「日本型組織」はなぜサイバー攻撃に弱いのか:@ITセキュリティセミナー 東京・大阪・福岡ロードショー 2017 レポート(1)(2/3 ページ)
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポートをお届けする。
他部署からの「セキュリティ留学制度」を通じて人材を育成――SDNA
ソニーデジタルネットワークアプリケーションズ 事業1部セキュリティ技術課課長 セキュリティビジネス責任者の奥山謙氏は、「セキュリティチーム立ち上げから運営まで―ソニーグループで実践した方法紹介―」と題する講演を通じて、日本を代表するメーカーの1つであるソニーがセキュアなモノ作りにどう取り組んできたのかを紹介した。
奥山氏らのチームのミッションは、ソニー製品のソフトウェアにセキュリティ上の欠陥が入り込まないようにすること。「当初はチェックリストを作って開発現場に確認してもらっていたが、お察しの通り、あっという間に形骸化した。ルールでは人は動かない。そこで次に、セキュリティに詳しいメンバーでチームを作り、リスクを指摘して直してもらうという形での支援しようと試みた。しかし、限られたメンバーだけで全ての製品をカバーするのは無理だった」。量だけでなく、製品ごと、開発チームごとに異なる技術全てに通暁するのは困難だという質の壁があったのだという。
考えた末にたどり着いたのが「セキュリティ留学制度」だ。これは社内のさまざまな開発現場から短期的にセキュリティチームに加わってもらい、仕事の中でセキュリティ教育を行うとともに、その後の啓蒙活動に携わってもらう取り組み。
“留学生”は、セキュリティの基礎的な理論と用語を学んだ上で、頻出するセキュリティ上の課題を具体的なコードを見ながら学ぶ「書籍トレーニング」を実施する。さらに、過去に実際に発生した脆弱性を分析する「センスアップトレーニング」を通じて、セキュリティ問題に対する解決センスを培っていく。
そして最後はOJT活動として、セキュリティチームのメンバーと二人一組でレビュー活動に加わる。「リソースは2分の1になるが、レビュアーにとっては生のコードを用いた実践的なトレーニングになる。セキュリティチームも活動を通して開発の専門知識を身につけ、技術の壁を越えることができる。一石二鳥の活動だ」(奥山氏)。
こうして学習過程を終えたエンジニアはセキュリティチームのメンバーとなって活躍するか、成果を持って元の開発組織に戻り、その中でセキュリティを推進する。この制度を通じてこれまでに20人ほどを育成してきたという。
“ワナ”と“だまし”で攻撃を検知せよ――インテリジェント ウェイブ
セッション「サイバー攻撃における多層対策の重要性〜いかに防御し、攻撃を100%検知するか〜」では、インテリジェント ウェイブ セキュリティソリューション本部 ビジネス推進部 テクニカルサポート第一課 山形陽平氏が、多層対策の重要性と、予防的対策製品「Traps」および発見的対策製品「Deceptions Everywhere」の特徴について紹介した。
「近年、メールによる攻撃が多数発生しており、既存のセキュリティ対策を越えて未知の脆弱性をついた攻撃がユーザーに届いているのが現実だ。こうした攻撃を防御するには、『端末への侵入』を防止すると同時に、『侵入されていること』を検知することが必要である」と、山形氏は多層対策の重要性を訴えた。
同社では、こうした多層対策を実現するエンドポイントソリューションとして、対策目的別の製品ラインアップを展開している。その中で、末端のPCへの感染や踏み台としての悪用を狙った攻撃を防止するのがパロアルトネットワークスの「Traps」だ。同製品では、既知・未知のマルウェアの起動を制御するとともに、エクスプロイト攻撃を阻止する。
一方、内部ネットワークに潜んでいる侵入者を検知するのがイリューシブネットワークスの「Deceptions Everywhere」だ。この製品では、全てのエンドポイントに偽の情報をばらまくことで、内部ネットワークに侵入した攻撃者をだまし、攻撃者が侵入後に実行する横展開を検知することができるという。
機械学習の力を借り、いかに対処を早めるか――インフォメーション・ディベロプメント
「ここまできた!『人工知能』によるネットワークセキュリティ」と題したセッションでは、インフォメーション・ディベロプメント iD-Cloudソリューション部 グループマネージャー/iD-SIRTの櫻木康喜氏が、ネットワークセキュリティソリューション「Seceon Open Therat Management」(以下、Seceon OTM)を紹介した。
サイバー攻撃のスピードは年々加速しており、櫻井氏は、「侵入者の攻撃が成立するまでの時間は、約92%が数分以下。また、データ流出の約98%は侵入から数日以内に起こっている。いかにリアルタイムに脅威を発見し、封じ込め、駆除していくかが重要になる」と述べる。
こうした状況に対応するべく同社では、人工知能(AI)を活用したネットワークセキュリティソリューション「Seceon OTM」を提供している。「Seceon OTM」は、既知・未知にかかわらず、ネットワーク内の脅威を自動で検知・可視化・排除できるのが大きな特徴だという。また、手動でのチューニングも必要なく、機械学習によって自動で最適化が行われるとのこと。「従来のSOCによる監視を、『Seceon OTM』に移行することで、人の手を介さずにネットワーク上のあらゆる動きをリアルタイムに監視することが可能となる」(櫻井氏)。
求める人材に合わせた育成環境の仕組み作りが重要――パネルディスカッション
(左から)ラック サイバーセキュリティ事業部 理事(CompTIA SME コミュニティ)長谷川長一氏、クリエイトラボ 情報リスクマネジメント部 部長 永井勝氏、日本マイクロソフト クラウドプラットフォーム技術部 テクノロジーソリューションプロフェッショナル 吉田雄哉氏、NPO日本ネットワークセキュリティ協会 教育部会 部会長 平山敏弘氏
続くパネルディスカッション「将来も通用するセキュリティ人材育成はこれだ!」では、ラック サイバーセキュリティ事業部 理事(CompTIA SMEコミュニティ)の長谷川長一氏がモデレーターを務め、NPO日本ネットワークセキュリティ協会 教育部会 部会長の平山敏弘氏、日本マイクロソフト クラウドプラットフォーム技術部 テクノロジーソリューションプロフェッショナルの吉田雄哉氏、クリエイトラボ 情報リスクマネジメント部 部長の永井勝氏の3人がパネラーとして登壇し、サービス側、ユーザー側、教育側という3者の立場から、それぞれを取り巻く環境や課題を共有しつつ、将来も通用する良質なセキュリティ人材を効果的に輩出するために必要なものについて意見を交わした。
この中で、将来も通用するセキュリティ人材の育成に向けた共通課題として挙げられたのが、「実践的な人材育成」「ロールモデルやキャリアパスを踏まえた人材育成」「人材育成のための人材(教える人)の育成と体制作り」の3つだ。
ディスカッションでは、これらの課題に対して、情報セキュリティの目的や育成する人材像、役割(ロール)ごとの知識・スキルを明確化すること、業務環境やIT環境の変化に適応したロールモデルおよびそれを踏まえたキャリアプランを策定すること、そして、教える側・活用する側の両面で人材育成のための枠組み・体制を整備する必要があることが重要であると結論付けられた。
Copyright © ITmedia, Inc. All Rights Reserved.