この記事のポイント
- 大企業ではセキュリティ投資・対策が進む一方、中小企業では遅れがちという二極化の傾向が見られる
- グループ会社やサプライチェーンのセキュリティ対策、経営層の意識向上を課題にあげる声が多い
- 組織内にCSIRTがなかったとしても、日本シーサート協議会の活動などを通して横のつながりを構築しておくことが大切
一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)
運営委員長
萩原 健太氏
サプライチェーン対応から見えた共通課題と二極化傾向
コロナ禍で企業を取り巻くセキュリティ事情はどのように変化したのでしょうか。
インシデント情報としてはマルウェア「Emotet」やランサムウェアなどに関する情報共有が増えました。被害の深刻さは別として、件数ベースではもともと標的型攻撃自体の比率は小さく、ランサムウェアの事案が大きいといえます。対策として、昨今では「EDR(Endpoint Detection and Response)(※1)」に始まり、「SASE(Secure Access Service Edge)(※2)」や「CASB(Cloud Access Security Broker)(※3)」などを企業としてどのように採用していくのか、クラウドシフトをどのように進めていくのか、「ゼロトラスト」をどのように実現していくのかといった、新たなキーワードをベースとした情報共有が多くなっています。
※1 エンドポイントで発生する事象の分析を通じて、脅威の検知や対応支援などを行うサービス
※2 従来のデータセンター等に通信を集約する従来の方法から、クラウド環境におけるセキュリティ統制へとシフトさせる考え方
※3 ユーザーと各種クラウドサービスの間にコントロールポイントを設け、クラウドサービスの利用状況を可視化・コントロールするためのサービス
一方で、セキュリティの二極化が進行しているようにも感じています。大手企業ではこうした部分に意識やリソースを割くことができますが、中小企業の中には脆弱性対策のためのファームウェアの更新すらできていない企業もあります。このような状況下で多く語られるようになったのが、サプライチェーンの課題ですね。1,000人以上の従業員がいる企業は、子会社を含めてサプライチェーンの規模自体が大きかったりします。サプライチェーンの対応をどのように進めていくのかも、共通の課題としてあげられているようです。
自社から直接手が及ばないグループ会社のセキュリティ管理に悩む企業も多いです。攻撃の多くは、セキュリティが脆弱な海外拠点や子会社などを見つけ出し、そこから侵入を試みるといったように、ターゲット企業をピンポイントに狙うのではなく、外堀を埋めるように周囲から狙ってきます。そのため、どの範囲までセキュリティ投資を行うべきかが悩みどころの1つになります。
ベースラインアプローチで中小企業を守る
企業は、グループ会社や取引先へどのような形でセキュリティ体制の確認を依頼しているのでしょうか。
多くの場合は、セキュリティチェックシートの回答から各社のセキュリティ体制や対策状況を判断しているのですが、正直なところ、こうした表層的な取組みだけで実際の脅威に備えることは困難です。むしろ、ネットワーク診断の結果をそのまま親会社が確認するほうが、よっぽど有効なチェックになるといえます。
これはセキュリティ専門家としての個人的な見解ですが、国のガイドラインは、実務的な明確さを欠いている部分があると考えています。ヒアリングだけで認証を取得した企業でも、セキュリティインシデントが発生することはあります。リスクベースではなく、本来なら「ここまではやらなければならない」というベースラインアプローチを実施しなければ中小企業は守れないと思います。
サプライチェーンのセキュリティ対策のほかに、加盟チーム間で共通する課題はありますか。
経営者の認識をいかにして高めていくかという部分ですね。実際の取組みとしては、たとえばある企業ではグループ会社のトップを集めてセミナーを実施しています。また、当協議会の「インシデント対応演習訓練ワーキンググループ」でも経営者の方々に集まっていただき、インシデントハンドリング(サイバー攻撃の模擬演習)を体験してもらうなど、経営者への意識付けに向けた動きが活発化しています。
セキュリティ体制構築と人材育成のポイント
2021年末にシーサートメンバーの育成方法について解説した資料「 CSIRT人材の育成 Ver1.0」を公開されていますが、人材についてはどのように考えていらっしゃいますか。
「CSIRT人材の育成 Ver1.0」は、「 CSIRT人材の定義と確保 Ver.2.1」で定義された役割とスキルをベースとして、役割ごとに育成するための施策や、要員不足に対しては兼任できる役割をまとめるという解決策などを、ベストプラクティスとしてまとめたものです。
ただし、ここに記載された役割に必ず当てはめなければならないというものではありません。必要な役割は組織に応じて異なりますから、むしろ「必要な役割を担う人材がいるか」が重要です。「組織内に人材がいない」と思考を停止させるのではなく、育てることができないならば、外部から連れてこなければなりません。人材計画を含めてしっかりと考えていただくこと。これこそが一番大切なのです。
最近では総務部門にCSIRTの機能が組み込まれるケースもあると聞きます。
これまでCSIRTといえば、情報システム部門に設置されることが多かったですね。その役割を総務部門の方々が担うことは、1つの正しい在り方だと感じます。情報システム部門だけでセキュリティ体制の構築を進めていくと、全社に横串を通すような幅を生み出しにくい傾向がありました。しかし、総務部門の全社横断的な視点が加わることで新しい変化が見え始めています。たとえば、総務部門がリスク管理の取りまとめ役を担うことで、サイバーセキュリティインシデント対応が加速する場合が少なくありません。こうした認識の変化は大きなプラス要素といえます。
積極的に動き、日本を守る「つながり」を作る
日本シーサート協議会の今後の活動予定についてお聞かせください。
新しい活動として、「セキュリティ教育検討ワーキンググループ」を設立しました。これは、各企業で行われている新卒採用者・中途採用者への教育・研修などに関するセキュリティ関連コンテンツを共有していこうという取組みです。このほか、現状の地区活動ではまだカバーできていないエリアもあるので、全都道府県で地区活動が行える仕組みを構築していきたいと考えています。
最後に、企業のセキュリティ担当者や経営者に向けてメッセージをお願いします。
CSIRTは決して高い壁ではありません。仮に組織内にCSIRTが作れなくても当協議会やその加盟チームと連携することはできます。組織として加盟する・しないは別として、個人としてワークショップなどのイベントにご参加いただくこともできます。最近ではオンラインイベントも数多く開催していますので、セキュリティに関する知識レベルに自信のない方も、ぜひ気軽に参加してみてください。
日本シーサート協議会では、「日本をいかに安全にするか」を常に考えています。加盟には推薦組織が必要ですが、ワークショップから新しいつながりが芽生えることもありますし、事務局にご連絡いただければアドバイスできる事柄もあると思います。まず一歩を踏み出し、一緒に日本を守るつながりを作っていきましょう。
(取材・文:荒木孝一)
萩原 健太(一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会 運営委員長)
法政大学大学院公共政策研究科修士課程修了。セキュリティベンダーでマーケティングや渉外、CSIRTの構築や運用などを行い、現在は日本シーサート協議会の運営委員長を務めている。組織的なセキュリティを専門とし、政府機関や関係団体のセキュリティに関する委員会やワーキンググループにも参加。講演や演習なども数多く実施している。
最新情報をフォローする
