この数年間でセキュリティ担当者がやるべき業務は格段に増えた

一昔前まで企業のセキュリティ対策といえば、ウイルス対策ソフトを入れておけば問題ありませんでした。仮にセキュリティを突破されても、セキュリティ担当者が感染したファイルを特定して処理する程度で、業務負荷はそれほど高くなかったと思います。しかし、この3～5年の間でランサムウェアなどによる攻撃が当たり前になっており、セキュリティ担当者がやるべきことは格段に増えました。

攻撃を受けた時、どこが攻撃を受け、何が原因なのか、被害がどこまで広がっていて、今後どのように波及するのかを、セキュリティ担当者は考え、復旧を速やかに進めなければなりません。また、通常時でも攻撃の兆候に目を光らせ、不審な動きがあれば状況を確認し、リスクの有無を判断する必要があります。セキュリティ担当者の業務負荷は、非常に高くなっているといえるでしょう。

完璧は不可能だとしても、目指すべき到達点も定めにくい

お客様からは「何を対策すればいいのかわからない」という声をよく聞きます。100点満点の完璧な対策は不可能だとしても、目指すべき到達点を定めることも難しく、ひとまずやれるところからやっている、というのが現状です。PCやスマートフォンなどの端末だけを対策していたり、ネットワークだけ対策していたりする状況を目にすることも多いです。膨大な情報が氾濫し、サイバーセキュリティツールも乱立している昨今では、仕方のないことかもしれません。

お客様が置かれている状況によって、構築するべきサイバーセキュリティの答えは変わってきますが、このような課題感をもっているお客様とお話しする際は「少なくとも端末のセキュリティは絶対で、攻撃者のゴールであるユーザー管理機能は最低限守りましょう」とお伝えするようにしています。しかし実際は、エンドポイントがあり、アクセスするサーバーがあり、ネットワークがあり、SaaS (Software as a Service) を含めたクラウドサービスがあるなど、領域ごとにセキュリティの機能は個別にあるため、その領域ごとにセキュリティレベルを検討していく必要があるのです。

ランサムウェア被害が大規模化する企業と最小限に抑えられる企業の違い

セキュリティ担当者の方々が最も気にするのが、ランサムウェアの攻撃を受けてしまった場合の被害規模です。攻撃を受けた企業でも、数日で復旧するところもあれば、1カ月近く時間がかかるところもあります。その違いは、セキュリティ対策に「軽減」の考え方があったかどうかです。
復旧が早い企業は、おそらくランサムウェアによる攻撃を受けることを前提として、被害を軽減する考え方でシステムを構築していたのでしょう。インシデントが起きた時の対応プロセスである「インシデントレスポンス」を定めている企業は、速やかに普及して被害規模を最小減に抑えられます。
しかし日本でインシデントレスポンスを定めている企業は、まだまだ少ないと感じます。被害の軽減ではなく、そもそも侵入されないための「防御」の考え方だけでは、いざ侵入された時の対策が後手に回ってしまいます。被害が発生してから「どうしようか」「まずはベンダーに聞いてみよう」「ベンダーも準備していなくて反応が遅れる」「さてどうしようか」と議論しているうちに、あっという間に時間が経ってしまい、被害が拡大していきます。

個人的には、「防御」も大事ですが、まずは「軽減」の考え方を推奨しています。どれだけ完璧だと思える防御策を敷いたとしても、脆弱性が見つかれば気づかないうちに簡単に突破されてしまうからです。そして、悪意ある攻撃を行う手段はもはや誰でも簡単に扱えるようになっており、攻撃者の数そのものも増えています。そのうち「あなたの隣の人が攻撃していた」という時代が訪れるかもしれません。軽減の考え方に基づいたルール作りをしたうえで、シミュレーションをしていただきたいのです。また年に1度は、攻撃を受けた想定での復旧作業をして、誰がどんな役割をもって復旧するのか訓練や準備をしていれば、いざという時に速やかに対策を打つことができます。例えれば、人が人間ドックで検査を行い健康状態を数値化しているように、セキュリティも定期的に診断を行って成績を数値化することが大切なのです。

クラウドセキュリティの運用委託「FujiFastener」で負荷を軽減

ここまでセキュリティ対策のあるべき姿についてお話をしてきましたが、実際は「やるべき事は理解できるが、そのようなマンパワーは自社にはない」という企業が多いのも事実です。サイバーセキュリティ対策を自社で行うには、クラウドとセキュリティの両方の知見がある人材が必要になりますが、サイバーセキュリティの人材不足は社会的にも大きな課題になっています。

そこで当社は、マネージドセキュリティサービス「FujiFastener」で、お客様のセキュリティ構築および運用を総合的に引き受けるサービスをご提供しています。「FujiFastener」をご利用いただくことで、お客様は3つの課題の解決が可能になります。
1つ目は、計画策定です。ランサムウェアによる攻撃に対するインシデントレスポンスの計画を始めとして、問題が発生した時の対策フローを策定します。
2つ目は、リスクアセスメントです。コンサルタントがセキュリティ状況をアセスメントし、領域別にセキュリティレベルを数値化します。加えてお客様の現状などを見ながら、構築すべきクラウドのセキュリティ環境の検討をご支援します。また、SOC（Security Operation Center）としてAIを活用して不審な兆候を監視します。
3つ目は、復旧支援です。万が一ランサムウェアによる乗っ取りが発生した場合に、迅速に復旧をご支援します。

攻撃を受けることを前提に「Riviiv」で速やかな復旧策を用意する

攻撃を受けることを前提とした復旧策を用意する重要性については、先ほどご説明しました。当社では、ランサムウェア対策ソリューションとして「Riviiv」をご用意しています。「Riviiv」はデータをバックアップして、お客様のネットワークから切り離した場所で保管するため、仮に乗っ取られて暗号化され、自社ネットワークにアクセスできなくなったとしても、暗号化される前の状態に復旧し事業を継続するご支援が可能です。暗号化される前の状態に戻せるというだけではなく、高度な学習を重ねたAIが常時監視を行って攻撃の兆候を検知するため、単なるバックアップサービスではないデータセキュリティサービスであると自負しています。

そして「Riviiv」のもう1つの特徴は、低コストで導入できることです。バックアップソリューションであるRubrik社の「Rubrik」は絶大な信頼感はあるものの、高価なためなかなか手が出ない企業が多いです。「Riviiv」は、当社が独自に「Rubrik」をサブスクリプション形式でお客様に提供するものなので、初期コストなしで安価に「Rubrik」をご利用いただけることが大きなポイントです。

攻撃を受けた時に起こることを具体的にイメージする

企業のサイバーセキュリティ対策の担当者の方には、まず攻撃を受けた時に起きる事態を具体的にイメージしていただきたいのです。仮にランサムウェアに乗っ取られた場合、金銭を要求されるだけでなく、事業が停止することで発生する機会損失、復旧にかかるコストも膨大になることは、説明するまでもないでしょう。
さらに上場企業の場合、信頼を失うことで株価が大幅に下落する恐れもあり、場合によっては倒産する会社も出るかもしれません。サイバーセキュリティ対策が十分にできていないことで損なわれた信頼を回復するのは容易ではありません。流出するのは自社の情報だけでなく、取引先やお客様の機密情報も含まれます。その情報がブラックマーケットで取り引きされるような事態になれば、損害の規模は壊滅的なものとなるでしょう。

サイバーセキュリティが扱う分野は幅が広く、顧客も不安を抱えています。だからこそ私は、どんなご依頼にも対応できなければいけないと考えていて、「知らないことをそのままにできない」性分なんです。難しいですが、セキュリティのすべてに対応できるレベルになることが、私の理想ではあります。（川西）

私は、特にコミュニケーションを大切にしています。お客様とはもちろんですが、部下とのコミュニケーションは密にし、上司に対しても違うと思ったことは違うと伝えて、とにかくこれが最良だと確信できる提案をするように心がけています。セキュリティに対しては、なんでもまず相談してみてください。（奥野）