーに関するお問い合わせ

日立ソリューションズ 論より証言