「Cyber3 Conference Okinawa 2015」の会場でたびたび言及された「情報共有」。なぜ日本企業ではあまり進んでいないのだろうか。
メリットが見えないから脅威情報の共有が進まないのか、共有が進まないからメリットが生まれないのか。枠組みがないから共有できないのか、共有が進んでいないから枠組みの作りようがないのか——。
2015年11月7日、8日に沖縄で開催された「Cyber3 Conference Okinawa 2015」の会場ではたびたび「情報共有」の重要性がうたわれた。だが日本における脅威情報の共有は、CSIRT(Computer Security Incident Response Team)のコミュニティである「日本シーサート協議会」や「Telecom-ISAC」(Information Sharing and Analysis Center)、「金融ISAC」といったいくつかの先進的な取り組みをを除けば、まだ始まったばかりだ。プライスウォーターハウスクーパース(PwC)が同カンファレンスに合わせて発表した「グローバル情報セキュリティ調査 2016(日本版)」の結果からも、そうした現状が明らかになった(関連記事)。
この調査によると、組織間でサイバーリスク情報を共有している企業の割合は、グローバルでは64.7%と半数を超えた。これに対し日本企業では30.4%にとどまっている。別の設問を通じて、情報共有を行っている企業のほぼ半分が、同業他社やISAC、政府関係機関から「実用的な情報を得られた」と感じていることが明らかになったが、なぜ日本企業は情報共有に積極的ではないのだろうか。
回答を見ると、最も大きな理由は「情報共有の枠組みの整備、標準化ができていない」で39%だった。「個人情報の取り扱いに関する懸念」が25%、「情報共有に用いる技術的な基盤が整備されていない」が21%で続いている。つまり、情報共有を安全に進めるためのプラットフォームや規則が欠如しており、「誰と共有するのか、どう取り扱うのかが分からない」ことが大きな理由となっているようだ。
PwCのパートナー、山本直樹氏は「マネジメント層の理解不足も一因」と述べた。つまり、情報共有が自社のセキュリティ向上に貢献するものであると評価される土壌や制度が必要であり、そうした土台ができれば日本でも情報共有が進むのではないかとしている。
この調査では同時に、脅威情報のサブスクリプション(脅威、解析情報の定期購読)サービスが、セキュリティインシデント発生時の業務停止時間短縮に効果的であるという結果も出た。
こうした背景を踏まえ、PwCはインシデント発生時や事後対応の支援にフォーカスした新会社「PwC サイバーサービス合同会社」を設立し、2015年11月1日から業務を開始した。新会社の最高執行責任者に就任した星澤裕二氏は、「PwCでは平常時のコンサルティングを提供してきたが、新会社ではインシデントレスポンスやオペレーションといったテクノロジ寄りのサービスを提供する。これにより、ワンストップで必要なサービスを提供する体制が整った」と述べている。
具体的には、「脅威・脆弱(ぜいじゃく)性情報提供」に加え、インシデント対応時にセキュリティ担当者にアドバイスを行い、早期復旧を支援する「インシデントレスポンスアドバイザリ」と、エンドポイントセキュリティ製品「Tanium」を活用しながらマルウエア感染状況や侵入経路の把握、駆除を行う「リアルタイムインシデントレスポンス」という三つのサービスを展開する。
一連のサービスの基盤として、オープンな情報に加え、独自の監視センターや、攻撃者が利用していたドメインを取得し、当該ドメインへのリクエストを監視する「DNSシンクホール」などの手法によって得られた情報、さらにはPwCのグローバルな情報を元にしたスレットインテリジェンス(脅威情報)を活用する。将来的にはマルウエア感染診断やマルウエア解析、標的型攻撃診断といったオプションサービスの提供も予定しているという。
PwC サイバーサービスの最高技術顧問に就任した名和利男氏は、これまで多くのインシデント対応に携わってきた経験の中で「経営と現場のエアギャップが大きいと感じることが増えている」と言う。
「セキュリティインシデントが発生したとき、経営層が知りたいのは『意図は何か。うちにどんな影響があるのか。今後の見通しはどうなのか』といった事柄だ。一連のサービスでは、経営層と同じプロトコルで、短期、中期、長期の対策支援につながる情報を提供していく」(名和氏)ことで、サービスの差別化を図り、顧客のセキュリティレベルの向上を支援していきたいとした。
Copyright © ITmedia, Inc. All Rights Reserved.