防ぎきれないサイバー攻撃
多層防御と即応体制がセキュリティ対策のカギに
日に日に増え続けるサイバー攻撃。もはや悪意の侵入を防ぎきることは事実上不可能であり、企業はセキュリティ対策に対す る基本的な考え方や施策を再点検しなければならない。富士通は社内のセキュリティ組織のあり方を見直し、多層防御の仕組 みを整え、スピーディーなインシデント対応を実現して、組織の安全を守る体制を整えた。その具体的なノウハウとは――。 今、企業が取り組むべき統合的なセキュリティ対策の考え方と具体的な施策例を挙げていく。サイバー攻撃の勢いは、全く緩む気配を見せない。警察庁 が発表した資料によると、2015 年、企業や個人を狙った標 的型攻撃の件数は、同庁と連携している事業者などから報告 を受けたものに限っても 3828件に上り、過去最多となった。 2014年と比べると、実に 2.2倍の件数だ。日本企業を取り巻 くサイバー攻撃の脅威は、過去最悪のレベルに達していると 言える。 標的型メール攻撃やランサムウェアなど、ユーザーの注意 力の隙をつく脅威が猛威を振るう一方で、攻撃対象となる端 末は増えている。ワークスタイルの変化によりビジネスパー ソンはモバイル端末を持ち歩き、営業先・出張先でも気軽に 使うようになった。企業のサービス拠点や小売店舗のカウン ターには、多数の担当者が入れ代わり立ち代わり操作する端 末が並んでいる。 サイバー攻撃の危険が増している現在、企業はどのような セキュリティ体制を整えるべきなのか。ICT企業である富士 通は、体制作りから脅威発見の仕組みまで、独自の方法で強 固な対策を施している。
1日2000件の標的型メールに立ち向かう
監視対象ログ 1 日 10 億件、標的型メール・攻撃ブロック数 1日2000件──。これが 2016年4月から 9月の間に、富士通 が受けたサイバー攻撃に関する実態だ。「サイバー攻撃の件 数は 2014 年あたりから急激に増えました。さまざまな部署 に、国内外からまんべんなく攻撃が来ている。この傾向はど の企業でも同じでしょう」と富士通 総務・リスクマネジメン ト本部 セキュリティマネジメント統括部 統括部長兼セキュ リティセンター長の西嶋 勉は語る。 同社が受けているサイバー攻撃のうち、8 割以上が標的型 メール攻撃だという。残りが、水飲み場攻撃やランサムウェ ア攻撃、ばらまき型のフィッシングメールなど。攻撃と防御 はいたちごっこのようなものだ。2016年 2月、日本郵政をか たり不正送金を目論むマルウェアが全国に拡散したときなど は、危険なメールをブロックするたびにすぐさま添付ファイ ルを変えたメールが来る、といったことを繰り返していたと いう。 大量の攻撃に対して、人力だけで対応することはとうて い不可能。多くの企業は様々なセキュリティツールを導入 しているものの、全ての脅威に自動的に対応できるわけでも ない。このため、より視野を広げた組織的な対応が必要にな る。 富士通では実際に、どのようなセキュリティ体制をつくっ ているのだろうか。また、その体制には、同社の長年にわた るセキュリティ対策の経験とノウハウがどのように生かされ ているのだろうか。セキュリティ組織はICT部門と分ける
同社のセキュリティの組織の特長の一つは、CIO(Chief Information Officer)とは別に情報セキュリティ総轄責任 者、CISO(Chief Information Security Officer)を置いてい ることだ。CISOはセキュリティポリシーを策定し、セキュリ ティ統制の方針をとりまとめ、施策の実施を指揮する。そし て対策の実施状況をモニタリングし、評価する体制を作る。 従業員へのセキュリティ教育にも責任を持つ(図1)。 なぜ CISOなのか。CIOではいけないのか。西嶋は「もともと セキュリティの組織は CIOが統括する ICT部門の中に置かれ ていました。しかしその体制では、もし ICT投資を抑制すると いうことになったときに、同じくセキュリティへの投資も抑 えられてしまう可能性があります。ICT投資とは別の観点か らセキュリティ投資を見るために、ICT部門の外にセキュリ ティ組織を設けることにしたのです」と話す。 同社のセキュリティセンターは、総務・リスクマネジメン ト本部に所属し、全社のリスクマネジメント部門の一つに位 置づけられている。本来、企業としては製品やサービスのト ラブル、防災、コンプライアンスなど、対処すべきリスクは いくつもある。情報セキュリティは、それらのリスクの一つ であるという考え方をとっているのだ。 CISOは、取締役会に直結したリスク委員会にレポートする 役目を持ち、セキュリティ統括組織をマネジメントする責任 富士通株式会社 総務・リスクマネジメント本部 セキュリティマネジメント統括部 統括部長 兼セキュリティセンター長 西嶋 勉侵入されることを前提にセキュリティ施策を多層化
同社のセキュリティ施策の特長は“多層化”だ。セキュリ ティに対する脅威が社内に入ってくることを前提に、多層化 によって重要な情報を守るのだ。大切なのは、どの情報をど のように守るのかというポイント。情報の内容によって、守 り方が違ってくる。 そこで、様々なセキュリティ施策を組み合わせていく戦略 を採った。同社のセキュリティ施策は、3つの軸で構成され る。情報の保護を目的とした情報セキュリティ、防御を目的 としたサイバーセキュリティ、そしてオフィスや事業所など のファシリティにおける物理セキュリティだ(図3)。 情報セキュリティに関する施策としては、ルールの設定 やセキュリティ教育、データの格付け、暗号化などが挙げら れる。規程や基準、セキュリティ審査も含まれる。サイバー セキュリティに関する施策としてはファイアウォール、不正 アクセス検知、ネットワーク認証、ウイルス対策、セキュリ ティパッチ、USBコントロールなど。標的型攻撃対策もここ に入る。そして物理セキュリティに関する施策としては、警 備員、入退室管理、監視カメラなどがある。 このように施策を多層的に構成することで、セキュリティ を担保している。オフィスであれば、玄関に警備員がいて、 各エリアに対しては入退室が管理され、さらに内部では監視 カメラが作動している。ネットワークであれば、ゲートウェ イにはファイアウォールによる防御があって、それを通過し てきた通信を監視し、さらに社内ネットワークのエンドポイ もある。セキュリティ組織は総括組織とその下の各部門の担 当事務局で構成され、各部門の中にも情報セキュリティ推進 責任者がいて、総勢では数百人の体制という。CSIRTの「機能」を実装することが重要
堂々たるセキュリティ組織だが、今多くの企業が注目し ているセキュリティインシデント対応の専門組織“CSIRT( Computer Security Incident Response Team)”の姿が見 えない。どういうことなのだろうか。 西嶋は「CSIRT機能はセキュリティ統括組織に含まれてい ます」と語る。ポイントは“機能”という言葉にある。組織で はなく機能。そこに同社のこだわりがある。 セ キ ュ リ テ ィ の 基 本 は 、セ キ ュ リ テ ィ 統 制 機 能 を 定 め (Plan)、セキュリティ施策を実施し(Do)、それを監視して 評価し(Check)、インシデントに対応する(Action)という PDCAサイクルを回すことにある。通常 CSIRTは、Checkと Actionの領域をカバーする。セキュリティを監視し、不正ア クセスやマルウェアを解析し、インシデントがあればすぐに 対応。防御や証拠保全、フォレンジック(解析・検証)などを 行い、再発防止策を提案する。 しかし富士通は、Checkと Actionの機能だけでは、セキュ リティを確保することはできないと考えて、Planと Doの機 能も盛り込んだ。統括組織の中に、機能としての CSIRTを実 装し、そこで得た知見をセキュリティ施策に生かしている (図2)。 図1 : 富士通のセキュリティインシデントマネジメント体制■
富士通のセキュリティインシデントマネジメント体制
FPC_11-1_1226 部門担当事務局 委員会 セキュリティガバナンス 部門担当事務局 部門担当事務局 CISO 情報セキュリティ総轄責任者 セキュリティ総括組織ント間を監視する。 「脆弱性をついて侵入してきたマルウェアが情報を盗むに は、踏み台を作って標的にアクセスし、情報を取り出す、と いう手順を踏みます。そういう攻撃を想定して、情報の出入 り口だけでなく社内のエンドポイント間の動きも監視するよ うに多層化しています」(西嶋)。
運用プロセスを明確にして組織で対応する
具体的にはどのようにセキュリティ施策を実施しているの か。まず基本となるのが、サイバー攻撃への対処組織、SOC (Security Operation Center)によるネットワークのログの 収集と分析だろう。富士通は世界中の支社・拠点にセキュリ ティ監視機器を設置し、ログを収集している。この監視装置 のログは全て、いったん日本のログ統合管理システムに集約 する。 集められたログは自動分析した後、アラートとして各地域 のオペレーターに通知される。さらに詳しい調査が必要であ るとセキュリティアナリストが判断した場合、インシデント &レスポンスチームにつなぎ、インシデント&レスポンスの フェーズに移行する。ここで重要なのは、アラートに即時対 応できるように、セキュリティアナリストからインシデント &レスポンスチームに至るまでの役割や運用を設計すること だ。危険度の評価方法や対応範囲、対応順序などはあらかじ めルール化しておく必要がある。 同社の場合、監視対象は膨大だ。PCだけでも数十万台。監 視対象ログは 1日約 10億件にも上る。これに対して、ファイ アウォールや標的型攻撃検知機器、ウイルス対策、DNSなど のツールを使って自動的に解析し、通常の通信ログと対策が 必要な脅威ログとに分ける。 ログ総量の 97%は問題ない通信ログで、脅威として分類 されるものは 3%足らず。しかし、それでも約 3000万件にな る。危険度と優先度の観点から、これらをふるいにかけてい く。さらに調査が必要と判断した場合や、侵入が疑われる場 合には、SOCからインシデント&レスポンスチームに引き継 ぎ、攻撃を受けていた端末をネットワークから分離して証拠 を保全する。ここで重要なのが「白黒をハッキリさせること。 疑わしい事象で空振りするのはいいけれど、絶対に見逃さな いことが大切です」(西嶋)。社内で実践した裏付けのある
セキュリティ技術を顧客に提供
注力しているのは、社内ネットワークのエンドポイント間 の監視だ。脅威の侵入は防ぎきれないという前提で、強化し ている。脅威の行動を監視し、分析することで、情報流出や 業務妨害を未然に防げる。もちろん、対応は簡単ではない。 エンドポイントは膨大な数に上り、人海戦術では対応できな■
セキュリティ統括組織内のCSIRT機能
FPC_11-2_1226 Plan セキュリティ統制機能 セキュリティ施策実施機能 Do 監視・分析・評価機能 Check 富士通グループ全体の情報セキュリティを総轄する組織に必要なセキュリティ機能 Action インシデント&レスポンス機能 ●セキュリティ仕様の統制 ●全社セキュリティポリシー策定 ●セキュリティ人材育成 ●全社セキュリティ施策の実施 ●セキュリティポリシーの適用 ●物理セキュリティの強化 ●セキュリティ審査・監査 ●セキュリティ施策社内実践 ●セキュリティ監視(SOC) ●不正アクセス・マルウェア解析 ●ホワイトハッカーによる インターネット動向調査 ●インシデント&レスポンス ●証拠保全 ●フォレンジック ●再発防止策セキュリティ統括組織
(CSIRT機能を包含)CISO 情報セキュリティ総轄責任者
1 2 3 4 図2 : セキュリティ統括組織内のCSIRT機能※このコンテンツは2017年1月にITpro Activeに掲載したものです。 象となる機器は急増していく。そうした時代には、個々のセ キュリティ技術の強化はもちろん、セキュリティの多層化や 脅威対応の体制まで含めて、総合的に対処していく必要があ る。こうしたことから、同社はこれまで提供してきたセキュ リティソリューションに社内実践で得たノウハウを盛り込 み、コンサルティングまで含めたトータルなソリューション を強化していくという。富士通の経験とノウハウがどのよう に生かされているのか、注目されるところだ。 いので、どこまで自動化できるかが鍵を握る。 このため、同社ではエンドポイント間の監視システムを開 発した。マルウェアの動きを検知するエンジン、組織内の遠 隔操作を収集して分析するエンジン、インシデントの影響範 囲を自動で抽出して可視化するシステムなどだ。そこでは、 富士通研究所が開発したAI技術も活用している。 今後、東京五輪に向けて日本企業へのサイバー攻撃が増え ると予想されている。加えて、IoTの進展によって監視の対
