ITトレンド記事 コラム
「中堅・中小企業のサイバーセキュリティについて
エキスパートが語る
~経営者と現場に今求められること~」(4)
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長 梶浦 敏範氏
![[イメージ]「中堅・中小企業のサイバーセキュリティについてエキスパートが語る~経営者と現場に今求められること~」(3)](../../lib/img/solution/column/it_trend/kv_discussion23B03_pc.png)
メンバー紹介
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長梶浦 敏範氏
東芝ITサービス
セキュリティビジネス推進部 主幹(技術専門職)枡田 鉄也
東芝ITサービス
セキュリティビジネス推進部 参事鈴木 孝臣
本記事は、「中堅・中小企業のサイバーセキュリティ対策」をテーマに、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)の運営委員長や一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)の代表理事などの要職を務める梶浦敏範様と、弊社でセキュリティビジネスを担当する枡田と鈴木が語り合った座談会の模様を、全4回に渡って紹介しています。
最終回となる今回は、中堅・中小企業にとって「真に必要なセキュリティ対策とは?」をテーマに議論が繰り広げられました。セキュリティに関する予備知識が乏しいと、どうしても製品ベンダーやSIerに言われるがままに製品やツールを導入してしまいがちですが、梶浦様は「製品やツールの前に考えるべきことがある」と指摘します。
01製品・ツールの導入は「ようやくスタート地点に立った」に過ぎない
社内にセキュリティの専門家を抱える余裕がない中堅・中小企業にとって、このあたりの切り分けを自力で行うのはかなり難しいでしょうね。
そうですね。特に中堅・中小企業のお客様にとっては、セキュリティ製品を導入して終わりではなく、その後の運用まで含めて一括で面倒を見てくれる「ワンストップサービス」を利用するメリットが大きいと思います。
「製品を導入してひと段落」ではなく、本来は製品を導入した時点でようやくスタート地点に立てたととらえるべきです。さらにいえば、セキュリティの運用はテクノロジー面だけではなく、リアル面でもさまざまなタスクが発生します。例えばランサムウェアに感染してしまって「身代金を払う、払わない」という話になってくれば、弁護士さんに相談する必要が出てくるかもしれませんし、社内の法務部門とも相談する必要が出てきます。
さらに言えば、インシデント発生を社外に公開するとなった場合は、広報部門とも密接に連携しなくてはなりません。このように、いざインシデントが発生したケースを想定した場合は、社内外のさまざまなステークホルダーと連携する必要が出てきます。セキュリティ運用を設計する際には、テクノロジー面だけでなくこうしたリアル面の対応まで視野に入れておくことも重要です。
02最新の製品を導入する前にまずは「基本的な対策」の見直しを
先ほど「ゼロトラスト」の話題も出ましたが、セキュリティの世界は日進月歩で次から次へと新しい技術が出てくるため、キャッチアップが大変だという声もよく耳にします。
実際に世の中で起こっているインシデントの内容を見ると、最新のセキュリティ技術でなくては防げないものはごく一部に過ぎず、大半は基本的な対策をきちんとしていれば防げるものばかりです。例えばフィッシングメールを使った攻撃の被害は相変わらず後を絶ちませんが、これも普段から標的型メール訓練を行っていれば感染のリスクを大幅に低減できます。
ちなみに標的型メール訓練について経営者の方に説明する際には、「開封率がゼロになることはありません」「開封率ゼロを目指すことはやめてください」とお話ししています。万が一開封してしまったときに「セキュリティ担当者にすぐ連絡する」「すぐにLANケーブルを抜いて端末を隔離する」といった対応ができるようにするのが訓練の目的であることをまず理解していただくようにしています(リアル面でいう避難訓練)。そのような「地に足の着いた基本対策」をまずは着実に実行することが肝要です。
相変わらず被害が絶えないランサムウェアに関しても、やはり基本的な対策が重要なのでしょうか。
そうですね。最近のランサムウェアはフィッシングメールだけでなく、リモートアクセス機器の脆弱性を悪用して侵入する手口が多く用いられるようになっています。例えばテレワーク用に新たに導入したVPN機器や、システムのリモートメンテナンス用に設置されているネットワーク機器に、セキュリティ上の脆弱性が発見されることはたびたびあります。もちろんメーカーやベンダーからはそうした脆弱性を修正するためのパッチプログラムが提供されていますから、ユーザーは本来ならいち早くそれらを適用して自社が抱えるリスクを潰す必要があります。
しかし実態はというと、脆弱性が放置されたままの機器が世界中で数多く運用されています。こうした脆弱性を突かれてランサムウェアに感染するケースが多く見られますが、これも基本的な脆弱性対策を普段から心掛けていれば防げるはずです。何も最新のセキュリティ製品をやみくもに導入しなくても、基本的な対策をきちんと行っておけば大抵の攻撃は防ぐことができるのです。
03セキュリティ運用を広範にサポートする「ワンストップサービス」のニーズ
セキュリティ製品の中には「これさえ入れれば安心・安全!」と謳うものもありますが、本当に大事なのは製品やツールではなく、ごく基本的な対策を日ごろからしっかり行うための運用の体制とプロセスを整備することなのですね。
ITビジネス全体の流れも、これまで「ハードウェアからソフトウェアへ」、そして今「ソフトウェアからサービスへ」と移り変わってきていますから、東芝ITサービスさんの「製品を入れて終わりではなく、その後の運用サービスの質が重要」という姿勢は業界全体のトレンドにも即していると思います。またセキュリティの運用でやるべきことが増えれば増えるほど、それらをワンストップで提供してくれるサービスへのニーズも高まってくることでしょう。
例えば先ほど梶浦さんがおっしゃった「弁護士への連絡」「社内の関連部署との連携」といったリアル面の対応までカバーしてくれるワンストップサービスがあれば、ユーザーにとってはとても便利でしょうね。
最近はお客様から「CSIRTを立ち上げたいと思っているが、何をどうすればいいか分からない」というご相談をいただくことが増えてきたので、今後はCSIRTの支援サービスなども提供していければと考えています。先ほども申し上げた通り、お客様先には弊社の運用担当者が駐在しており、日ごろからセキュリティ機器の運用や監視、インシデント発生時の初期対応などをやらせていただいていますから、そこで得た知見やノウハウを生かして「プライベートCSIRT」のような支援が提供できないか現在模索しているところです。
万が一お客様先で何か有事が起こった際には、日ごろから駐在して運用に当たっているメンバーと、私たちのようなセキュリティの専門家が連携することで素早い対処が可能になります。そういう意味では、弊社は他社ではあまり見られないユニークなワンストップサービスを提供できるのではないかと自負しています。
ありがとうございました。
高機能なセキュリティ製品を導入したものの、「十分に使いこなせていない」という企業の声もたびたび聞きます。
セキュリティ製品の検知精度が高ければ高いほど、どうしても過剰検知・誤検知(正常なプログラムがマルウェアなどによる不正な挙動として誤って判断してしまうこと)が増えてしまいます。製品から上がってきた検知アラートが本当にインシデントを指し示すものなのか、それとも過剰検知・誤検知なのかを見極めるためには、製品が設置された環境や運用に関する知識と、製品の設定内容についての情報が不可欠です。しかし製品を導入したベンダーと運用や監視を請け負うベンダーが別々の場合は、得てして設定情報などが引き継がれておらず、結果的に過剰検知・誤検知が起こるたびに長時間の対応を余儀なくされることがあります。
その点、弊社がセキュリティ製品の導入+駐在型のシステム運用を提供させていただいているお客様では
運用担当と設計担当が綿密な連携を図り、お客様環境や運用状況、製品の設定に関する情報等を共有、また、インシデントの疑いが発生した場合には、セキュリティ専任担当が連携し迅速な切り分けを提供しているケースもあります。