ソニー損保におけるセキュリティ対策――多層防御、社内CSIRTの実際:C&Cユーザーフォーラム&iEXPO 2016
NECが2016年11月1〜2日、東京国際フォーラムで「C&Cユーザーフォーラム&iEXPO 2016」を開催。多くの講演の中からソニー損害保険のセキュリティ対策に関するものをレポートする。
NECは2016年11月1〜2日、東京・有楽町の東京国際フォーラムで、同社の年次イベント「C&Cユーザーフォーラム&iEXPO 2016」を開催した。本稿では、多くの講演の中からソニー損害保険 システム企画部 技術企画課 主査 渡部陽氏による「サイバーセキュリティ管理態勢の強化〜多層防御による入口・出口・内部対策〜」の内容を紹介する。
ソニー損害保険では、昨今の標的型攻撃などサイバーセキュリティのリスク増大化を鑑み、社内CSIRT(Computer Security Incident Response Team)などの整備に加え、多層防御を可能とする新たな技術的安全管理措置を実施した。
第三者評価で浮かび上がった3つのポイント
渡部氏はまず、日本が受けているサイバー攻撃の現状を解説。「2005年のサイバー攻撃関連のパケットは約3億件だったが、2015年は約545億件と驚異的に伸びている」(渡部氏)。こうした状況下、ソニー損害保険(以下、ソニー損保)ではどのような対策を採っているのか。
まず、現状の“見える化”と情報収集を狙いにNECに第三者評価を依頼した。ここで渡部氏が「Good Point!」として指摘したのが「あれもこれもと無暗の投資をせずに、きちんと分析を行い弱点に対応したこと」だ。
第三者評価の結果、次の3点について「きちんと把握できた」と渡部氏は評価している。
- セキュリティ対策は、それなりのコストが掛かる。これは致し方ないこと
- 対策には、さまざまな技術的手法が存在する
- 対策は1つでなく、複数を組み合わせることで、より強固な対策を講じることができる
渡部氏は、こうした手順を踏んでセキュリティ対策強化を経営会議に提示し、承認を得たという。
ソニー損保における、多層防御の実際
次に、渡部氏は、実際に講じたセキュリティ対策を説明した。
「多層は、入口と出口と内部の3つを指す。入口では標的型攻撃を検知するためにサンドボックス型セキュリティ製品のアプライアンスを導入。出口対策ではWindows Serverに標準搭載されているリモートデスクトップベースの機能を使い、Webブラウザを仮想化した。内部対策としてはNECの『InfoCage FileShell』を使った」(渡部氏)
通信の中味を解析して異常なインシデントを検知するために、サンドボックス型セキュリティ製品のアプライアンスはファイアウォールの間に挟み込むような形で設置。「何か問題があれば、アラートを出す仕組みになっている」(渡部氏)。従来の対策製品では対応できないようなマルウェアを含むメールにも対応するという。導入の効果として「2016年3月ごろから不特定多数を対象としたバラマキ型メールが増えている。従来は感知できなかったものだが、社内対応の初動が早くなりサンドボックス型セキュリティ製品の導入で“見える化”された」と渡部氏は明かす。
出口対策の「Webブラウザ仮想化」は、ここで掲げた3層の対策のうち、最も大規模なもの。同社で保有している端末では、おのおの仮想Webブラウザを立ち上げることができるようにした。マルウェアが社内情報を取得して社外に出ようとしても、それを不可能にするガードを施した。“ネットワーク分離”が施された仮想Webブラウザを使って業務を行う構成になっている。これにより、「検知だけではなく、実際に感染した場合の防御も可能となる」(渡部氏)。
ただ、この仕組みは「これまでのローカルPCでの動作と比べると遅い」「アプリケーションの中でインターネットを参照しながら動くものは動作しない」など、「ユーザビリティの低下は免れない面もある」と渡部氏は短所も指摘した。この問題はコストと関連してくる。「セキュリティを万全にしようとすると膨大なコストが掛かるので、経済合理性を考慮して、何とか工夫しながら実務的な対策を施す。この面でベンダーであるNECの協力が欠かせなかった」(渡部氏)。
同社では、これらの対策を講じた後でも、“万が一”に備え、ファイルを社内からしか開けないように、InfoCage FileShellで暗号化したという。このシステムを構築する中で苦労したことは、「ユーザー自身が作成し、使っているツールが社内に大量にあることが分かったが、これらを暗号化するとうまく動かなくなってしまった」ことだという。そこで、システムの中に安全性を確保した暗号化しないエリアを用意し、業務に必要だが、標準システムで動かないものはそこで実行できるようにした。この作業は管理部門の管理の下で行ったので、新しいセキュリティ対策とともに社内システムの整理も行えたとのことだった。
また渡部氏は、「夜間のバッチ処理など昔ならではの仕組みが残っていて、その対応にも苦労した」と貴重な体験を踏まえた感想を述べた。
社内CSIRTの設置
ソニー損保では、万が一に備えた実効性の向上を目指して、社内CSIRTを設置するなど、組織体制の整備も行っている。トップに社長を据え、レポーティングラインも整え、同時に社内規定なども作り込んだ。グループの役割も明確にし、2016年度は、シナリオを定め、それに応じたアクションを採る訓練、セキュリティ演習も数回予定しているという。
最後に渡部氏は、サイバー攻撃が増加する中で、その対応には「ひたすら継続的に対応策を講じていくしかない」と結んだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
いまさら聞けない「境界」防御
しばしば「サイバーセキュリティは複雑だ。よく分からない」と言われる。脅威の複雑さもさることながら、ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」があふれていることも理由の一つではないだろうか。それらを大まかに整理することで、足りないもの、強化したいものを見つける手助けにしてほしい。
CSIRTをめぐる5つの誤解
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。- 高度なサイバー攻撃も「備えあれば憂いなし」、JPCERT/CCが対策ガイド公開
JPCERTコーディネーションセンターが、企業や組織が高度な標的型攻撃を受けても、慌てずに対応できるよう支援する対策文書を公開した。