株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.1. 推進体制の整備

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

標的型攻撃の対策を考えたとき、事故発生を前提とした対策の設計が必要であるという考え方は、本書では何度も登場します。たとえば、企業経営を行う中で、製品のリコールをはじめとした品質の問題や不祥事のリスクというものが存在することは広く理解されており、それに対応する準備が行われています。では、情報セキュリティの事故が発生したときの準備ができている企業はどれほどあるでしょうか?
ここでは、標的型攻撃への対策を推進する、原動力となる組織体制の話をまとめます。

セキュリティは、すでに経営課題。経営者の参画は必須

情報セキュリティに関わるリスクは、いまや企業の存亡にかかわる大きな課題であることに議論の余地はありません。特に標的型攻撃の対策は、IT技術者だけが自身の領域で解決できる範囲を超えており、組織のセキュリティ推進体制には経営層の参画が必須と言えます。
その多くがサイバー空間で発生する情報セキュリティの事故に対して、ITの専門家ではない経営層はどのようなかかわりを持てばよいでしょうか。お手本となる企業の経営層は次のような姿勢で臨んでいます。

  • セキュリティ対策の推進への積極的な参画と支援
    情報システムを活用し、ネットワークを介した事業の活性化や効率化を図るとき、そこには情報セキュリティ面のリスクが伴います。そしていまやこのリスクは経営レベルでの判断が必要であるほどになりました。「100%安全」ということなどあり得ない中で、放っておけばリスクに関する悪いニュースは入ってこなくなり、セキュリティは無視されていきます。セキュリティリスクへの危機感は、トップダウンで対応しなければ失われていくのです。経営者は人員と費用の投資や社員への理解促進により、セキュリティ対策を積極的に支援します。
  • 企業内セキュリティ推進組織(以下 CSIRT[10])からの報告を理解する
    次節に述べる、CSIRTを構築することはもちろん、CSIRTが作成するレポートの内容を理解し、経営としてどのような判断をするべきかを検討します。逆の言い方をすれば、セキュリティリスク対応が経営課題である以上、経営層が理解できる内外のセキュリティ状況に関するレポートがきちんと提出されているかどうかが企業として重要です。あなたの組織では、自組織がどの程度のリスクを抱えているか、きちんと経営層に見えているでしょうか。
  • 事故対応におけるリーダーシップ
    万が一標的型攻撃による被害の疑いが確認された場合、社内が混乱することは避けられません。そんな中、経営層にはCSIRTおよび事業責任者と協調し、事業や企業活動の一時停止に関しての決断を行うなど、リーダーシップを発揮する必要があります。
    社会的な説明責任を伴う問題が発生した場合には、関係者に対して状況の説明を行い、組織の責任者として対応の矢面に立つ覚悟をし、備えをします。 そしてそれは、「万が一」のことではもはやないのです。

こうした行動は、一朝一夕に整備できるものではありませんが、認識は直ちに必須です。情報セキュリティ実施の意思を持つ経営層を円滑にサポートするには、IT部門や総務部門の枠組みにとらわれないセキュリティ専門組織を整備することが有効です。

企業や団体の中に、専門化集団を組織する

最近、標的型攻撃の被害を受けていることに警察やJPCERT/CCのような外部からの指摘によってはじめて気づくというケースが相次いで発生しています。あなたの組織の代表窓口にそのような連絡が入った時、あなたの組織では誰がどこに連絡し、どのような役割分担で、何を調査して事実確認を進めるべきでしょうか。
たとえばそれが誤報であったと仮定して、自信と証拠を持って反論することはできるでしょうか。

標的型攻撃の手法で、2015年7月現在の代表的なものはウイルスメールの添付、およびWebサイトを介してウイルスを送り込む水飲み場攻撃です[11]。しかしこれらの攻撃手法は日進月歩で進化しており、いつまでも同じではありません。例えば、出張先のホテルの無線通信を使用したらウイルスに感染した[12]、ソフトウェアを更新したら正規の更新情報にウイルスが潜んでいた[13]、といった事案も発生しています。レガシーな侵入の常套手段であるUSBメモリーを通じて侵入やサイトをハッキングされた侵入と言ったことも見逃してはいけません。
 今、企業や団体には、日々悪質化する手口を理解し、翻って自社組織内の対策状況とのギャップを把握し、予算やビジネス要件と折り合いをつけながら優先順位を付けて対応していくことが求められています。

こうしたセキュリティ推進組織の活動は、決して簡単なものではありません。そのため、活動の中心には、サイバーセキュリティ上の脅威を深く理解し、かつビジネス推進との間での最適解を見極められる専門チームが必要です。

多くの日本企業の間で、CSIRT(シーサート)と呼ばれる組織が立ち上がっていることをご存知でしょうか。CSIRTとは、いわばサイバー事故対応の専門チームで、サイバー攻撃手法や防御に関する知見と経験を持つ、「サイバー空間の自衛消防隊のようなもの」とされてきました。
しかし、今必要な標的型攻撃との戦いというのは、専守防衛ではあっても本質は「サイバー戦」であり、従来の知見と経験に加えて、「敵」の手法や狙いを把握していることが決定的に重要です。

我々は、CSIRTが「敵」をよく知ることにより、事故が起きた時の対応に留まらず、常日頃から標的型攻撃対策推進を主導する組織になるべきだと考えています。
それでは標的型攻撃に対応したCSIRTは、組織のセキュリティ推進・運営の中で具体的にどのような機能を担うべきでしょうか。その一例を、表3に示します。

 

分類 業務機能 内容
情報セキュリティ企画業務
=事前対応=
体制、権限などの整備
  • 情報共有すべき連絡先の整理
  • 暫定対応時の被害遮断等の権限整備
  • 自己対応手順書などルール集の策定、整備
  • 証拠保全、警察等へ提出する情報の収集対象・手順の整備
システム状態評価
  • セキュリティ文書(スタンダード、ガイドライン、チェックリスト等)の所管
  • ネットワーク構成情報、システム構成情報、対策実施状況の収集と管理
  • 脆弱性診断実施計画の企画、立案、実施結果の評価、対策の推進
  • システム安全性評価、リスク分析の企画、立案、実施結果の評価、対策の推進
教育・訓練の企画・推進
  • セキュリティ教育、啓発、訓練の企画、推進、結果の評価
新サービスの評価
  • 第三者の専門家によるリリース評価
脆弱性情報の収集と活用
  • プログラムバージョン、セキュリティパッチ適応状況の把握
  • 外部からの脆弱性情報収集と活用
  • 脆弱性情報に基づいた、注意喚起や脆弱性対応の通達
外部侵害監視
=早期検知=
攻撃動向の把握
情報収集力強化
  • 外部からの攻撃動向情報収集と活用
  • 既存ベンダ情報の収集と活用
  • 注意喚起情報の展開、追加対策の実施を提言
ログ管理の強化推進
  • 攻撃動向より管理対象ログ、解析手法等の改善提言
外部侵害事故
=事後対応=
連絡体制の設置
  • 対応体制の確認
  • 受付窓口の設置
外部侵害発生時の
対応支援
  • 状況把握、証拠保全、対処
  • 広報、当局報告、経営報告の支援
  • 外部に対する協力依頼、外部機関への報告
再発防止策の検討
  • 再発防止策の検討、評価
表3 CSIRTの果たすべき機能(※JPCERT/CC の資料をもとに、当社にて修正加筆)

このように、組織が、サイバーセキュリティにおいて「敵を知り、己を知れば、百戦あやうからざる」状態を目指すとき、CSIRTの果たすべき役割は非常に広範なものとなります。

それでは、こうした大役を担うCSIRTを整備する上で、どういったポイントがあるでしょうか。
当社は、これまでに多くの企業のCSIRTの設立支援や運用改善支援をし、現在も多くのCSIRT関係者とお話しする機会がありますが、活動が充実しているチームと、活動が不十分なチームでは、表4のような違いがあります。

「名ばかり」CSIRT   「本物」CSIRT
事故対応はするが、検知は外部通報頼みで口をあけてまっている モニタリング モニタリングの仕組みがあり、「検知」の仕組み、トリガーがある
「○×通報制度」のように、窓口はあるが連絡の敷居が高くなってしまっている コミュニケーション 各部門に、face to faceで顔が売れており、色々な相談が舞い込む下地がある
個々の脆弱性情報の収集等にとどまっていて、「リスク」をとらえきれていない 情報収集 内部の情報、業種コミュニティの情報、外部の情報、海外動向等広く収集している
「何をしなさい」という情報にしか反応できない 情報分析 収集した情報から、的確に自社へのインパクトや取るべきアクションが判断できる
事故対応チームの機能に拘泥し、情報発信が無い 情報発信 社内、そして社外に対して警戒情報をはじめとした情報発信をおこなっている
事務色が強くなってしまっており、専門スキルが低い スキルレベル フォレンジックをはじめとした技術的専門スキル、調整能力、情報整理力がバランスよくそなわっている
技術的な事実しか答えない、答えられない スキルエリア 時には推論や示唆を踏まえ、ITセキュリティ脅威の理解とともにビジネスを理解した上でアドバイスができる
方針が無いと決められない、要件が無いと決められない、100%確かではないと決断ができず、火急の時も動きが遅い マインド
仕事の流儀
80%完成度、80%確からしさ、200%スピード
表4 名ばかりCSIRTと本物のCSIRTの比較

これらはすべて本質的な考え方の違いを表しています。CSIRTは、考え方や目標の異なる各組織に根ざすものであり、もし「名ばかりCSIRT」に該当するような問題があっても一朝一夕に改善できることはなく、また共通する万能策や雛形というものももちろんありません。
とはいえ、CSIRTを機能的に活動させるためには、組織整備上注意すべきポイントがあります。例えば次のようなことです。

  • 社内に宣伝する、売り込む
    CSIRTに社内の情報が集まり、またその意思決定に対して理解を得るためには、社内に活動内容が浸透していることが重要です。そのためには、社内からセキュリティ上の悩み事、相談事、気になることを気軽に連絡できることが大事であり、平素からの顔の見えるコミュニケーション、情報の発信といった活動を意識的に組み込んで設計することが重要です。
  • 詳細なマニュアル例を用意する
    「○○攻撃対応マニュアル」は、できるだけ詳細なレベルで用意します。
    これに沿って対応を円滑に行うためと思われるでしょうか。実はそうではありません。実際の事故対応は、マニュアル通りになど進みません。また、そもそも「マニュアルが無いから対応できなかった」ということでは困ります。想定外の事態が起こることを考えなければならないからこそ、CSIRTが必要なのですから。
    ある想定攻撃シナリオに沿ってマニュアルを書くことの本質は机上訓練であり、事故対応の優先順位や思想、求められる役割等の認識を共有する作業なのです。
  • 権限は比較的厳密に規定する
    マニュアル対応に収まらないCSIRTの活動を円滑にするポイントは、権限だけは明確にしておくことです。事故は全員がそろっている平日の昼間に起きるとは限りません。社内におけるCSIRTの位置づけと権限の範囲を事前に明確にしておくことで、事業責任者が不在等の状況でも、被害の拡大防止が可能になるのです。例えば、ネットを遮断する、パソコンを隔離し調査する、プロキシサーバのログやメールの記録を調べるなど、夜間や休日に実施しなければならないのは当然です。それらと、それらが誤報であることも前提とした権限の定義を決めておきましょう。

現在、標的型攻撃対策を推進する組織が無い場合、この際CSIRTという形でITセキュリティ対策の推進力を整備・強化することは、とても有効な手段です。

社員の理解と参画

企業や団体の経営層の皆様や、セキュリティの専門家であるCSIRTが組織化されたからといって、標的型攻撃の撃退は可能なのでしょうか?企業には、CISRT以外にも大勢の社員がおり、標的型攻撃の多くは人事部門や総務部門を含む社員全体を対象としている事実を考えると、セキュリティ対策に関する一般社員の理解の促進は大変重要です。
2015年6月1日に発表された日本年金機構の情報流出事件においては、情報系ネットワーク(通常のオフィスエリア)における個人情報取扱いに関わるルール違反の結果、個人情報流出事件に至ったと言われています。
社員に情報セキュリティの重要さの理解促進(リテラシー教育や標的型攻撃メールの訓練、事故対応訓練など)やセキュリティ対策の実施の徹底のほか、経営層やCSIRTの要請に応じ事故の的確な報告など指導をすることも重要です。


サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top