「サイバーセキュリティ対策セミナー」 〜明治大学教授、セキュリティ学会理事、ソリューションベンダーによる最新動向と対策〜|サイバーセキュリティ.com

「サイバーセキュリティ対策セミナー」 〜明治大学教授、セキュリティ学会理事、ソリューションベンダーによる最新動向と対策〜



ベースラインAPT対策コンソーシアム(以下BAPT)主催の「サイバーセキュリティ対策セミナー」に参加してきました!

  • サイバーセキュリティに対する最新動向
  • セキュリティ人材育成における課題
  • 経営者を巻き込んだ組織的取り組み
  • 対策ソリューション

など、盛りだくさんの内容をレポートでご紹介します!

ベースラインAPT対策コンソーシアムについて

BAPT 理事長 曽根氏

はじめに、主催であるBAPTの理事長曽根氏よりBAPTに関するご紹介が行われました。

BAPTでは「サイバーセキュリティ経営ガイドライン」をもとに、中堅中小企業であっても導入しやすいセキュリティソリューションを推進し、啓発活動を行っています。

サイバーセキュリティ経営ガイドラインは、経営者向け、CISO・セキュリティ担当者向けに作成されており、コンサルティング的なものから技術的な内容まで幅広く整理されています。

今後さらに高まるセキュリティリスクに備え、経営者の視点で「リスクアセスメント」を行い、具体的な対策をブレークダウンしていくことが重要なのです。

参照ベースラインAPT対策コンソーシアム

現在BAPTを構成している企業は8社。国内でも高いコストパフォーマンスを実現しているセキュリティベンダーが集まっているサイよー。

【基調講演】人材の観点からみるセキュリティ対策の洗い出し

第1セクションは、Webセキュリティを専門とし、ブラウザフィンガープリント技術やメモリ破壊攻撃対策についての研究を行われている明治大学理工学部情報科学科教授の齋藤氏による基調講演です。

サイバー攻撃の様相が変化

明治大学理工学部情報科学科教授 齋藤氏

近年サイバー攻撃は、金銭を目的とした組織的な攻撃に変化してきています。背景には世界各国の政治的思惑も関係しているとみられ、サイバー攻撃の矛先は日本にも向けられています。

サイバー攻撃に用いられるウィルス(マルウェア)は1日に約120万件報告されており、脆弱性の報告件数も2006年以降増加の一途をたどり、2017年には2,500件超の脆弱性が報告されています。

ちなみに、ソフトウェアに「脆弱性」があるからといって、必ずしもサイバー攻撃に利用されてしまうわけではありません。また、マルウェアの作りに関しても、

  • 脆弱性などを悪用し、マルウェアを用いて制御を奪う「エクスプロイト」
  • 奪った制御で実行する「ペイロード」

の2種から構成されており、この組み合わせにより様々なマルウェアが存在します。認識を誤っている場合は注意が必要です。

最近のサイバー攻撃、トレンドは?

ここ数年のサイバー攻撃で、主に用いられている手法は下記の通りです。

攻撃手法 事例
従来型マルウェア(ばらまき型攻撃) 2015年〜:ランサムウェア
2017年〜:マイニングウィルス
BEC(ビジネスメール詐欺) 2017年12月:JAL
標的型攻撃・情報漏洩 2014年:ベネッセ
2015年:日本年金機構
DDoS攻撃 2007年:エストニア
2016年:仏OVH
Web改ざん 2013年:函館信用金庫
2017年〜マイニングスクリプト埋め込み
IoT関連 2015年:Jeep社製SUV
2016年:Miraiボットネット

2012年以降爆発的に増加したインターネットバンクにおける「不正送金」は、警察機関及び大手銀行などが対策を行ったことにより、2016年には発生件数・被害額ともに大幅な減少となりました。「標的型攻撃」や「ランサムウェア」についても、一般的に認知度が高まってきていることで増加率は頭打ちの傾向がみられます。

これらに変わり、現在増加傾向にある攻撃手法が「BEC(ビジネスメール詐欺)」です。その具体的な仕組みとしては、認証情報窃取を目的とした「キーロガー」や「フィッシング」、送金を促す「偽の請求書送付」などが目立ちます。

また、「個人情報漏洩」に焦点を当てて検証してみると、最も多い原因は「人的ミス」であり、2017年のJNSAの調査では個人情報漏洩の約75%が人的ミスにより発生していたことがわかっています。ちなみに、個人情報漏洩を含むサイバー事件・事故は企業規模に関わらず発生していることが、2018年の齋藤研究室での調査でも確認されました。

過去の情報漏洩事件から対策を考える

日本年金機構

2015年に発生した日本年金機構における情報漏洩事件は、標的型攻撃の詳細な分析報告書が公開された珍しい事例です。現在のレベルで考えても高度な技術対策がとられていたにもかかわらず、人的・体制的要因により125万件という大規模漏洩が発生してしまいました。

この事件から、現場レベルでの「攻撃対応手順」を整え、日頃から「トレーニング」しておくことが重要ということがわかります。

関連日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか>

ぴあ株式会社

脆弱性が悪用され、ぴあ株式会社運営のサイトから情報が漏洩。セキュリティコードを含むカード情報が漏洩したことで197件(630万円)の不正利用が発生しました。

サイトのシステム開発はぴあ株式会社から下請け企業へ再委託されており、責任の所在が問われる事例となりました。また、ユーザーによるSNS投稿から事件が発覚したことも、企業の信頼を失墜させる要因と言えます。

この事件からは、「脆弱性情報の収集及び早期対応」や「委託先の選定力」が必要不可欠ということがわかります。

参照ぴあ受託のBリーグサイトへ不正アクセス、個人情報15万件流出か

セキュリティ対策には「フレームワークアプローチ」が有効

企業規模・業種・業態によって情シス部門が担う業務は異なります。また、実際に業務を担う担当者の技術スキルによっては対策が不十分な項目も出てきてしまうのが現状です。

そこで有効な方法が「フレームワークアプローチ」です。「NISTサイバーセキュリティフレームワーク」では、一般的に企業に求められる機能を分類・カテゴリー化し、自社に不足している部分を可視化できる仕様となっています。

思いつきでセキュリティ対策を行うのではなく、過去の事例を参考にしつつ、必要とされる項目・カテゴリーを満たす体制を整えることが重要なのです。

過去の事件から学ぶ点は多いサイねー。思いつきの対策ではなく、必要とされる機能を網羅する”体制作り”が、まず必要ということサイね。

セキュリティガイドラインからひも解く、知っておくべきセキュリティ対策ポイント

ウォッチガード・テクノロジー・ジャパン株式会社 正岡氏

第2セクションは、ウォッチガード・テクノロジー・ジャパン株式会社の正岡氏による製品紹介です。

ウォッチガードのFirebox アプライアンスは、専門ベンダーの高セキュリティ機能で構成されており、低コストながらもエンタープライズクラスの高いセキュリティパフォーマンスを発揮し、評価を得ている製品です。

未知・回避型マルウェア等に対する新たなソリューションとしては、脅威分析をクラウド上で実施し、防御・スコアリングを行う「Threat Detection and Response(TDR)」や、サンドボックス技術をクラウド化した「APT Blocker」を全てカバーする「Total Security Suite」が有効です。

サイバーセキュリティ経営ガイドラインからは、”サイバーセキュリティに対する投資は不可欠”であり、”経営者としての責務”であることが読み取れます。ガイドラインでは段階に応じ様々な項目が設けられていますが、ウォッチガードの提供するソリューションであれば包括的な対策を行うことが可能です。守るべき情報を明確にし、段階に応じた適切な対策を講じましょう。

ソリューションそれぞれ、専門企業が提供しているだけあって、信頼感が高いサイねー。

未知の脅威に対抗するウェブルートのMVPソリューションとは

ウェブルート株式会社 濱田氏

第3セクションは、ウェブルート株式会社の濱田氏による製品紹介です。ウェブルートは、北米小売店でNo.1のシェア率を誇り、20万以上の法人ユーザー、3,000万以上のエンドポイント契約など、顧客満足度の高い企業です。

近年急速に開発が進められている「AI」は、サイバーセキュリティ分野において「脅威」にも「防衛ツール」にもなり得る存在です。ウェブルートでは、いち早く「第五世代機械学習(AI)」を用いたセキュリティを提供しており、脅威検出やデータ収集の効率化を実現しています。

また、ウェブルートでは高度化するサイバー攻撃に対し「MVPソリューション」を推奨しています。「MVP」とは「Mulch Vector Protection(マルチベクタープロテクション)」の略で、「複数経路保護」を意味します。これは、近年セキュリティ対策で一般的となってきた「多層防御」を、1つのソリューションで実現するといったものです。

「軽い」「速い」「セキュア」「管理が容易」といった、ユーザにとって魅力的な特長を兼ね備えたMVPソリューションは、これまでに顧客満足度95%を達成しており、「複数経路保護」は今後さらに普及していくものと考えられます。

AIの活用や、複数経路保護など、セキュリティ対策において”新たな流れ”が生まれていることがわかったサイよー!

そこにあるサイバー攻撃をひたすら実感する。「攻め」のデモと「守り」の演習

ニュートン・コンサルティング株式会社 内海氏

第4セクションは、ニュートン・コンサルティング株式会社の内海氏による「デモ」「演習」の流れ、及びサービス紹介です。ニュートンは、内閣官房におけるサイバー訓練のシナリオ作成や、金融庁職員向けのサイバー研修、東京都オリパラ準備局の支援なども行うコンサルティング企業です。

日本では約4割の企業が重大な情報漏洩被害を経験しているとのデータが出ています。情報漏洩発生により発生するコストは、復旧にかかった時間・日数などで大幅に変化しますが、平均して6億2,811万円と巨額です。

企業においてサイバーセキュリティ対策は必須であり、国も様々な制度・義務付けを実施しています。そのため、「多層防御」や「サイバーキルチェーン」など、現在主流とされるサイバーセキュリティ対策を実装しようとする企業も増えてきていますが、そこには「どこまでやればいいの?」「他社はどこまでやっている?」といった疑問が生じているのが現状です。

ニュートン・コンサルティングでは、セキュリティ対策の最適化に必要な「ツール」「プロセス」「人(スキル)」「組織・体制」の4つの側面から、求められる対応レベルに合わせたコンサルティングを提供しています。

DDoS攻撃・ランサムウェア感染のデモでは、短時間で簡単に攻撃が行われてしまう様子がよくわかったサイよー。「何から始めればいいの?」と悩んでいる企業は、ニュートン・コンサルティングさんに相談してみるといいサイねー。

【逐次通訳講演】  ~セキュリティとクラウドへのゾーホーの旅路~

ゾーホーコーポレーション Deepa氏

第5セクションでは、ゾーホーコーポレーションDeepa氏よりゾーホーコーポレーション自身のセキュリティ対策への取り組みが紹介されました。

当社は、自社で開発しているIT運用管理ソフト「Manage Engine(マネージエンジン)」も活用しながらセキュリティ対策を行っています。

「サイバーセキュリティ対策」は一般的に、”普段の業務の邪魔になるもの”や”最終的に必要となるオプション”のように理解されがちです。しかし、サイバーセキュリティ対策を“楽しいもの”と捉えることができれば、結果は変わってきます。

ゾーホーの「セキュリティ」に対する考え方は以下の通りです。

  • セキュリティは様々な損失から企業を守り、ビジネスを加速させるもので、単なるコストと見るべきではない
  • セキュリティ対策は、コンプライアンスの副産物ではない
  • オールインワンで対策できるようなツールはなく、脅威やリスクは常に変化する
  • セキュリティの価値を理解し、楽しみながら続けていくことが大切
  • セキュリティ対策は、“禁止”ではなく“手助け”するというスタンスで行うと良い

セキュリティ対策を行う上で「人材」は弱みにも強みにもなります。強みにするためには、日々のトレーニングや、クラウドソーシングによる外部とのコラボレーションなどが有効です。「セキュリティを楽しもう!」と考えるゾーホーでは、人材育成のトレーニングとして「セキュリティ意識化プログラムのゲーム化(ゲーミフィケーション)」や「セキュリティブートキャンプ」など、様々なプログラムが行われています。

技術面からセキュリティ対策を考える場合、近年の攻撃に対し「一層」だけの防御は意味がありません。深い部分から、多層的に防御することが大切です。また、細かな部分ではありますがユーザーやデバイスの検証なども重要です。ゾーホーでは、特権IDやアカウント管理、エンドポイントセキュリティ、脆弱性管理など、それぞれのフェーズに応じ異なるツールを用い、包括的なセキュリティ対策を実現しています。

情報セキュリティを「楽しいもの」と考えるというのは、素晴らしいサイねー。この考えが日本中に広まれば、セキュリティレベルもきっと向上するサイね!

厳格な管理が求められる「特権ID管理」を効率的/短期間に導入するには

株式会社フェス 鈴木氏

第6セクションは、株式会社フェスの鈴木氏によるサービス紹介です。フェスは「システム運用」を主軸に、運用に伴うヘルプデスクや、コンサルティング、セキュリティトレーニングサービスの提供を行っています。

近年、内部・外部監査による指摘や、PCIDSS等の要求事項を満たすことを目的に「特権ID管理システム」を導入する企業が増加しています。IPAが公開するガイドラインにおいても「特権ID管理」は推奨されており、セキュリティ対策として一般的に認知されてきている傾向にあります。

特権ID管理の具体的な実施項目及び、その実施項目を行うために必要な項目は以下の通りです。

実施項目 実施項目を行うために必要な業務
1 「誰に」「どの特権ID」を許可するかの制御 特権ID利用の申請、承認ワークフロー
2 「どの特権ID」を「誰が」「いつ」利用したのかの特定と監査 特権ID利用に関する左記項目のログ記録
3 特権IDを利用した管理対象機器へのアクセス制御 特権IDによる機器に対するアクセス許可、もしくはアクセス拒否
4 特権IDを利用した操作の記録 動画等による操作の記録
5 特権ID及びそのパスワード管理 特権ID及びパスワードの一括管理、パスワードの定期/随時変更

このように「特権ID管理」は、事前準備はもちろん、運用開始後も実施しなければならない項目が多く、導入した企業では「手間がかかる…」「適切に運用するのは困難」と感じている企業が多いのが実態です。

特権ID管理システムの導入を検討している企業においては、「スモールスタート」で行うことをおすすめします。管理対象を絞り込み、本当に必要な要件かを事前に整理することで、運用負荷を抑え現実的に進めることが可能です。また、運用ツールを用いる際には、ツールに障害が起きた場合の復旧方法を検討しておくことも大切です。

フェスが提供するツール導入サービスでは、ツールの選定から実際の運用までトータルでサポートしてくれるサイよー。これはとても安心サイね!

【特別講演】サイバーセキュリティ何をどう守る?経営者が納得しない理由とその対応策

JSSM(日本セキュリティ・マネジメント学会)理事 萩原氏

第7セクションは、コンサルタントやCSIRT構築支援、各種サイバー攻撃対策、内部犯罪対応など約30年間に渡りサイバーセキュリティの分野でご活躍されるJSSM(日本セキュリティ・マネジメント学会)理事の萩原氏による特別講演です。

サイバーセキュリティ対策は「コスト」ではなく「投資」であるとIPAや内閣官房から提示されています。しかし、ある経営者は「セキュリティ対策に費用をかけたけど、1年間何も起きなかったじゃないか…無駄なのでは?」と発言しています。他にも、「セキュリティ対策を十分に行っている」と発表している企業が、事件・事故がなければ予算を削減してしまうなど、実際はお粗末な状態となっているケースが多いのです。

セキュリティを「コストパフォーマンス」で考えてはいけない

経営者の多くは、コストパフォーマンス(費用対効果)で物事を判断します。しかし、セキュリティ対策の実績は、コストパフォーマンスの物差しで測ることは不可能です。

セキュリティへの投資増により、安心安全なネット取引が出来、同業他社に対し優位に立てることなど、コストパフォーマンス以外の側面で大きなプラスがあるにもかかわらず、そこに意識が及ばないような経営者がまだまだ多いというのが日本の現状です。

犯罪者の目線で考えたセキュリティ対策でないと意味がない

実際にセキュリティ対策を行っている企業での問題点は、攻撃者が困る・諦めるような対策が行われているかという点です。

  • ログを採取・保存しているにもかかわらず分析していない
  • 入退室システムを導入したのに、業務上ドアを開け放しておく必要があり、実際には機能していない

これらは実際にあった事例であり、セキュリティ対策として全く意味を成していません。

特に製造業などでは、短期に「成果物」を求める傾向が強く、システム分析の結果を短期で出す、まるでベルトコンベアーでの製造の如く3割の時間経過で3割の成果物を求めるなど、情報セキュリティ分野では通じない常識を経営者が要求するケースが多く、セキュリティ対策が進まない…といった現状となっているのです。

CSIRTは”機能しているか”が重要

サイバーセキュリティ対策において「CSIRT構築」は有効的ですが、構築した後に”機能しているか”という点が最も重要です。これは「バーチャルCSIRT」であっても共通です。

立ち上げ当時は機能していたとしても、年月を経て人事異動等で担当者が変わってしまったことで、社内演習も行われていないようなケースも見受けられます。このような状態で「CSIRTがあるから安心」とは言えないでしょう。

サイバーセキュリティ対策はまず基本を押さえよう

サイバーセキュリティ対策を行う際に、高価な機器やソフトを導入することを考える企業が多いですが、セキュリティ意識の乏しい状態で運用できない体制のまま導入しても、全くの無駄です。

まず、企業が行うべき「基本的対策」は以下の通りです。

  • 内部統制を確立させる
  • 戦略的投資としてセキュリティの予算を策定する
  • 内部不正が起こらない仕組みを作る
  • 機器やソフトよりもまずは「人」に投資する
  • 企業内の「見える化」ができているか確認
  • セキュリティ教育やセミナーは長期的な視野に立って実施する
  • 情報のアンテナを常に高くしておく
  • 犯罪者の視点で業務システムを見直す

上記を満たした上で、次のステップへ進むことで意味のあるセキュリティ対策が実現されるのです。

様々な実例が紹介されましたが、セキュリティ対策をしている”つもり”な企業が、本当に多いということがわかったサイよー。まずは意識を変えることから始めないとだめサイね!

セミナーに参加して

今回のセミナーに参加して、

  • 高度・高価なソリューションを導入しても、”運用”できなければ意味がない!
  • 人材は育成次第で”弱み”にも”強み”にもなり得る
  • まずは社内の統制を確率させるべき

ということがわかったサイよー。

「セキュリティ対策、まず何を行えば良いかわからない…」という企業の方は、BAPTに所属している各企業に相談してみるといいサイね!

団体概要

団体名 ベースラインAPT対策コンソーシアム
Baseline APT-Solution Consortium(BAPT)
構成メンバー
  • ニュートンコンサルティング株式会社(セキュリティコンサルティング)
  • 株式会社フェス(ソリューション全体の提案及びSI)
  • ベル・データ株式会社(製品の提案及びSI)
  • ウォッチガード・テクノロジー・ジャパン株式会社
  • サイバーソリューションズ株式会社
  • 株式会社PFU
  • ウェブルート株式会社
  • ゾーホージャパン株式会社(ベースラインAPT対策コンソーシアム事務局)

SNSでもご購読できます。