みずほ銀行はサイバー攻撃にどう対抗したのか、数万台単位の端末を守る方法とは?:セキュリティ対策事例インタビュー(2)
脅威の動向をにらみながら確実にサイバーセキュリティ対策の強化を進めてきたみずほ銀行。一通り対策を進めたところで見えてきた次の課題が、システムの状況やリスクを時間差なく把握したいということだった。解決策はあったのだろうか。
みずほ銀行は、デジタルトランスフォーメーションというトレンドの中、みずほファイナンシャルグループ全体として、ITを攻めと守りの両輪で活用している。セキュリティ対策に関しても、脅威の動向をにらみながら確実に強化を進めてきた。
みずほ銀行でデータマネジメント部部長を務める高橋達浩氏は、「第一に、お客さまの安心、安全を守らなくてはならない。そのため、個人向け、法人向けの不正送金対策をしっかり進めてきた。さらに、近年の標的型攻撃の高度化を踏まえ、金融インフラを形作るわれわれ自身のシステムの保護にも努めてきた」という。
対策を重ねる中、サイバーセキュリティでは従来のような静的な改善を重ねても攻撃が起こったときに必ずしも間に合わず、即応性が必要だと分かった。さらに、複数の大手製造業を狙ったインシデントが続いたこともあって、社内の専門組織による対策が必要と判断、2012年秋には早くも社内CSIRT(Computer Security Incident Response Team)である「Mizuho-CIRT」を発足させた。この時点では統一ポリシーの下、入口対策や出口対策、内部対策といった多層防御を実施した他、SIEM(Security Information and Event Management)を用いたログ解析体制も整備した。
2014年7月にデータマネジメント部が発足してからは、Mizuho-CIRTとSOC(Security Operation Center)が連携し、国内外で約150社に上るグループ全体にまたがって、ウイルス感染などの異常をいち早く検知できる体制やプロセスを整えてきた。
単なる「見える化」ではなく、「リアルタイムで正確な見える化」を
こうして一通りシステムの状況を把握できる体制が整ったことで、次の課題が見えてきたという。
みずほ銀行ではアメリカ国立標準技術研究所(National Institute of Standards and Technology:NIST)のサイバーセキュリティフレームワークなどを参照し、リスクベースのアプローチで対策に取り組んでいる。
対策を確実にするためには、システムのどこに守るべき資産があり、どのようなリスクがあるか、正確な把握が欠かせない。だが、その作業に「時間差」を感じるようになってきたという。
持株会社だけでも1000人以上、国内外のグループ全体を含めると数万台規模の端末と、数千のオーダーに上るシステムが運用されている。この環境では「守りたいものがどこにあるかを手作業で棚卸しし、把握するだけで、半年から1年という時間がかかってしまっていた。しかも、申告を集約したところで、本当にその情報が正しいかもすぐには確認できない。当たり前だが、分からないものは正しく守れない。エンドポイントやサーバ、デバイスなど、システムを構成する要素がどこにどのような状態であるのか、守られているのかをリアルタイムに把握したかった」と高橋氏は振り返る。
もう1つ感じていた課題は、脅威のスピードアップだ。脆弱(ぜいじゃく)性が見つかってから実際に悪用されるまでの時間は、ものによっては数日程度。脆弱性が発覚し、影響の及ぶ端末が自社のどこにあるかを把握しようと調査しているうちに、攻撃の方が先にやって来かねない。「素早い攻撃に対処するには速く動かなければいけないと感じている。ゼロデイも含め、脆弱性が残った端末がないか、われわれの管理状況、衛生状況をリアルタイムに見たいと考えた」(高橋氏)
そこで同社では、資産管理ツールや脆弱性診断ツールを組み合わせ、リアルタイムにリスクを把握できる仕組み作りに取り組んだという。
グローバルに分散する拠点で効率的に現状把握できることがポイントに
既存のツールを組み合わせた結果、ある程度、リアルタイム性を実現できた。だが、解決の難しい課題が残ったのだという。
日本だけでなく米国、欧州、アジア各国にまたがって、数万台規模の状況をリアルタイムに可視化することが難しかったのだ。地域別に可視化システムを分割することも考えたが、全システムを通して可視化する要望が大きかった。
加えて、「いざというときに本社側からリモートでエンドポイントに手を伸ばして対処できる手法となると、なかなか見つからなかった」(高橋氏)。
可視化したいデータを蓄積してから分析するのであれば、SIEMで対応できるが、リアルタイム性を追求するためにはEDR(Endpoint Threat Detection and Response)製品が適していると判断。製品の評価、検討に入ったのだという。
なお、米国では既に多数の金融機関がEDR製品を導入している。EDR製品を提供している米TaniumのCEO、Orion Hindawi氏によると、「米国の大手金融機関の10社全てに当社のEDR製品が導入されている」という。みずほ銀行がTaniumを導入したのも、米国で行われたTaniumユーザーのカンファレンスで、金融機関をはじめ実際にTaniumを導入している複数の企業の担当者から、EDRのメリットや留意点など生の声を聞き、「しっかり設計すれば期待通りのレスポンスが得られる」と判断したためだという。
「『脆弱な端末はどれか』といったシンプルな問いに対する答えを得るのに、既存の手法では今ですら数日、数週間かかっている。今後クラウドや仮想化、モバイル、IoTといったトレンドが加速していけば、全てが桁違いにスケールアップする。スピードの問題はますます悪化するだろう」(Hindawi氏)。Taniumは問い合わせに対して15秒以内に答えが得られることをうたっている。
「ある特定の機能に優れている製品は幾つかあった。TaniumのEDRはエンドポイントまで手の届くスーパーハイウェイのようなものだと認識している。さらにオープン性があり、必要に応じて他のツールと組み合わせやすく、新しい攻撃に対応できる能力があることも利点と考えた」(高橋氏)。
高橋氏は、一般論として「IoT時代が近づく中、いかにいろいろな種類のデバイスをセキュアにつなぐか、またつながったものがどうなっているかを見ることの可能な仕組みが、これからの社会のプラットフォームには必要だろう」と述べている。
2018年度上期中に導入を完了、インシデント情報の共有から対処までも迅速に
みずほ銀行では2018年度上期中に、全社で「Tanium Endpoint Platform」を導入する計画だ。これにより、時間差なくリアルタイムに状況を把握し、いざというときにはリモートから対処できる体制が整うと期待している。
みずほ銀行やMizuho-CIRTでは、金融庁や金融ISAC(Information Sharing and Analysis Center)とも緊密に連携し、フィッシング詐欺やオンライングバンキングマルウェアに関する情報を交換、共有しながら、金融インフラの安定運用と金融資産の保護に取り組んできた。
こうした枠組みを通じて得られた情報を基に、「例えば、インシデントに関する情報を共有し、それが自社には影響を及ぼしていないかを確認する作業もよりスピーディに行えるのではないかと期待している」(高橋氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン
「脅威の侵入を100%防ぐのは不可能」という前提に立った新たなセキュリティ対策を模索してきたローソン。脅威の検知と一次対応を速やかに実行し、迅速なインシデントレスポンスを支援するツールを導入した結果、20秒以内に社員が利用する約7000台のPCから感染端末を検索する体制を立ち上げた。 - 金融ISAC、みずほFGが語る「サイバークエスト」とは何か――金融庁や県警、JPCERT/CCなど81社、110人が参加
@ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、基調講演「サイバークエスト 〜金融史上最大の情報漏えい事件 緊迫の一部始終と教訓〜」の内容をお伝えする。