サイバーセキュリティに関する啓発を強化する内閣サイバーセキュリティセンター(NISC)のサイバーセキュリティ月間2025(2月1日~3月18日)に合わせて、カンファレンス「サイバーセキュリティのトップアジェンダ」が3月12日、企業のサイバーセキュリティ関係者らを集めて開催された。巧妙化するサイバー攻撃に対して、政府は、受動的な防御を超えて、攻撃者のサーバーを特定して無害化することも可能にする能動的サイバー防御の導入に向けた法制度の整備を進めている。サイバー防御の新たな潮流が生まれている今、サイバー攻撃の脅威にさらされてきた企業は、どんな取り組みができるのか。セキュリティ対策の最新動向を見ながら考察した。
■オープニングスピーチ
我が国におけるサイバーセキュリティ政策について
内閣官房 内閣サイバーセキュリティセンター(NISC)
副センター長(内閣審議官)
中溝 和孝氏
1993年に旧郵政省に入省後、省庁再編により総務省へ。不正アクセス禁止法の制定、電気通信事業におけるプライバシー保護、プラットフォームをめぐる諸課題への対応等の消費者行政に長年携わる。2020年7月より、情報通信分野のサイバーセキュリティ対策を担当し、21年10月より内閣官房内閣サイバーセキュリティセンター(NISC)の総括参事官として「サイバーセキュリティ戦略」で取り組むべきとされた諸課題への対応を推進。23年7月より現職。
サイバー攻撃の脅威は増大している。システム内部に侵入してシステム障害を引き起こす攻撃は急速に巧妙化・高度化していて、重要インフラの制御系システムに侵入後、潜伏を続けて、有事にインフラを機能停止させるタイプの攻撃には安全保障上の懸念が高まっている。そこで、政府は、能動的サイバー防御導入を柱とするサイバー安全保障分野の対応力向上を進めている。
サイバー対処能力強化法案(3月12日時点で国会審議中)は、基幹インフラ事業者を対象に、攻撃事案の情報共有や対処支援などにより官民の連携を強化、攻撃者のサーバー等を検知するための通信情報の利用、攻撃サーバー等を必要に応じて無害化する措置——の3点が柱だ。これ以外にも、NISCでは様々な取り組みを推進。公開サーバーやネットワーク機器等の網羅的な監視・評価事業、経営層の理解を深めるための意見交換会等による民間企業との連携、米英豪などとの国際連携を強化。中小企業や一般の人々を含む幅広い対象への広報活動を展開している。中溝和孝氏は「サイバーセキュリティは政府だけでは達成できない。皆様の理解を得て、官民連携で進めたい」と語った。
■基調講演
サイバー空間のセキュリティ ~日本の責任と役割~
慶應義塾大学教授
村井 純氏
工学博士。1984年日本初の大学間コンピュータネットワーク「JUNET」を設立。1988年インターネットに関する研究コンソーシアム「WIDEプロジェクト」を発足させ、インターネット網の整備、普及に尽力。初期インターネットを、日本語をはじめとする多言語対応へと導く。内閣官房参与、デジタル庁顧問、他各省庁委員会主査等を多数務め、国際学会等でも活動。2013年ISOC(インターネットソサエティ)が選ぶ「インターネットの殿堂(パイオニア部門)」入りを果たす。「日本のインターネットの父」として知られる。著書に『インターネット文明』(岩波新書)他多数。
「インターネットは単なる技術だが、技術が社会を形作り、人の生き方にまで影響するようになった。それは、まさに『インターネット文明』と呼ぶべきものだ」と、慶應義塾大学の村井純氏はインターネットを語る。慶應義塾の創立者、福沢諭吉は「技術が急激に発展すると民衆は狼狽する」という指摘をしていたが、「今のインターネット世界の状況を言い当てているのではないか」(村井氏)。
インターネットが急速に普及した要因の1つは標準化だ。標準化された技術は、利用者が増えるほど低コストになり、さらに普及を加速してきた。もう1つの要因は自律分散システムだ。インターネットは、特定の国や会社が運営・統制しているわけではない。それぞれ自律した端末と通信システムの集合体であることが広がりやすさにつながった。
しかし、「誰もが使えるようになれば、インターネットを乱用・悪用する者も現れる」(村井氏)。サイバー空間で頻発するサイバー攻撃へのセキュリティ対策はもちろん、フェイク情報による攻撃、通信ケーブルやデータセンターなど通信基盤設備への物理的な攻撃にも備える必要がある。特に通信基盤設備は近年、大陸間などを結ぶ通信用海底ケーブルが漁船等によって切断される事象が目立つため、1カ所が切断されても代替ルートを確保できるようにケーブル網を配置する対策が講じられている。日本国内では、都市に集中したデータセンターやインターネットエクスチェンジ(相互接続点)などの通信基盤設備の被災に備え、地域に分散させて冗長性を高める対策や、ウクライナ戦争で脆弱性が顕在化したGPSを補完する仕組みの整備が進められている。
日本のサイバー対処能力強化法について「縦割り組織で足並みがそろわなかった各省庁を内閣が束ね、協力してインターネットを守る仕組みが整う」と評価した村井氏は、インターネット・デジタル技術の発展に日本が果たす役割にも言及。「悪用とは反対の倫理的利用の推進については、災害時でも人々が倫理的に振る舞える国として、世界から評価されている日本のリードを期待する声が多い」と語った。
■課題解決講演1
能動型サイバー防御の鍵となる基軸テクノロジーとは?
~脅威検知とIR、AIディフェンスまでを実現する~
Splunk Services Japan
フィールドソリューション&セキュリティ・ストラテジー セキュリティ・ストラテジスト
矢崎 誠二氏
従来のサイバー防御は、境界型防御や多層化防御、または保管されたデータを暗号化などによって攻撃しにくくするという防戦一方のアプローチだった。これに対し、近年、能動型サイバー防御が登場し、米国や英国などでは既に導入されている。日本でも、重要インフラ事業者との官民連携、通信情報の取得・分析、敵対者サーバーの無害化措置を実現する仕組みが導入されるが、「能動的サイバー防御の考え方の基本は、防御側のコストを減らし、攻撃側には増大させたコストを持たせることにある」とSplunkの矢崎誠二氏は語る。
能動的サイバー防御において、官民が連携して状況共有や分析を行う基盤テクノロジーは、民間のグループ企業同士が連携する防御基盤と同じだ。データプラットフォームを構築して、信頼性の高いアラートや通信の情報を共有し、分析のための基盤を備える。そのテクノロジーとして想定されるのが、セキュリティログの網羅的な収集・分析機能と、セキュリティイベントをリアルタイムで特定・通知する機能を統合した「SIEM」(セキュリティ情報イベント管理)システムになる
SplunkのSIEMは、検知基盤に多様な検知ロジックが事前定義されている。検知ロジックは検出範囲が広すぎて、頻発によるアラートの信頼性が低下する場合があるが、同社のSIEMは、いったんセキュリティイベントのアラートを保留して、イベントの相関関係を分析、時系列に並べてグループ化して評価することで、アラートの精度を高める機能を備える。分析基盤は、主流になっているTDIR(セキュリティ検知・分析とインシデント対応の統合)型で、脅威対応を自動化するためのSOAR(セキュリティの指揮、自動化、応答)機能も提供している。
Splunkでは、セキュリティに特化して、検知・分析やユーザー支援をするAIも提供。AIは誤りを犯すこともあるという前提で「すべてをAIに任せるのではなく人が介在して確認する『Human in the Loop』の考え方で運用する」(矢崎氏)。急速に普及するAIを巡っては悪意あるプロンプト(指示文)入力で情報を盗む、新たな攻撃も顕在化していることから「AIの能動的サイバー防御も重要」と語った。
■特別講演1
「凸版印刷」から「TOPPAN」へ
ビジネスリスクを最小化するサイバーセキュリティ対策の最前線
TOPPANホールディングス
情報セキュリティ本部 サイバー部リスク管理チーム
坂田 尚氏
新卒から15年間複数企業にて半導体プロセス開発やLSI設計を経験し、2012年子会社から凸版印刷本社へ転籍し基幹システム設計を担当。2018年から情報セキュリティ本部へ異動し資産管理や監査を担当。2019年にIPA中核人材育成プログラム(3期)に参加し、修了後はTOPPANグループのリスク管理として、脅威インテリジェンス、アタックサーフェス管理、工場セキュリティを担当。
TOPPANグループは、創業以来培ってきた「印刷テクノロジー」を活用し、情報コミュニケーション、生活・産業資材、電子デバイスなどの幅広い事業をグローバルに展開。251のグループ会社、99の製造拠点、2万社超の取引先を抱える。そのため、サイバーリスクも、情報流出、生産・サービスの停止、工場制御系システムの誤作動など多岐にわたる。坂田尚氏は「ビジネスへの影響を考慮したリスクの最小化が、ビジネス価値の最大化につながる。そのため、ビジネスを最も理解するサービス運用・製造部門と、セキュリティ部門との連携を深めることが重要だ」と語る。
セキュリティ対策は、ガバナンス対策、人的対策、技術的対策の3つの観点から課題を明確にする必要がある 。ガバナンスは、地域・事業ごとに必要なセキュリティレベルが異なるため、グループ全社が最低限守るべき「ベースライン」を定め、定期評価を行って改善を促す。人的対策は、グループのサイバーセキュリティ人材育成会社Armoris(あるもりす)の知見を用いて教育や演習を実施。工場では、情報保護に偏った従来の教育が「個人情報を扱わず、社内ネットワークに接続していない工場は無関係という誤解を招いた」(坂田氏)ことから、安全性や可用性にフォーカスした工場用ガイドラインを作成して、ガバナンス、リテラシー向上に努めている。
技術面では、インターネットに公開されているサーバーなどのIT資産を検出してリスク評価するASM(攻撃対象領域管理)システムを導入。未把握の公開資産やリスクを洗い出し、問題の是正を求めるほか、業務委託先企業のセキュリティ監査にも活用する。ただ、ASMは、実際は管理下にない資産や、問題とならない“リスク”まで検知してしまう。「こうしたASMの特性を理解せずに是正を求めると、相手に不信感を抱かれる。逆に、取引先がASMで弊社の“リスク”を検知すると、企業ブランドに影響する可能性もあるが、その対応には、コストパフォーマンスを考慮した判断も必要になる」(坂田氏)。そこで、同社は、対応の優先順位付け、現場がASMの特性を理解して対策するためのガイドライン策定などにより、対策運用の最適化を図っている。
■課題解決講演2
今知っておきたい、リスクベースアプローチに基づく
クラウドサービスの安全な管理・活用方法
株式会社アシュアード
セキュリティエキスパート
植木 雄哉氏
企業の約8割がクラウドサービスを利用するようになった今、クラウドサービスのセキュリティリスクも高まっている。例えば2023年には社労士向けクラウドサービスがランサムウェア攻撃を受けて約1カ月にわたり停止するインシデントが発生し、作業が滞る事態になった。企業信用調査報告書のサイバーセキュリティ版とも言える、クラウドサービスのセキュリティ評価レポートを提供するアシュアードの植木雄哉氏は「評価・対策をしてもクラウドサービスのセキュリティリスクをゼロにはならないが、リスクを把握しないことは最大のリスクになる」と、リスク評価の重要性を訴える。
リスク評価は、利用するすべてのクラウドサービスに対して網羅的に実施するのが理想だ。しかし、評価には、マルウェア対策やバックアップ対策について、サービス事業者に問い合わせる手間がかかる。一方で、企業がリスク評価に割けるリソースには限りがあるので、網羅的調査は難しい。そこで、有効なのがリスクベースアプローチだ。リスクは、インシデントの「影響度」と「発生可能性」のかけ算に分解できる。そこで、業務における重要度や、利用する情報の機密性から「影響度」を検討。影響度が高いサービスを優先して、提供事業者のセキュリティ対策状況を調査し、インシデントの「発生可能性」を評価する。「クラウドサービスを利用すれば、業務効率化の恩恵を得られるが、サービス停止による業務への影響や情報漏えいのリスクをとらなければならない。そのリスクを自社の許容度内に収めるという考え方が大切だ」(植木氏)。
アシュアードが提供する調査結果レポートは、国内外のフレームワークやガイドラインを参考にして作った約120項目の質問票への回答をベースに、専門資格を有するコンサルタントや監査経験者が、評価目安となる点数を算出し、懸念項目についての具体的な想定リスクを解説する。「DX推進にはクラウドサービス利用は不可欠。利用しないという選択は取りにくいので、自社のITサプライチェーン管理の一環として、クラウドサービスのリスク評価に取り組んで欲しい」と語った。
■課題解決講演3
デジタル時代の企業競争力をセキュアに高める!
~従来型からブローカー型アーキテクチャへ~
ゼットスケーラー株式会社
トランスフォーメーション・アーキテクト
林 聡氏
企業のネットワークは平成以降、データセンターに置かれたサーバーと各拠点を結ぶWAN(広域通信網)のテクノロジーに支えられてきた。しかし、令和の今、攻撃技術は進化し、VPN(仮想専用線)も安全ではなくなり、WANの境界防御によって安全だったはずの企業ネットワークに侵入を許すケースも増えている。林聡氏は「WANアーキテクチャに今後も使い続ける価値があるのか」と切り出した。
WANのセキュリティ不安の原因は、いったん侵入を許すと、PCやサーバーなどマシン同士の通信を介してマルウェア感染が拡大しやすい点にある。この課題を解決するのが、Zscalerのブローカー(仲介人)型アーキテクチャだ。サーバー側に専用のコネクターを設置してブローカーサービスとの間にセキュアな接続を確立。ブローカーに認証されたユーザーだけが、コネクター経由でサーバーのアプリケーションにアクセスする仕組みにする。
在宅勤務等の社外ユーザーのPCがVPNでサーバーにアクセスする方式をブローカー方式に変えれば、攻撃される可能性があるVPNを廃止でき、マシン同士の直接通信も無くせるので、PCからサーバーへの感染拡大を防げる。ユーザーごとに利用できるアプリケーションを限定し、アクセス権を必要最小限にしてセキュリティを高める運用も可能だ。各拠点を結ぶWANとサーバーとの間の通信もコネクター経由にすれば、サーバーの感染を防げる。各拠点からのアクセスをすべてブローカー経由にしてWANを廃止することも可能だ。
IoT機器や取引先、スマホアプリ等との通信のために公開領域に置くサーバーも、ブローカー方式で、直接インターネットに面しない構成にして保護できる。
ブローカー方式のメリットはセキュリティだけではない。M&Aに伴うシステム統合で、両社のWANをつなぐには、セキュリティレベルの違いや、IPアドレスの重複の問題があったが、これらの問題もブローカーサービスの利用で容易に解決。「経営、ビジネスのスピードを損なわない、迅速なシステム統合が可能になる」(林氏)。
■特別講演2
「サイバーセキュリティインシデント対応を総点検」
~経営視点、法的視点から見た2025年のセキュリティアジェンダ~
TMI総合法律事務所
パートナー弁護士
大井 哲也氏
クラウド、インターネット・インフラ/コンテンツ、アプリ・システム開発、ビッグデータアナリティクス、AI、サイバーセキュリティ等の分野の実務を専門とする弁護士活動の一方、サイバーセキュリティ専門コンサルティングファーム、TMIプライバシー&セキュリティコンサルティング代表も務め、個人情報保護法等に適合したデータ管理・活用、サイバー攻撃や内部者による機密情報の持ち出し・漏えいを防ぐセキュリティ対策や、インシデント発生時の対応を支援する。ISMS(情報セキュリティマネジメントシステム)認証機関公平性委員会委員長、一般社団法人クラウド利用促進機構(CUPA)法律アドバイザーなどを歴任。(https://www.tmi.gr.jp/people/t-oi.html)
巧妙化するサイバー攻撃は、システムに侵入したマルウェアが、数年かけて社内ネットワーク全体を調べ上げ、セキュリティシステムに検知されないように少しずつ情報を持ち出し、気付いた時には情報の大半を奪われてしまっていることもある。大規模なセキュリティインシデントの調査・対応に携ってきた大井哲也氏は「早期に被害範囲を把握するためにも、インシデント検知後の初動調査段階から調査会社など外部専門家にアドバイスを求めて欲しい」と語る。
初動では、インシデントの範囲や深刻度を見極め、調査や対応の優先順位を決めるトリアージを実施する。1000人超の個人情報漏えいなど個人情報保護法に該当する事態の場合は、3~5日以内に個人情報保護委員会に報告、情報漏えいの被害本人へ概要の通知しなければならない。さらに、社内への注意喚起、第1次のプレスリリース等による発表、警察への届け出、被害者からの問い合わせやクレームに対応するコールセンターの設置——などの幅広い対応を、情報システム、法務、IR・広報や外部専門家が連携して行う。「インシデント検知後の対応は、変化する状況に合わせたスピードが大事なので、判断は合議ではなく、単独で意思決定できる社長やCISO(情報セキュリティ最高責任者)が統括・指揮を担うことがカギになる」(大井氏)。
詳細な原因究明調査は、フォレンジック調査(デジタル鑑識)の専門家らを入れた調査チーム組成。必要に応じて、適宜情報開示を行いながら、原因や再発防止策を説明した確報を個人情報保護委員会に報告する。インシデントの経済的損失は、情報漏えいに伴う損害賠償や慰謝料、秘匿していた技術の価値喪失、システム停止による事業の逸失利益など幅広く、国内でも数億円から20数億円の特別損失計上に至っている事例がある。大井氏は「経済的インパクトからは、セキュリティに投資すべき額も見えてくる。円滑なインシデント対応には、対応マニュアルの整備や、対策しきれないリスクを転嫁するサイバー保険への加入なども必要になる。平時からの備えが大切です」と訴えた。
source : 文藝春秋 メディア事業局
トップページ
後で読む・閲覧履歴
マイページ