変化に追随するセキュリティ運用の鍵は、企業の主体性とマネージドセキュリティサービス活用にあり名和利男氏×ソフトバンクMSS責任者対談

年々激化するサイバー攻撃に、企業はどのようにして対抗していけばよいのか。有効なセキュリティ対策はあるのか――。セキュリティのプロフェッショナルが、サイバーセキュリティの現状と今注目を集めている「マネージドセキュリティサービス」活用のポイントを語った。

» 2022年01月27日 10時00分 公開
[PR/@IT]
PR

 ITのどの分野にもいえることだが、特にサイバーセキュリティには専門的な知見やノウハウ、経験が求められ、長年人材不足が指摘されながらも解消には至っていない。一方、年々激化するサイバー攻撃から企業の重要な情報を、さらには事業そのものをどうやって守っていくかという課題はもはや待ったなしの状況だ。

 そのギャップを埋める手段として注目されているのが「マネージドセキュリティサービス(MSS)」だ。ソフトバンクは、ユーザー企業に導入されたファイアウォールやIPS(Intrusion Prevention System:不正侵入防止システム)、UTM(Unified Threat Management:統合脅威管理)など、さまざまなセキュリティ機器が発するアラートを24時間365日体制で監視、解析し、深刻な事態につながりそうなら対処を支援するMSSを提供してきた。IT環境の変化に合わせ、クラウドサービスとの連携やゼロトラストセキュリティを組み合わせた、トータルな支援体制に拡大している。

ALT ソフトバンクの「マネージドセキュリティサービス」は24時間365日体制で同社のさまざまなサービスに対するセキュリティ監視・分析・対処の統合窓口を提供する(提供:ソフトバンク)《クリックで拡大》

 ただし、ユーザー企業にとって適切なMSSの活用法となると、まだ模索中なのが現状だ。「セキュリティは何だか難しくてよく分からないもの」といった一般的な認識も相まって、「全てお任せで、丸投げできるんでしょう」と捉えられたり、逆に「どこが付加価値なのかがいまひとつ分からない」となったりすることもある。

 今、サイバー攻撃を巡る状況はどう変化しているのか。MSSを通して専門家の知見を生かしながらこうした脅威にどう対抗すべきなのか――。自衛隊という防衛の最前線でセキュリティ業務に携わった後、セキュリティ専門家としてさまざまなインシデントハンドリングを支援してきた経験を持つサイバーディフェンス研究所 専務理事 上級分析官の名和利男氏と、ソフトバンク ICTオペレーション本部 オペレーションサービス第4統括部 統括部長としてMSSの開発や導入支援に携わる茂木裕氏がMSS活用のポイントを語った。

「潜在化」「集中化」「超高度化」が進むサイバー攻撃にどう対処するか

ALT ソフトバンク
ICTオペレーション本部
オペレーションサービス第4統括部 統括部長
茂木 裕(もてぎ ゆたか)氏
CISSP,GCIH,GRID

 ランサムウェアや標的型攻撃による情報漏えいをはじめとするサイバー攻撃に対する懸念は、年々高まる一方だ。相次ぐ被害報道を受け、「企業の多くはセキュリティに対して漠然とした恐怖を感じていると思います」と茂木氏は述べる。

 また、テレワークの広がりやクラウドサービスの普及といったIT環境の変化に伴い、攻撃者が狙う「アタックサーフェス(攻撃対象領域)」も広がっている。「インターネットの出口も入り口も多様化し、さまざまなアプリケーションやシステムにアクセスする経路も複雑化した結果、アタックサーフェスが増えています」と茂木氏。

 複数の省庁におけるサイバーセキュリティ関連施策などで提言している名和氏は、「2013年のサイバーセキュリティ戦略が定められる前から、毎年のように『サイバー攻撃は複雑化、高度化している』といわれていますが、ここ数年のサイバー攻撃は、もはや複雑化や高度化といった言葉でくくれるような、生やさしいものではなくなっています」と警鐘を鳴らす。

 名和氏によると、近年のサイバー攻撃の傾向は「潜在化」「集中化」「超高度化」の3つに集約できるという。

 1つ目は、国家の支援を受けた「潜在化」あるいは「不透明化」した攻撃の活発化だ。国家による攻撃の大半は、何らかのゼロデイ脆弱(ぜいじゃく)性を悪用する「見えない」「検知できない」攻撃になる。幾つかの国家は、脆弱性情報を国家安全保障に関わるものとして扱い、情報の流通を管理しようとしている。こうした背景から「パッチが提供されない状態で武器化された攻撃コードを用いた国家レベルのサイバー攻撃が目立ってきました。これらは今後も増えていくと予想されます」と名和氏は指摘する。

 2つ目は、特定ターゲットへの「集中化」あるいは「特定化」だ。さまざまなサービスや機器がネットワークにつながった結果、意図する、しないにかかわらず、個人のデータや行動履歴が大規模に流通するようになった。こうした情報は企業のマーケティングなどに活用されると同時に、悪意を持つサイバー攻撃者がターゲットを見つけ、狙いを定めて多角的な観点から攻撃する際にも用いられている。

 3つ目は、攻撃の「超高度化」だ。潜在化、集中化とも相まって、これまで以上にサイバー攻撃が高度で複雑になると名和氏は予測する。その背景には、日本では人材不足がうたわれる一方で、海外、特に中国ではサイバー人材、セキュリティ人材が年々数多く育成されている状況がある。こうした多数の人材ピラミッドの中から、脆弱性を発見し、武器化する能力を持った「天才」が現れてくることは想像に難くない。

 これらのキーワードを踏まえ、「自分のシステムを他社に任せ、しゃくし定規な運用が多かった現状に代わり、『自分の持ちもの』という認識を持ち、動的にリソースを変化させながら監視する努力が必要になるでしょう」と名和氏は述べた。

変化する環境についていけないセキュリティ運用体制が課題に

ALT サイバーディフェンス研究所
専務理事 上級分析官
名和利男氏

 一方、日本企業のセキュリティ対策の現場にはどのような課題があるのだろうか。

 MSSの開発や導入支援を通じて顧客の生の声を聞く機会の多い茂木氏は、「CSIRTやセキュリティ対応体制を整備するに当たって、セキュリティ人材が非常に不足しているという声をよく耳にします。一方で、体制を維持してスキルを高める経験やノウハウをどのように得るかが難しいと感じています」と述べる。

 そして、セキュリティ製品自体の高度化やIT環境の複雑化が、課題をさらに難しいものにしている。企業では、シグネチャに基づいて攻撃を検出するアンチウイルスソフトウェアやIPSに加え、端末やネットワークの振る舞いを分析し、ログを統合的に管理するEDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)といった製品の採用も広がっているが、これらを活用するには高度なスキルが必要だ。

 「環境変化が著しく進む中、テレワーク用のVPNアプライアンスの脆弱性やクラウドの設定不備が悪用され、侵害されるケースが増えています」(茂木氏)。IT環境の変化にセキュリティ対策のスキルが追い付いておらず、ギャップが顕著になってきているのだ。

 名和氏はこれを受け、「ビジネスがほぼITと一体化しているにもかかわらず、経営層や事業部門の上層部がその変化をあまり直視していないのではないでしょうか」と、ユーザー企業の組織的な課題を指摘する。

 「消費者の購買行動がこれまでにない速さで変化する中、ビジネスも、それと一体化しているシステムも、以前ではあり得ない頻度で変更要求を受け、変化しています。DevOpsが注目されているのはその表れの一つでしょう」(名和氏)

企業自身が主体性を持ちつつ、うまく専門領域をMSSに任せることがポイントに

 このような企業におけるセキュリティ課題に対して需要が高まっているのがMSSだ。「セキュリティ技術が日進月歩で、セキュリティ専門家の育成が難しい中、運用体制の確保が難しいことも事実です。専門知識が必要な領域をMSSに任せることは、セキュリティ強化の観点でも、また限られたリソースの中での負荷軽減の観点でも有効であり、そこにMSSの存在意義があります」(茂木氏)

 また、名和氏の指摘通り、「経営層や事業部門の上層部が主体的にリーダーシップを発揮し、ガバナンスを利かせながらセキュリティリスクをコントロールすることが重要です」と茂木氏は言う。

 名和氏はさらに、2021年9月28日に閣議決定した政府のサイバーセキュリティ戦略の中で、インシデントが起きてもダウンタイムを短縮したり、最低限の機能を維持したりする「レジリエンス」の考え方が「任務保証」という言葉で明記されていることに触れ、「有事こそユーザー企業の主体性が求められます」と強調する。

 「セキュリティインシデントが発生した場合、ガバナンスを利かせるトップ層がリーダーシップを発揮し、ユーザー企業が主体となって解決に向けた努力をする必要があります」(名和氏)。この主体性が欠けてしまうと、サイバーインシデントを受けて数カ月たっても原因が分からず、被害がいたずらに拡大し続けて顧客などに大きな不利益を与えることになる。これは、残念ながらここ数年、複数の日本企業で発生してきた事態だ。

 一度インシデントが起きると影響は甚大となる。「正確な状況が知りたい」と思っても、なかなか情報が上がってこず、来たとしても曖昧なことが多い。一方で、上層部や監督官庁からは「一刻も早く報告を」と要請が矢のようにやってくる。そんな中で焦りのあまり不確定な情報を出すと、インシデントそのものによる不利益はもちろん、それ以上の余波が生じてしまう――さまざまなインシデントの実情を知る名和氏は、「こうした影響も含めてサイバーリスクと捉えることが必要です」と力を込めた。

 そして「こうしたリスクを認識した上で、企業の一部門であるIT部門ではなく、上層部が主体になって、旧来からあるセキュリティコントロールをいかんなく発揮していただきたいと思います。そこでは、今どういった状況にあるのかを理解し、危機感を抱いてコントロールに着手することが重要です」とアドバイスした。

 セキュリティ対策が未導入の管理されていない端末が感染源となり、セキュリティリスクを高めるケースも増えている。「ユーザー企業はPCの管理を徹底し「見えない」端末を無くすことでMSSを最大活用することが可能です」(茂木氏)

 全てを自社でできればよいかもしれないが、やはりセキュリティ対応のリソースやノウハウが足りないという悩みを抱えている企業は多い。茂木氏は最後に「意思決定を下し、俯瞰的な視点でセキュリティコントロールを見る部分はお客さまが主体性を持って進めつつ、専門領域の部分をMSSが実施するという具合にすみ分ける方が有益です」と締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ソフトバンク株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年2月18日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。