GTM-MML4VXJ
Skip to main content
  1. ホーム >
  2. サービス >
  3. ビジネス&テクノロジーソリューション >
  4. セキュリティ >
  5. セキュリティ >
  6. 「サイバーセキュリティセミナー2018」 レポート

「サイバーセキュリティセミナー2018」 レポート

「サイバーセキュリティセミナー2018」レポート 2020年を見据えて取り組むべきサイバーセキュリティ レジリエンス向上のための施策

サイバー攻撃の脅威の高まりとともに、サイバーセキュリティへの対応はビジネスにおける最重要課題の1つになりつつあります。2020年にむけては、電力会社や交通機関などの重要社会インフラへのサイバー攻撃の増加も想定されています。サイバーセキュリティにおいては、「防御・検知・対応」が重要ですが、近年は防御の困難性を前提に、攻撃を受けてもできるだけ早期に回復する「レジリエンス力」の向上が求められています。本セミナーでは、東京オリンピック・パラリンピック競技大会組織委員会でサイバー攻撃への対応を担当する中西克彦氏を迎え、レジリエンス力をテーマに検知や対応力向上のための演習、人材育成等に関する取り組みが紹介されました。

東京2020オリンピック・パラリンピック競技大会に向けたサイバーセキュリティの取り組み

中西克彦 氏の写真

公益財団法人東京オリンピック・パラリンピック競技大会組織委員会
警備局 サイバー攻撃対処部
リサーチ・アンド・レスポンス課
課長 中西克彦 氏

基調講演では、東京オリンピック・パラリンピック競技大会組織委員会 警備局 サイバー攻撃対処部 リサーチ・アンド・レスポンス課 課長 中西克彦 氏が登壇し、東京2020年オリンピック・パラリンピック競技大会に向けたサイバーセキュリティの取り組みについて解説しました。

いうまでもなく、東京2020大会は巨大なスポーツイベントです。そのサイバーセキュリティを担当する中西氏が、東京2020組織委員会に入って最初に行ったのが、過去大会のインシデントの調査でした。それによると、2012年のロンドン大会より前は、サイバー攻撃を受けたという記録はほとんど見られなかったということです。それが、ロンドン2012大会以降、各種記録でどのような攻撃があったのか確認できるようになりました。

「ロンドン2012大会では、開会式当日、会場の電力供給システムに対するサイバー攻撃の可能性があり、約250名の技術者を待機させましたが、結局何も起きなかったようです。ソチ2014冬季大会では、アリーナの空調管理システムが、インターネットからアクセス可能な状態になっていました。リオ2016大会では、大会の公式サイトのみならず政府や自治体に対する大規模なDDoS攻撃があり、またWADA(世界アンチドーピング機構)から情報漏えいが発生しました。平昌2018冬季大会ではマルウェアによって、一部NWの通信等に影響が出たと報道されています。」(中西氏)

WADAのシステムには選手の機密情報が保存されています。東京大会では、こうした重要なシステムの保護はもちろん、DDoS対策やOlympic Destroyerのようなオリンピックをねらったマルウェアへの対策も必要になります。

セミナー資料

CIRT2020を設置して、リスクアセスメントや演習を実施

東京2020大会におけるセキュリティインシデントへの対応のため、2016年2月に設置されたのがCIRT2020(Cyber Incident Response Team for Tokyo 2020)です。これは、インシデント発生時にその被害を極小化し、迅速な復旧支援を行うことを目的とした常設の機関です。

「現在はガイドラインの策定や会場システムのリスクアセスメント、インシデント対応の演習、脅威情報の収集分析などの活動を行っています。本番に向け、テクノロジー部門と共に進めるセキュリティオペレーションの設計も重要な業務の一つです。」(中西氏)

なお、CIRT2020は、サイバー攻撃に加え、物理的な警備に関することやフィッシングサイト、チケットの不正転売などの東京2020組織委員会が保有するアセットに対する脅威への対策支援も行っていきます。そこで重要なのが情報です。大会運営のリスクとなる情報を、SNSをはじめとするインターネットからも収集・分析し、意思決定に活かす取り組みです。

すでにボランティアの募集も始まった東京2020大会ですが、大会運営に直接関わらなくても、企業にできるセキュリティの取り組みとして次の4つを挙げました。

  1. 脆弱性管理
  2. ネットワーク分離
  3. データ保護、アクセス制御
  4. インシデントレスポンス体制

いずれも、通常の企業活動においても必要とされる"当たり前"のことですが、その当たり前の活動をしっかり実施することが、東京2020大会のセキュリティ対策にもつながっているのです。

セミナー資料

「リスクアセスメント」からはじめるサイバーセキュリティ

山口貴詩 氏の写真

株式会社富士通総研
コンサルティング本部
ビジネスレジリエンスグループ
チーフシニアコンサルタント 山口貴詩 氏

続いて登壇した山口氏は、「リスクアセスメントから始めるサイバーセキュリティ」のタイトルで、サイバーセキュリティにおける「リスクアセスメント」の重要性と考え方、推進のポイントを解説しました。

サイバー攻撃は年々増加し、攻撃手法も多様化しています。今後は機械学習を使ったり、IoTデバイスをねらったりする攻撃が増えると予想され、特に通信放送、ライフライン、交通物流、金融、行政などの社会インフラへの攻撃が懸念されています。

こうした状況で必要になるのが「リスクアセスメント」です。その目的は、現状の脅威と脆弱性を理解し、優先順位を付けることであり、実施するうえでの重要な考え方が「リスクベース・アプローチ」です。

「組織の目的を危うくするリスクを特定し、重要性に応じて優先順位を付けて対応するのがリスクベース・アプローチです。すべてのリスクには対応できませんから、リスクを影響度や発生可能性の観点から絞り込み、最も重要な領域に対策リソースを投下するのです」(山口氏)

そして、具体的な分析の手法が「ビジネスリスク分析」と「システムリスク分析」です。ビジネスリスク分析では、事業継続の視点で重要業務を整理し、必要不可欠な情報資産を棚卸して守るべきシステムやデータを浮き彫りにします。そして、システムリスク分析では、重要なシステムやデータについて、想定される様々な脅威のもと機密性・完全性・可用性の観点から詳細なリスク評価を行います。

最後に山口氏は、セキュリティ・レジリエンス強化 に必要なポイントを、次のように整理しました。

「セキュリティ・レジリエンスとは、サイバー攻撃等に対する防御の困難性とビジネスへの影響の⼤きさを認識して、インシデントが発⽣する前提で、想定外の事態や動的な状況変化に適応できる、組織としての危機対応能力です。インシデントの発生を前提に、早期再開する力を高めることが求められており、そのためには、サイバー攻撃の防御や検知のための事前対策(ハード)、サイバーインシデント対応体制や手順(ソフト)、役割分担などの行動計画、演習による人・組織の危機対応能力向上(スキル)が必要で、PDCAサイクルを回してこうした取り組みを継続的に改善することが重要なのです」(山口氏)

セミナー資料

セミナーでご紹介した内容について
お問い合わせ

「想定外」を減らし、「想定外」への対応力を強化するサイバーセキュリティ演習

告野信輔 氏の写真

株式会社富士通総研
コンサルティング本部
ビジネスレジリエンスグループ
マネジングコンサルタント 告野信輔 氏

次に登壇した告野氏は、「サイバーインシデント対応力向上プログラムについて」のタイトルで、サイバーセキュリティにおける演習の重要性を説明しました。

まず告野氏が確認したのが、CSIRTのミッションです。これは「ダメージコントロール」と「レピュテーションマネジメント」の2つです。ダメージコントロールは、迅速で適切な初動対応で被害拡大を抑制することです。そして、レピュテーションマネジメントが、企業の評判毀損を最小化するための顧客や監督官庁とのリスクコミュニケーション、広報・法務部門等の危機対応のことです。
このミッションを達成するためには、CSIRTのカバー範囲の設計が重要になります。告野氏は、設計時のよくある課題を次のように説明しました。

「お客様からよく相談されるのが、CSIRTとSOC、およびCSIRTと危機管理本部との接点です。SOCで検知した情報をすべて上げるのではなく、一定の基準でスクリーニングして本当に必要な情報だけをCSIRTに上げること。そして、CSIRTと危機管理本部との間にも判断基準を定めて、事象の遷移に応じて意思決定の主体をスムーズに移行できるようにしておくことが重要になります」(告野氏)

セミナー資料

そして、構築した体制をしっかりと運用し、実効性を高めるために必要となるのが演習です。なぜ演習を行う必要があるのか、そして演習のポイントについて、告野氏は次のように説明しました。

「いかに計画・立案しても、実際の現場では想定外のことが次々と起きます。したがって、演習を通じて想定外を減らし、同様の事象が発生したとき慌てることなく対処できるようにすることが重要です。しかし、それでも想定外の事象は起こりますので、経験を積み重ねることで想定外への対応力を強化することも、演習が必要である理由です。
なお、演習のポイントは成熟度に応じた目的の明確化です。インシデント対応のプロセスを作ったばかりの組織では、そのプロセスが有効な設計となっているかを検証します(設計評価)。また、プロセスの設計が有効である場合は、想定外の事象が発生した場合でも柔軟に運用できるかを検証します(運用評価)。演習はこれらの目的に合わせて、最適な手法を実施しますが、組織としての対応能力を身に付けていくためには、運用評価を取り入れることが重要です。」(告野氏)

ただ、自社だけで効果的な演習を実施するのは容易ではありません。そこでは、富士通が提供している「インシデント対応力向上ブログラム」などの専門的なサービス を効果的に活用することも必要になるでしょう。

セミナーでご紹介した内容について
お問い合わせ

自組織でセキュリティ人材を育成するために必要なこととは?

中村航 氏の写真

株式会社富士通九州システムズ
セキュリティ&ソーシングソリューション本部
教育ソリューション部
部長 中村航 氏

最後に登壇した中村氏は、「自組織内のセキュリティ人材育成」として、セキュリティ人材の育成について講演しました。セキュリティ人材の不足は深刻で、経済産業省の調査によると、2020年には約19.3万人が不足すると推計されています。

サイバー攻撃の脅威により多くの企業が自組織のインシデント対応能力に不安を感じているのが実態です。このため、企業にとってはセキュリティ人材の育成・確保が喫緊の課題ですが、中村氏は「ITスキルだけでは十分とはいえません」と次のように強調しました。

「もちろん、セキュリティのスキルは必要です。しかし、セキュリティ人材には、経営層はもちろん、ベンダー、監督官庁、警察機関等の外部組織との調整も求められます。つまり、人間力が必要になるのです」(中村氏)
このセキュリティ技術、ヒューマンスキルの両面でセキュリティ人材を育成するには、専門の教育プログラムが不可欠です。富士通九州システムズでは、富士通グループだけでなく、外部の企業・組織にも実機を用いた教育プログラムを提供してきました。

「長年の警察関係機関への研修ノウハウを活かして、入門コースから専門的なコースまで、幅広いプログラムを提供しています。DoS攻撃やWeb改ざん、スキャニング、標的型メール、水飲み場攻撃、ランサムウェア……等々、机上演習だけではなく、実機を使って現実に近い仮想環境でインシデント対応を体験できるプログラムも用意しています。各種教育プログラムは最新の攻撃事例やお客様の保有するシステム資産に応じてカスタマイズが可能です。さらに表現力や判断力などのヒューマンスキルに関するアセスメントプログラムも提供しています」(中村氏)

セミナー資料

サイバーセキュリティ人材の育成に注力したい企業・組織にとっては、ぜひ活用を検討したいプログラムといえるでしょう。中村氏は「出張での研修にも対応していますので、ぜひご相談ください」と述べて講演を終了しました。

セミナーでご紹介した内容について
お問い合わせ

ご紹介したソリューション

登壇者

中西克彦 氏の写真

公益財団法人東京オリンピック・パラリンピック競技大会組織委員会
警備局 サイバー攻撃対処部
リサーチ・アンド・レスポンス課
課長 中西克彦 氏

山口貴詩 氏の写真

株式会社富士通総研
コンサルティング本部
ビジネスレジリエンスグループ
チーフシニアコンサルタント 山口貴詩 氏

告野信輔 氏の写真

株式会社富士通総研
コンサルティング本部
ビジネスレジリエンスグループ
マネジングコンサルタント 告野信輔 氏

中村航 氏の写真

株式会社富士通九州システムズ
セキュリティ&ソーシングソリューション本部
教育ソリューション部 部長
中村航 氏

お問い合わせはこちら

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)

GTM-5HNCF9