Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

IHIグループの皆さまへ 情報セキュリティ最前線 その(1) サイバーセキュリティ

情報セキュリティ最前線 その(1) サイバーセキュリティ

ITが高度化するにつれ、情報セキュリティの脅威は日々変化しており、企業の重要な経営課題となっています。中でも【サイバーセキュリティ】(標的型攻撃)への対策と、情報漏えい等の【内部不正】防止の2点は、今や企業価値の源泉となっている情報資産を企業が安全かつ積極的に活用するために、なくてはならないセキュリティ対策です。シリーズ第一回目は、サイバーセキュリティ対策の最前線を、ある企業の事例を交えてご紹介します。

サイバー攻撃(標的型攻撃)とは?

サイバー攻撃(標的型攻撃)とは、企業の機密情報に関係する限定的な人物に対して、送信者等を詐称したメール等を送り、未知のマルウェアを使用して情報を搾取する攻撃です。WebアクセスやUSBメモリによる攻撃もあります。サイバー攻撃を受けると、企業の貴重な情報資産を奪ったり、企業の信用を失墜させる大きなリスクをはらんでいます。

製造業A社の例

守るべきものはどこに?

2011年10月、製造業A社の情報システム部セキュリティ対策のリーダー加藤氏は、社長室にいた。東日本大震災に便乗し、放射能情報提供に見せかけた攻撃メールや偽の寄付金サイト等のサイバー詐欺が増えていると情報処理推進機構(IPA)が企業経営者に注意喚起したため、社長が自社の対策について知りたいといっている。と上司ともども呼び出された。そこで社長から発せられた最初の質問に、加藤氏は答えを窮した。
「当社グループで守らなければならないコンピュータは何台あるのか?」  
「・・・・・・・・・・」

グローバルに自社所有のサーバーの数、パソコンの数、スマートデバイスの数がそれぞれ何台あるのか把握できていない。国内だけでも正確には把握しきれていない。部門が独自に運用しているサーバーもある。タブレットを導入している販社もある。ましてやそれぞれの機器にどんなソフトウェアがインストールされているのか、不正ソフトがインストールされているかどうかわからない。
「では、当社グループの機密情報や個人情報はどこにあるのか?」
「・・・・・・・・・・」

A社では、2010年にすでに情報セキュリティ指針をまとめて運用開始している。加藤氏も指針作りのメンバーの一人だった。ウイルスやワーム等のマルウェア対策システムも導入している。機密情報取扱指針も経営企画部主導のもと、総務部、人事部が参画したプロジェクトでガイドラインはすでに作成してある。 加藤氏は、社長にこれだけのことをやってきました、と胸を張って言えるはずだった。だが、現実は、指針だけで管理が徹底していなかったことが、社長の一言で明らかになった。

セキュリティは数えることから

社長面談から1か月後、加藤氏は守るべきものリストを作成し、調査を開始した。数え始めるとわかってきたことがある。

  • 防御手法は散々議論し実装もしてきたが、肝心の守るべき対象のリストアップは不完全極まりなかった。
  • 「対策は万全」と主張していた事業部が、実は抜け&漏れが多かった。
  • リスト化し対策状況を経営会議で報告することにより、事業部間で競って対策を実行するようになった。

そして、数える化=見える化推進から1年後。複数の効果を得ることができた。

セキュリティは数えることから

そしてグローバル

セキュリティ対策のための情報資産の数える化が進んだA社でサイバーセキュリティ対策部の部長に着任した加藤氏は、海外全拠点+関連子会社全社(含:海外拠点)を対象に、セキュリティの「見せる化」を急ピッチで推進。現在では、弱い拠点をつくらない=セキュリティレベルのグローバルな底上げはほぼ完了し、サイバーセキュリティ対策の強化を模索している取引先への支援を行っている。

グローバルレベルで、各地域毎のセキュリティ対策状況(パッチ、ワクチン適用率、HDD暗号化等)を一元的に見える仕組みを構築

A社の事例では、社長のセキュリティ意識が高まったことに端を発して、事業部やシステム部が対策を講じることにより、急ピッチで改善が進んだ。特にグローバルオペレーションのセキュリティ水準の向上は、意識や環境の違いから、後回しにされがちだが、A社においてはグローバル化が経営課題でもあり、プロジェクトメンバーの意識も高く、スピーディーに進めることができた。

巧妙化するサイバー攻撃

これまでサイバー攻撃は愉快犯が主な攻撃者でしたが、今やサイバー攻撃専門のプロ集団が世界中で活動しています。また、報告されているコンピュータセキュリティインシデントの数も2年間で約3倍に増えています。

ここまで巧妙化、専門化したサーバー攻撃を受けないように完全に防御することは不可能だといってよいでしょう。そうなってくると対策としては多段階で異種の対策を講じることが有効になります。

サイバー攻撃対策最前線 :見える化 + 多層防御

製造業A社の事例にみるとおり、脆弱性を排除するためには、まず例外なきセキュリティ見える化を実施することと、日々刻々と巧妙化する攻撃者への防御を多層多重にすることが基本です。
具体的には、ゲートウェイ対策、デバイス(サーバー、パソコン、スマートデバイス)対策、人的対策を、機能分野ごとおよび全社向けに用途に合わせて漏れのないように実施することです。

図

たとえば、ゲートウェイ対策では、ゲートウェイの入り口にてメール添付ファイルやWebダウンロードファイルに潜む未知のマルウェアを閉じ込めるサンドボックス型探知システムを、出口では外部不正通信検知・フィルタリング対策を多重に併用します。さらに送信ドメイン認証の実施や、フリーメールアドレス(yahoo、gmail等)からの添付ファイル付き及びURL記載メールについて、件名にその旨を明示し注意喚起をする等の対策も取ります。
人的対策では、実践トレーニングが有効です。事前予告の上で疑似標的型攻撃メールを送付し、開封結果を把握、攻撃への注意力を向上させるトレーニングです。トレーニングを事前に予告して実施しても、かならず感染した添付ファイルを開いたり、Webダウンロードを実行する人がでてくるはずです。いかにそれを最小にするか、また実行してしまった人に対する対策を即時取れるかはトレーニング実施有無で格段の差が出ます。

このように最前線の防御法は、日々攻撃されることを前提にして、

  • 攻撃された際に何がどこにあり何に影響するのかが一目瞭然であること(見える化)
  • 実行する防御は常に複数多重であること
  • 攻撃を受けた際にすぐに気づき対策が取れるように実践的なトレーニングと啓蒙活動を継続すること

を実行することです。

NECの情報セキュリティ対策

NECグループは、グループ全体で情報セッキュリティーの維持・向上を目指しています。
全社的な取り組みとしては、情報セキュリティ基本方針・全社既定の制定、共通的な情報セキュリティ起案の整備、教育・意識啓発・人材育成の制度運営を実行しています。さらにこれらの施策を組織全体で効率的、効果的に浸透&徹底させる仕組みとして情報セキュリティガバナンスを実践しています。

NECのセキュリティガバナンスの考え方NECのセキュリティガバナンスの考え方

さらに、情報セキュリティマネジメントを体系づけてグループポリシーを定義。リスク管理を強化しています。

サイバー攻撃のリスクが深刻化し、攻撃対象が拡大する中、NECではサイバーセキュリテイ戦略室を発足させ自社で実践しているセキュリティマネジメントをお客様にも提供しています。
具体的には、セキュリティ対策の企画立案から、セキュリティシステムの設計・構築・運用監視、脆弱性診断やサーバー教育&演習、各種技術サポート等のサービスです。

NECの自社の取組やセキュリティサービスに関しては、「情報セキュリティ報告書2014」をご参照ください。

情報セキュリティ報告書


本件に関するお問い合わせは、担当営業までご連絡ください。