GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. 【フォーカス】セキュリティレジリエンスへの取り組み

【フォーカス】セキュリティレジリエンスへの取り組み

2016年9月13日(火曜日)

【フォーカス】シリーズでは、旬のテーマに取り組むコンサルタントを対談形式で紹介します。

IoT時代に向け、セキュリティマネジメントリスクが再認識されています。サイバー攻撃は防御と検知も重要ですが、発覚後の対処を考えて備えることの重要性が高まっています。どのような心構えで備えの方針を考えるべきでしょうか? 訓練と演習の違いを踏まえ、人材育成につなげるセキュリティレジリエンスへの取り組みを語っていただきました。

対談者は、名古屋工業大学大学院社会工学専攻の渡辺教授、富士通株式会社グローバルマーケティング部門の太田エバンジェリスト、株式会社富士通総研(以下、FRI)の三浦チーフシニアコンサルタント、進行役はビジネスレジリエンス事業部の細井事業部長です。

1. 経営者に対してセキュリティリスクの危機感を演習で醸成する

【細井】
IoTの進展に伴いサイバー攻撃の脅威とともに、セキュリティリスクがクローズアップされています。しかし、自然災害とは異なり、発生後の自社にとっての影響度合いが企業のトップに認識されにくいのが実態です。攻撃目的も、機密性に関わる情報流出から、可用性に関わるPLC(programmable logic controller)に代表される制御系インフラまで、IoT(Internet of Things)も相まって範囲が拡がっています。当然その防御と検知は重要ですが、それ以上に、検知後のインシデントレスポンスの構えが重要です(図1)。FRIでは事業継続(BCM)では発災後の行動力が重要だと考え、そのための平時の心構えや備えについてコンサルしていますが、サイバー攻撃への取り組みも事業継続の考え方と根本は同じと考えています。それをセキュリティレジリエンスと呼んでいます。本日はそういった観点で、サイバーセキュリティに対する企業の心構え、インシデントレスポンスの重要性、平時の構えなどを話していただきたいと思います。
早速ですが、渡辺先生は事業継続に精通され、また数多くサイバー演習をされていますが、最近特に感じられている課題はどういったことでしょうか?

【図1】セキュリティに対する意識の変化
【図1】セキュリティに対する意識の変化

【渡辺】
重要インフラ企業や個別企業向と演習をご一緒させていただいておりますが、ようやく訓練から演習に変えなければという意識を経営者の方々も持ち始めてきた気がします。訓練は決められたことを時間内に手順どおりできるかをチェックする、いわゆるドリルです。訓練は世の中で多く実施されていますが、私は正解がないところで各ポジションの役割で臨機応変に考え意思決定を行う、頭の筋肉を鍛えるような演習に注力しています。参加者が的確に状況把握して、自身がカバーすべき目標への距離感を測り、残ったリソースを見て、選択肢を考えて意思決定を重ねていくことがレジリエンスの基本だと思います。演習シナリオとして作り出された想定外の事象で、いかに断片的な情報を掻き集め、限られた時間内で意思決定して次に進められるか。落とし穴も仕込まれた周到なシナリオが準備された演習を体験し、皆さん恥をかきながら「何ができていないのかがわかって良かった」というモードに変わってきました。御社も貢献されていますが、いわゆる圧迫訓練も含めた試行を通じて、一部の意識の高い企業や業界が追いついてきたところです。

【名古屋工業大学 教授 渡辺 研司】
【名古屋工業大学 教授 渡辺 研司 氏】

【太田】
今、先生が仰った訓練から演習って素晴らしい考えだなと思います。各省庁にサイバーセキュリティ情報化審議官が4月に設定されました。その方々の課題認識の1つに人材育成があります。世の中ではテクニカルな面での人材育成、ホワイトハッカー(注1)がいると世の中は救われるみたいなイメージが強く、8万人足りない、20万人足りないといった話が多いのです。技術であればエンジニアがセキュリティを学べばいいだけのこと。教育体系だけを変えても人は育たない、まさに演習をやる仕組みを作らねばと痛切に思います。道具の話ではなく、頭を鍛える演習の場を用意しないといけません。

【渡辺】
まずトップが演習の重要性を理解しないといけなくて、トップに危機感がない会社はいくらやってもダメですね。何か起きた時「想定外のことでございました。あいすみません、再発防止に努めます。」で記者会見を終えてはいけませんね。

【三浦】
CSIRT(Computer Security Incident Response Team)を構築している企業の方と話していて、トップダウンでCSIRTを作っている企業はシステム部門だけでなく他も巻き込んでいるケースが多いです。ボトムアップで作っている企業はシステム部門内に閉じたCSIRTを構築しているケースが多く、横連携に課題があります。やはり経営層がサイバー攻撃をリスクとして認識して対応することが重要だと思います。

【太田】
昨年12月に経済産業省から「サイバーセキュリティ経営ガイドライン」が出たおかげで、そういう考え方を持たなければという意識が多くの企業で広がっていますね。

【三浦】
7月に総務省からも「IoTセキュリティガイドライン」が出されましたが、経営層がやるべきことが徐々に定義されてきているかと思います。

【渡辺】
「安心安全の対策はきちんと考えてあります、大丈夫です」と言っている企業は信用できません。リスクをきちんと認識し、自社の脆弱性に対し、それが起きたらどういうビジネスインパクトがあるかを想定し、それに対して今対応できるのはここまでで、残存リスクについては、例えばバックアップシステムへ切り替えたり、定義された重要業務に沿ってサービスラインを減らします、と言える企業だけが信用できます。この考え方は事業継続と全く同じですね。

2. 経営者にビジネスインパクトを明示する

【細井】
事業継続ではリソースの相互依存性をサプライチェーンなどの概念で理解しやすいですが、セキュリティリスクの文脈で危機感を醸成するために工夫すべきポイントは何でしょうか?

【渡辺】
やはりビジネスインパクトで示すことですね。例えば、情報漏洩すればコストがいくらとか、どれだけマーケットシェアが落ちるとか、経営者に数値インパクトを示すことが有効です。やはりBC(Business Continuity)は自然災害もセキュリティも同じなので、CSIRTは情シスだけでは無理で、事業部門が入って、この事象は事業にどうインパクトがあるか翻訳し、きちんとCEOに伝えなければいけません。事故が起きた際、データベースをシャットダウンするか、システムを全部止めるか、どれをやってもお客様は困るし風評被害が出るけど、これ以上続けるともっと酷いことになると、番頭さんのような立場の人が翻訳してあげないと、経営者はわからないですね。

【三浦】
地震などの災害では時間が経つと被害状況がわかってくるのに対し、サイバー攻撃は悪意をもって行われるため、証跡の改ざんや証拠隠滅がある点が違います。だからこそ、CSIRTは今何が起きているかを断片的な情報から組み立てて、経営者にわかりやすく伝えることが重要です。フォレンジック(forensic)(注2)で原因を完全に調査するまで1、2か月くらいかかってしまい、調査結果を待っていては手遅れになります。

【渡辺】
さらに、同時多発的に攻撃された際に個社では潰しきれないので、CSIRT協議会等の横軸で見る人たちと連携して、断片に散発する事象群から組み立てたインテリジェンスを経営者に伝える必要があります。攻撃は肉眼では見えませんし、攻撃目的も一般企業の人にはわからないので、専門団体と連携しないといけません。

3. セキュリティ防御技術の進化

【太田】
今までセキュリティの防御方法の多くはアメリカで形成され、検知装置やフォレンジックツールが生まれています。富士通も社内のサイバーセキュリティに取り組む中で、そういう装置を運用してきています。しかし、そのためには大勢の優秀なセキュリティ専門家がいて、あらゆる情報を全件調査できる体力が必要です。フォレンジックでは大量の通信パケットデータを集めて、相関分析をかける。分析エンジンも凄くパワーが求められます。こんなマルウェアが来たら、どこかにバックドアが開いていないのか、そのIPアドレスが前に悪いことに使われていたURLだ、というふうに攻撃者の手段に着眼して調査していました。しかし結局は後追いのセキュリティ対策なのです。そこで、我々は2011年から攻撃者の行動に着眼しました。攻撃者は必ず入ってくる努力をして、内部調査をする努力をして、最終的に見つけた情報を持ち出すという動きをします。この行動には法則があります。それを研究して、ようやく昨年モデル化できました。

【富士通株式会社 エバンジェリスト 太田 大州】
【富士通株式会社 エバンジェリスト 太田 大州 氏】

【渡辺】
FBIとか犯罪捜査系のですよね。

【太田】
こんな行動とあんな行動とが組み合わさった場合には、どれくらいの確度で攻撃の可能性があるというトリアージの技術を作っています。個別のパケットを見ていないのです。また、各PCが外と横にどう通信して業務的に何をやっているかを全部トレースすることで、通信のパケットキャプチャーより1万分の1程度のボリュームのログを解析すれば良く、結果的に凄いスピードで解析できます。例えば年金機構の事件は調査に3か月近くかかりましたが、我々の技術では1時間で相関が全部出ます。攻撃者の行動特性に着目し、すぐに調査できるスピード感がサイバーセキュリティの世界を大きく変えていけると思っています。すでにお客様や富士通で使われて良い成果が出ていて、今後は情報系だけでなく制御系でも適用研究したいと考えています。

【渡辺】
マネーロンダリングやSNS系の関係性を抽出するようなロジックですよね。コミュニケーションの相手や頻度、方向を分析するような。

【細井】
IoTが拡がれば、そういった行動をより正確に集めることができて、制御系への展開も現実味が増しますよね。一方、複雑に絡まったシステム系で、どこかで情報量が増えると意図しない連鎖障害が起きる。渡辺先生は攻撃者がそこを突いてくる可能性もあると警鐘を鳴らされています。それは意図的に再現される危険性もありますか?

【渡辺】
再現可能ですね。証券系は1000分の1秒単位の取引なので、人の入る余地はないわけですが、システム同士がつながって、お互いの利益を最大化し始めると連鎖的に障害(輻輳)が伝播します。日本の証券市場はサーキットブレイカーという仕組みをすでに入れていて、特定時間内にある価格幅を外れた銘柄は売買停止になりますが、米国にはなかった。2010年に米国で発生したフラッシュクラッシュ(注3)は完璧に再現可能です。ああいう情報をシステムに投げ込んでやればよいのです。センシティビティ(注4)が上がっているので、そこに悪さをしようと思ったら、様々なことができてしまいます。

4. 事故前提での取り組みの必要性、情報保証から任務保証へ

【太田】
サイバー攻撃というと情報漏洩だと思う経営者が多過ぎます。私は任務保証(ミッションアシュアランス)が要だと言い続けています。事業継続を保証すべき、そのためには事故前提で考えるべきです。今までは情報保証という観点が強すぎて、任務保証とのつながりがありませんでした。自然災害は目に見えてわかるので、経営者も理解しやすい。しかし、サイバー攻撃の本質は任務保証であることを理解してもらう意味で、演習はわかりやすい気づきが得られる手段だと思います。経済産業省に作られることが計画されている産業系のサイバーセキュリティ推進センターの機能として入れて普及させていかなければいけません。

【図2】これからの危機管理の考え方
【図2】これからの危機管理の考え方

【渡辺】
担当者ではなく経営者に来て欲しいですね。すでに攻撃されている、盗られている前提で、攻撃者にこまではくれてやって、どこから先を守るという、身を切ってでも守るべき所を守ることですね。そういった感覚を持つことが必要です。

【細井】
FRIでは事業継続の領域でシナリオ非提示型の演習を10年以上やってきており、これは演習で気づきを得ていただくことを目的にしています。今年7月より事業継続演習で培った考え方を応用してサイバーインシデント演習を開始しました。その演習シナリオでこだわった点は何でしょうか?

【三浦】
演習シナリオでは参加者に情報を提供しすぎない点にこだわっています。サイバー攻撃の全容が明白にわかるには、数週間から数か月ほど時間がかかります。初動時には断片的な情報しかわかりません。その断片的な情報から状況を推測して、事業経営にどんなインパクトがあるのか考えて、エスカレーションして意思決定してもらうところにポイントを置いています。

【株式会社富士通総研 チーフシニアコンサルタント 三浦 良介】
【株式会社富士通総研 チーフシニアコンサルタント 三浦 良介】

【細井】
お客様ごとに事業は異なりますが、どのような観点で影響把握すべきかは共通点がありそうですね。また、演習シナリオにリアリティがあるか、情報系と制御系に同時に何か起きたらどうなるかといったところも考え所ですね。

【太田】
先日、工場側のセキュリティ責任者とお話ししたら、オフィス系と工場系のセキュリティで全く違うのは、止めるとすぐに売上に影響を及ぼすため、止める時の判断基準が必要だと言われていました。マルウェアが見つかっても、それが悪さをするかわからず、悪さするなら当然止めなければいけない。どの条件で止めるかについて、「ここまでならこうする」というのが事前に準備できるといいと思いました。そういうことを気づかせるサイバーセキュリティ演習もあると思います。

【三浦】
昨年のNISC(内閣サイバーセキュリティセンター)様の分野横断的演習で制御系システムの担当者にインタビューしたところ、「止まったシステムをリカバリする手順書は多数準備できている。しかしながら、システムは稼動しているもののコンピュータの負荷が高く制御できない状況のとき、誰がシステムを止める判断をするのか決まっていない」という話がありました。今後の制御系システムに関する演習では、システムが稼動しているものの制御できないようなシナリオを検討したいと思います。

【細井】
最近IoT関連の見える化、故障予測といった事例でも、生産ラインのマシンの様々な情報が取れるようになっています。日常的に発生する局所的な停止への対応と、攻撃で停止した際の対応はレベルが異なるだけと言えます。平時の状況変動に対応する構えまでカバーするシナリオを策定していけるでしょうか?

【渡辺】
生産管理システムとつなげればシミュレーションできます。意思決定で重要なのは、今止めると回復の時間がどれだけかかり、在庫がどれだけ減るか、お客様との取引関係もあるので1時間後に判断するかどうか。「これが起こると出社できる従業員が50%超えない、となれば生産体制をシフトしていく」というように、すべて通常業務にインパクトを落とし込む発想はインフルエンザもサイバーも同じです。振り返りの際に、「社長、あと30分判断が早くなっていれば、もっとこうなっていました」と言って学習していくことも重要ですね。

5. 日本を強靭化するためにはセキュリティ技術の国産自給率の向上が必要

【細井】
サイバー攻撃に企業1社で対応するのは難しいとのことでしたが、共助の重要性とか、日本を強靭化することを考えていくために何を考えれば良いでしょうか? 我々が普段から取り組めること、サイバーセキュリティ演習で取り込んでいくべきこと、留意していくべきことはどんなことでしょうか?

【株式会社富士通総研 ビジネスレジリエンス事業部長 細井 和宏】
【株式会社富士通総研 ビジネスレジリエンス事業部長 細井 和宏】

【太田】
先ほど国産技術と言いましたが、モノを作れるということは、そこに技術者が存在するということです。技術者はモノを作るだけでなく、フォレンジックもできる人に変われる能力を持っている。でも日本には国産技術を育成するプログラムはない。例えば、国家安全保障の観点で独自にサイバー空間を守るものを開発していない。米国ではベンダーと開発し、それを運用する人が軍を退役して民間企業に戻り、オレペ―ションを手伝い、意思決定のための人材として人材マーケットを回る。この官と民が人材を廻していく仕組みが日本にはない。米国で作られたものが日本に輸入されています。セキュリティビジネスは年率7%で伸びていると言いますが、伸びてはいけない世界だと思います。ICTの運用費用は今の低い経済成長率では増やせないし、そこにサイバー投資が割って入ると景気は悪くなる一方です。だからICTの投資範囲で実現しなければならない。となると、高い技術を自分たちで創り出さず他国にすべて頼るのは間違っている。

【細井】
太田さんはセキュリティ技術の国産自給率の向上と表現されていますね。

【太田】
政府にも働きかけていますが、総務省の研究外郭団体のNICT(National Institute of Information and Communications Technology; 情報通信研究機構)がダークネット(注5)の監視や研究等で海外製品でテストベッドを作り評価しています。その活動の中で、何らかのコアがないと技術者が育たないという課題認識は一致しているので、協力をお願いしています。

【三浦】
大企業ではそれなりのセキュリティ体制がとられていますが、中小企業を含めた全体の底上げが必要だと思います。中小企業が踏み台にされるケースも多く、サイバー攻撃は弱い所が狙われます。企業単体で弱い所、日本全体で弱い所が狙われています。中小企業でもセキュリティに関する情報を集めやすいとか、サイバー演習をバーチャルで受けられるといったことが現実にならないと、日本全体としてセキュリティのレベルは上がらないと思います。

【太田】
技術的な側面や、運用で誰に頼るかは、サービスで補完するしかないと思います。自社のリスクを経営者が捉えて、それに対処するリソースに限りがあるなら外部に頼るべきです。頼るべき領域が分かり、そのリソースをどこに頼もうと気づける演習もある。しかし、やはり日本にセキュリティの産業がないと思います。セキュリティ自給率を高める必要がある。

【渡辺】
個別の中小企業は人も金もないので、ある程度外部の専門サービスに監視をしてもらうことです。これは横軸を通して監視することになりますので、特定の産業や特定のツールを使っている企業群の攻撃が捕捉できるようになるので、補助金を出すことなど、割り切りが必要でしょう。英国の金融機関の決済系ネットワークも、大きな金融銀行は各々やっているけど、それ以下の銀行は当局が外部サービスを入れさせて監視し、同時多発的な攻撃やタッピングの段階から横軸で捕捉して、攻撃者をある程度特定し、攻撃目的を交渉するとかやっています。ネットワークやシステムが全部つながっていて脆弱性が高い部分から攻撃されるので、横にサービスを入れて網を張るしかないので、ある程度国が支援すべきでしょう。

【太田】
それを富士通がやると提案してもいいですか? 逆に、横軸で監視するサービスが国のためにレピュテーションを集める。アメリカは民間企業が情報を集めてレピュテーション情報として売買しています。それが国家レベルで集められるというのは国の強靭化という面では非常に意味があります。

【渡辺】
中小企業は必ずプロバイダーを選んでいるので、プロバイダー同士が情報を集める共同センターを作っていくというやり方もありますね。

6. セキュリティレジリエンス人材育成は次世代経営者の育成そのもの

【細井】
人材の底上げに関連して、検知段階や通信監視ではAIの活用や、先ほどの行動分析など、ITでの対応領域が広いですが、その後工程を担う人材が重要ということです。オリンピックも絡めて国レベルの強靭化を加速するには、どのように人材育成して行けば良いでしょうか?

【渡辺】
報告を躊躇しないということと、報告したことに対してアプリシエイトすることが重要です。エスカレーションすることを推奨し、それがネガティブなことにつながったとしても、あなたには責任ありませんと言う。これは普通の危機管理でもやられていることです。上がってくる流れを作っておかないと、見えるものも見えない。例えば「あなたはあのとき、この兆候を見逃しましたね」、「気づいたのに報告しませんでしたね」といった感じで、報告しなかったことによる影響が出る演習を組むのも良いと思います。エスカレーションを是とする演習です。サイバーの事例ではないですが、ある企業で中堅社員を集めて生産や供給や企画のチームを作り、1年くらいかけて様々に連鎖するシナリオを考えました。すると、各々の業務を学んでいきますし、違う業務の中堅が集まる会議なので次世代の経営陣を育てることになる。「渡辺さん、これは演習も大事だけども、次の経営陣を育てるためのネットワークだから、当日はどうでもいいから、それまでのプロセスを大事にしてくれ」と、そこの会長からも言われました。

【太田】
会社の風土を作り変えるという意味では、企業の危機管理能力は企業の底力であり、平時にもその危機管理能力は発揮できる。その部分がこれから市場で試されると、もっと活性化するかと思います。

【渡辺】
ドリルは手順を体で覚えるという面では必要なことですが、それだけではダメです。事業継続と称して手順を確認する訓練だけをやっていると、その手順が本番で足枷になるケースがあります。ステップ1の次にステップ2とやるとスキップできないのです。

【三浦】
各手法には検証目的があるので、作った手順がきちんと実行できることを目的とした訓練も大事ですが、想定外の事象に対応できるかを検証する訓練も重要です。目的に応じていくつかあるパターンの訓練や演習を織り交ぜてやるのが一番よいかと思います。

【渡辺】
現業の人たちが自分の業務を持ち寄って、社内の相互連鎖を見て、何が起きるとどうなるかというインパクトを想像していく。それが中堅から経営陣に上がっていくのが条件ですね。

【細井】
ビジネスレジリエンスもセキュリティレジリエンスも、「いざ鎌倉」状態から臨機応変に判断をして行くことが求められます。しかし、有事の際には考える能力が低下し、最悪の場合パニックに陥ります。役職が上がると、そういう姿を見せたくないのか、判断を間違えることが心配なのか、演習に参加されない経営者もいらっしゃいます。その状態で経営者に最終報告しても臨場感・危機感が伝わらないことが多いのですが、ご指摘のとおり、イベント当日ではなくプロセスの中で連鎖のシナリオ検討に巻き込むことで、危機管理の人材育成、次世代経営者育成として取り組んでいきたいと思います。本日はありがとうございました。

(対談日:2016年7月21日)

対談者

対談者(写真左から)

  • 渡辺 研司 : 名古屋工業大学 大学院社会工学専攻 教授
  • 細井 和宏 : 株式会社富士通総研 ビジネスレジリエンス事業部 事業部長
  • 三浦 良介 : 株式会社富士通総研 ビジネスレジリエンス事業部 チーフシニアコンサルタント
  • 太田 大州 : 富士通株式会社 グローバルマーケティング部門 エバンジェリスト

注釈

(注1) ホワイトハッカー(white hacker) : コンピュータやネットワークに関する高度や知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のこと。

(注2) フォレンジック(forensic) : 証跡管理。コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めること。

(注3) フラッシュクラッシュ(flash crash) : 株価の瞬間的な急落。米国市場で2010年5月6日に起きた株価の急変が代表的。わずか10分ほどの間にダウ平均株価が9%の下げ幅を記録した。

(注4) センシティビティ(sensitivity) : センシティビティ分析とは分析対象の要素をパラメータ化し、ある変数の変動に対して他の変数がどのように変化するかを調べるリスクマネジメントの分析手法。

(注5) ダークネット : インターネット上で到達可能なIPアドレスのうち、特定のホストコンピュータが割り当てられていないアドレス空間のこと。

関連オピニオン

関連サービス

【事業継続マネジメント(BCM)】
ビジネスを維持・運営する上で重要なのは、日々の活動を安定化させることです。事故や災害で業務が停止し、復旧が遅れれば収益だけでなく、企業の存続にすら深刻な影響を及ぼすことがあります。

【セキュリティレジリエンスコンサルティング】
シミュレーション演習による気付きから、現状対策レベルの評価、CSIRT*構築支援、インシデント発生時の対応能力を検証する演習までをトータルにご支援します。

大規模地震対応模擬演習やサイバーインシデント対応演習などのお申し込みはこちらから。