ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 座談会
ここから本文です。

座談会

セキュリティスペシャリスト達が語る「サイバーセキュリティ最前線の現場から」

「標的型攻撃」に代表されるサイバー攻撃が、国内でも頻発し、企業経営や組織運営に多大な影響を受ける事案が発生しています。日々先鋭化していく"見えざる敵"に立ち向かうセキュリティ最前線の現場では、どのような問題が発生し、どのように取り組んでいるのでしょうか。国内外のサイバーセキュリティ対策で確かな実績と独自ノウハウを持つNECのセキュリティエキスパートが一堂に会し、それぞれの現場課題について検討しました。

(司会進行:サイバーセキュリティ戦略本部 シニアエキスパート 後藤 淳、登壇者:CSIRT責任者、マルウェア解析担当、IR(Incident Response)担当、SOC(Security Operation Center)担当、フォレンジック担当、Web診断担当、セキュア開発・運用担当/ 2015年10月実施)

テーマ1 セキュリティの脅威とCSIRTの課題とは?

顔写真司会進行:
サイバーセキュリティ戦略本部
シニアエキスパート
後藤 淳

CSIRT (Computer SecurityIncident Response Team)を設置する企業・組織が増えていますが、その背景には、従来のIT部門だけでは解決できない問題が起きています。一旦セキュリティインシデントが発生すると、メディア対策や法的対策など、経営層と現場が一体となった対応が必要になります。組織内にCSIRTが設置される一方で、現業との兼任も多く「上手く機能していない」というケースも少なくありません。現在、セキュリティの脅威はどのように変化し、CSIRTにはどのような課題が存在するのでしょうか。

複雑化・高度化の一途をたどるセキュリティの脅威

後藤: 最近、企業や官公庁への標的型攻撃が、年々複雑化・高度化しています。こうした変化について皆さんはどのように見てらっしゃいますか。

CSIRT責任者

CSIRT責任者: われわれNECにも2011年以降、断続的な攻撃が続いています。特にここ1年ほどは、従来型のウイルス定義データベースをすり抜ける「未知のマルウェア」による攻撃が増えています。例えば、メール添付のパスワード付きzipファイルなどに潜んでいるものは、非常に検知が難しい。何とか対処しても攻撃側はすぐに攻撃パターンを変えてきますから、イタチごっこが続いているのが現状です。

マルウェア解析担当

マルウェア解析担当: 2015年6月、遠隔操作ウイルス「Emdivi(エンディビ)」による被害が日本中を騒がせました。あの政府系機構で発覚した情報漏えい事件もその1つですが、ターゲットとなる業種がどんどん広がり、現在は企業の業種や規模を問わず広範囲に攻撃が発生しています。Emdiviは外部からリモート操作できるのが特徴で、組織内のネットワークに侵入後、組織内の各PCの情報を探索し、ターゲット企業の内部資料データを外部の攻撃者サーバに送信します。数時間ですべて盗み出すケースもあれば、1年以上、組織内の複数のPCに潜伏して内部調査していたケースもあります。NECでは、政府系の外部機関や各セキュリティベンダと情報交換しながら、お客さまの被害を未然に防ぐ努力を日夜重ねています。

Emdiviのコード

CSIRT責任者: 未知のマルウェア検知は、例えば標的型メール攻撃の場合、Sandbox製品だけに頼るのではなく、これまでの攻撃トレンドや少しづつ変化している攻撃手法の分析ノウハウを元に、各セキュリティ担当者が判別しています。一般企業のIT部門だけでは、人的リソースの面でも対応が厳しいでしょう。

SOC担当

SOC担当: お客さまの中には、「弊社には、狙われるような特別な情報資産はないから」とおっしゃる方もおられます。しかしこれは全くの誤解なんですね。ここ数年、増加の一方なのが水飲み場型攻撃で、日本国内の一般企業のサイトが、攻撃者の中継サーバなど、気付かないうちに踏み台サーバとして不正に悪用され、被害者にも拘わらず加害者扱いされるケースがあります。この場合、たとえセキュリティ対策を実施していたとしても、不正に悪用されたことを証明できる証跡が提示できないと、企業の信用やブランドイメージ失墜などに見舞われる可能性があります。どのような企業でも重大なセキュリティ事件の当事者となる可能性があるため、自社の安全を守る活動は極めて重要な社会的責任だと思います。

拡大するインシデント対応のフロー

"作って終わり"ではないCSIRT

後藤: CSIRTは、平常時は社内環境の監視や改善を、インシデント発生時にはその対応作業の中心的な役割を担うことになっていますが、一方で、運用に悩まれている企業・組織もあるようです。

CSIRT責任者: CSIRTが注目されるのは嬉しいのですが、一般企業では各部署から人を集めて兼務するケースがほとんどで、特定の個人に任せてしまうこともあるようです。専任者を設けても、組織内の人的ネットワークと日頃からの訓練を行っていないと、事故が起きた時に対応に手間取り、被害が拡大する恐れがあります。

SOC担当: SOC担当者は、インシデントのイベント情報をCSIRTまたはIT部門に提供し、連絡を受けた部署がインシデントの初動対応や関係部署との調整を行いますが、実際には、そのあたりがうまく機能していないケースがあります。具体的に言うと、お客さま側から「セキュリティに関しては全部そちらに任せた」という"丸投げ"になるケースで、委託された機器の監視業務だけのはずが、その後の調査作業をゴリ押しされたことがあります。また、CSIRTを構築しても、調査分析に必要なログが適切に保存されておらず、調査分析ができなかったケースもあります。

後藤: CSIRTという組織は"作って終わり"ではないということですね。

SOC担当: はい。セキュリティの脅威は日々進化しており、攻撃側が次から次へと攻撃手法を変えてくるので、CSIRT側も世の中で起きている攻撃トレンドをウォッチしながら、突発的なインシデント対抗能力とノウハウを蓄積していく必要があります。

企業・組織における現場のリスク可視化と経営層の理解が重要

CSIRT責任者: セキュリティの脅威から社内の業務情報を守るという意味では、NECもお客さま企業と同じ立場にあります。そのため当社では1990年代から先進的なセキュリティ技術の研究と社内体制の整備・拡充を図り、CSIRTについても2002年頃から運用を開始した長い歴史があります。その中では、新たなインシデント情報や脅威・脆弱性情報などを網羅的に収集・蓄積しながら、すぐに活用できるようデータベース化を図っています。これまで収集した数万件規模の情報は必要に応じて随時活用できる体制も整っています。

IR担当

IR担当: 経営層に、情報セキュリティのリスクについて理解を深めて頂くことが重要です。セキュリティ対策は費用対効果が見えにくいといわれますが、どのような事故が起こると、どれだけの経営インパクトがあるのか可視化することで、経営側の投資判断の一助になります。被害を未然に防ぐ、あるいは被害を最小限に抑制するためには、最低限必要な人的リソースなど、きちんと認めて頂く必要があります。また、万が一インシデントが発生した時、CSIRTと協調して企業活動の重大な決断やリーダーシップを発揮して頂くことになると思います。

後藤: やはり、現場の現状の課題を、経営層に正しく理解して頂くことが重要ですね。

解説コラム: SOCとCSIRTの役割とは

現在、SOC/CSIRTを構築もしくは構築検討している企業が増えています。その一方で構築しても運用できていない企業も多く存在します。SOC(Security Operation Center)とはセキュリティアプライアンス製品やサーバのログを監視してインシデントを発見する組織の総称で「警備員」の役割を担います。 CSIRT(Computer Security Incident Response Team)は、発見されたインシデント対応を行う組織の総称で、被害の拡大を抑える「捜査員」の役割を担います。

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る