多様なサイバー脅威が蔓延る中、富士ソフトのソリューション事業本部内で有志を募り、セキュリティ座談会を実施。その座談会の様子を連載形式でお届けします。
Part1では、中小企業も攻撃者に狙われる時代に突入した背景と、現実的なセキュリティ対策方法について議論しました。Part2では、セキュリティ対策の中でも重要な“ログの活用”に焦点を当て、被害発生後の対応力を高めるための考え方を掘り下げます。
参加メンバー
北村 明彦
ソリューション事業本部 インフラ事業部
川西 就
ソリューション事業本部 インフラ事業部 クラウドソリューション部
脇屋 徳尚
ソリューション事業本部 インフラ事業部
岩品 慶子
ソリューション事業本部 インフラ事業部 インフライノベーション部
櫻井 秀憲
ソリューション事業本部 インフラ事業部
中小企業は“保険”や“ストレージ”を見直す
――中小企業におすすめのセキュリティツールを教えてください。
北村:1つに絞るのは簡単ではありません。また、どの企業においても、セキュリティツールを検討する前に従業員のITリテラシーを上げるのが最も安全だと思いますが、どんなにITリテラシーを高めようと、脆弱性を狙ったゼロデイ攻撃はどうしても受けてしまう可能性があります。
櫻井:10人程度の会社規模だと、ゼロデイ攻撃より、フィッシングメールなどによる被害が多い気がします。まずは悪意のあるメールを検出できるツールを検討すべきではないでしょうか。
櫻井:SOC(Security Operation Center:企業の情報システムを監視する専門組織)サービスやMSS(Managed Security Service)には、エンドポイントの監視に強いものや、ネットワークの監視を得意とするものなど、ベンダーごとに特徴があります。これらのサービスは、目的に応じて組み合わせて利用することも可能です。
また、サイバー保険も検討の余地があるでしょう。弊社のオフィスSOC / おうちSOCサービスにはサイバー保険が付帯されていますので、中小企業には非常にマッチしていると思います。
脇屋:実はクラウドストレージも、セキュリティツールとして検討できます。たとえば、Microsoft OneDriveやOneDrive for Businessは、ファイルの変更履歴を遡れます。ランサムウェアなどに感染していても、暗号化されたファイルを復元可能です。
また、クラウドストレージベンダーが検知機能を実装している場合もあります。ユーザーは保存先をクラウドストレージに変えるだけで、高いプロテクト能力を手に入れられるのです。
――クラウドストレージベンダーの約款には、「データ保守の責任はユーザー側にある」という責任分岐点が明記されていることがほとんどです。それでもクラウドストレージを活用すべきでしょうか?
脇屋:たしかにデータを保守する責任はユーザー側にあることが多いです。それでもコストパフォーマンスから考えれば、クラウドストレージをセキュリティツールとして活用するメリットがあります。
脇屋:資金が潤沢な企業であれば、セキュリティアプライアンス(セキュリティ機能に特化した機器や装置の総称)を導入することで、より強力なセキュリティ対策を実現することができます。ただし、導入には数千万円~数億円単位のコストがかかります。ほとんどの中小企業にとって、これは現実的ではありません。
一方、クラウドストレージは、年間数万円程度のコストで一定の安全性を確保できます。限られた予算で継続的なリスク管理を行う観点からは、クラウドストレージの活用は合理的かつ現実的な判断だと言えるでしょう。
北村:クラウドストレージをセキュリティツールとして活用することには私も賛成です。ただし、認証管理は厳重にする必要があります。最近、Amazon S3のアクセスキーだけでランサムウェア攻撃を実現できてしまう事例がニュースになりました。
開発プラットフォームに誤って公開されたAmazon S3のアクセスキーを攻撃者が収集し、正規の手順でAmazon S3にアクセスしてくるのです。
Amazon S3に保存されているデータに対して、SSE-C方式(ユーザーが暗号キーを管理する方式)で管理し、攻撃者だけがキーを持つ形でデータを暗号化する。データの削除期限を設定して身代金を要求すれば、マルウェアを使わず脆弱性も突かずに、Amazon S3の標準機能のみでランサムウェア攻撃が成立してしまうのです。
アクセスキー管理の徹底や権限の譲渡制限などを設けていないと、いずれ攻撃者に狙われてしまうでしょう。
ログ取得は必須。でも“取得する”だけで終わらせない
――大企業が最低限取り組んでおくべき施策は何があるでしょうか。
北村:大企業の場合、無作為に選ばれるわけではなく、攻撃者のターゲティングから始まります。攻撃者はあの手この手で狙った企業のシステムに入り込み、潜伏期間を経て重要なデータを探し……というように、攻撃の全工程に1年近くかけることが多いです。
ほとんどの場合、侵入ポイントは“人”、つまり人的ミスです。そのため、まずは操作や通信のログを取得し、何が起きたのかを正確に把握できる状態を作ることが重要です。人的ミスによる侵入は、その瞬間に気付くのが難しいことも多く、後から原因や被害範囲を特定する際にログが唯一の手がかりになるケースもあります。逆に、ログが取れていないと何が起こったのかを突き止めることすらできません。ログの分析が難しいのは承知の上で、それでもログを取得していなければセキュリティは始まりません。
川西:ただ、ログはためるだけでは意味がありません。私も様々なお客様のご相談に乗りますが、「ログはちゃんと保全している」というお客様でも、「そのログを調査するためのフローはどうなっていますか?」と聞くと、「何も決めていない」というケースがほとんどです。取得したログを活用できるフローをしっかり決めることのほうが、実は重要です。
櫻井:被害に遭った時は、結局パニックになって状況を冷静に分析することは困難です。被害に遭われてから1、2年後にインシデント対応報告書をリリースする企業も少なくありませんが、報告書をよく読んでみると「ログがないため証拠はないが、推測するに、○○の弱点を突かれて被害に遭った」のような大まかな分析がされているケースがあります。
こうした事後分析、いわゆる“ポストモーテム”の質を高めるには、平時から有事を想定したログの取得と活用フローを整備しておくことが欠かせません。ポストモーテムの精度が上がれば、再発防止策の具体性も増し、社内外への説明責任を果たすうえでも信頼性が大きく向上します。
たとえば、あるシステムが不正アクセスを受けた時に、どのログを確認して影響を把握するのか、脅威を封じ込めるにはどうするのか、誰にどうやって連絡すればいいのか、最低限“どう動くべきか”を、日頃から訓練しておかないと本番で動けなくなってしまいます。それでは被害が拡大するばかりです。
考えられる影響を基にログの対応フローを作っておくだけで、全体でどう動くべきかが見えてきます。加えて、そのフローに基づいた訓練を定期的に行うことで、有事の際でもスムーズな初動が可能になります。
攻撃手法は日々進化しているため、対応フローや訓練は、一度決めて終わりではなく、PDCAを回しながら継続的に改善していくことが大切です。
岩品:ただ、システム構築などで、“災害対策訓練”を組み込んだスケジュールやWBS(Work Breakdown Structure:タスクを細分化し一覧で示すスケジュールや構成図)を作成すると、お客様から予算の関係上などで真っ先に「いらない」と言われてしまうケースも少なくありません。
「セキュリティは別の人がいるからこちらでやっておく」と多くの方がおっしゃいますが、蓋を開けてみたら、セキュリティ担当者は何もしていなかった、ということも往々にしてあります。
櫻井:インシデントが発生した場合には、ベンダー側にも責任が及ぶ時代なので、提案する側として、すべての提案を記録に残しておくことも大事かもしれません。それが結果的に、お客様の行動を促して、お客様を守ることに繋がることもあると思います。
川西:適切なセキュリティ投資をするためには、“攻撃を受けた時にどういう状態になると困るのか、どの対応に最もコストや時間がかかりそうなのか”を自分たちで具体的に想定することも大切です。
中小企業におすすめしたいツールについても話しましたが、お客様ごとにおすすめすべきツールは異なります。予算も、規模も、システムも、同じ企業は1つとしてありません。だからこそ、“何を守るか”から逆算して、ログを取得し、対応フローを決め、「これで安心できる」という体制を整えておくことが大切だと思います。
関連記事について
前の記事はこちら
『セキュリティ座談会 Part1|【1ドルでランサム攻撃】中小企業も“安く狙われる”時代へ』
次の記事はこちら
『セキュリティ座談会 Part3|【シングルorマルチ?】クラウド構成をセキュリティ目線で捉える』
記事一覧はこちら
セキュリティ座談会に関する記事一覧
関連サービスについて、詳しくはこちらをご覧ください。
