ニュース
企業はサイバーセキュリティ教育に注力すべき―― アライドテレシス、Norwich大学と連携しセキュリティ演習サービスなどを展開へ
2018年3月16日 06:00
アライドテレシス株式会社は7日、米Norwich(ノーウィック)大学との提携により、同校のセキュリティ教育プログラムをアライドテレシスアカデミーの研修事業で提供開始することを発表した。
同時に、ぺネトレーションテストラボ「アライドテレシスサイバーセキュリティラボ」(ACSL)を開設して研究開発を開始することも発表した。Norwich大学の教育プログラムもACSLも、2018年第2四半期に開始する。
アライドテレシスアカデミーでは1月から、国際的なシステム監査資格団体ISACAによるWeb上のサイバーセキュリティ対策トレーニング「CSX(Cybersecurity Nexus)トレーニングプラットフォーム」を販売している。
今回の発表により、CSXとともにNorwich大学の教育プログラムをアライドテレシスアカデミーで提供することになる。
全社員対象から専門家対象、会社役員対象までのコースを用意
記者発表の席でアライドテレシスアカデミー株式会社 代表取締役の小林忍氏は背景として、サイバー攻撃の手口の複雑化や被害の大型化にともない、企業やCSIRTの設置が求められていることを挙げた。その一方で、企業におけるサイバーセキュリティの専門人材が質・量ともに不足し、2020年に約19.3万人が不足するという経産省の調査結果を引用した。
そのために、体系だったセキュリティ研修ソリューションを構築し、最新技術に追随したワールドワイドで通じるエンジニアを、Moodleベースの受講管理システムAT-LMSでスキルを見える化しながら育成するという。
「Norwich大学は、民間だが日本でいう防衛大のような位置づけで、サイバーセキュリティの研究でも実績がある」(小林氏)。
アライドテレシスアカデミーの研修コースは、Level 1~5から構成される。Level 1~2(4~5月開始予定)は全社員を対応したコースだ。
Level 3がSEや開発部門などのIT技術者向けで、Norwich大学のコンテンツや、CSXの初級コースが提供される。
Level 4は、CSIRTメンバーや会社役員が対象。Norwich大学のマスター向けコンテンツおよびバーチャルラボや、CSXのPractitionerコース向けコースが提供される。
Level 5では、企業の役員など意思決定者をまじえた演習プラットフォーム「DECIDE Platform」を使用する。DECIDE Platformは、Norwich大学と米国防総省および米国土安全保障省による研究機関『NUARI(Norwich University Applied Research Institutes)』が開発した。
Level 5ではそのほか、「IPA情報処理安全支援士CSIRTサイバー演習(仮)」を、2018年第2四半期開始予定。情報処理安全支援士試験の午後IIのシナリオ群を、実際の疑似攻撃で演習する。
国土安全保障省および国防総省とサイバーセキュリティを研究
記者発表では、NUARIの所長であるNorwich大学のPhilip T. Susmann氏も講演した。
Susmann氏はまずNorwich大学を紹介した。同大学はバーモント州にあり、来年に創立200年を迎える。1998年から米国土安全保障省とともにサイバーセキュリティの研究を始め、2001年からは米国防総省ともサイバーセキュリティの共同研究をしている。NUARIは2002年に設立された。
NUARIが2003年に掲げた仮説では、電力、水、輸送、コミュニケーションといった社会の重要インフラは一般企業に支えられており、それを破壊を目的とした攻撃が狙っているという。そして、脅威は重大かつ手口が巧妙になり続けており、また重要インフラが相互に連携するようになってトラブルも波及するようになっている。
「サイバーセキュリティはチームスポーツであり、組織的に対応する必要がある。演習を繰り返すことで組織の体制が整う」とSusmann氏。そのために10年かけて金融業界向けにWar Game(軍事シミュレーション)のような演習を作ってきたという。「こういう話はインフラ部門どまりになりがちだが、話を聞いてほしいのは経営陣だ」。インフラ担当者から経営陣、あるいはカスタマーサポートなどまで、一人一人がシチュエーションに応じてどう意思決定してどう対応するかが見えるように演習するという。
演習は、米政府のHSEEP(Homeland Security Exercise and Evaluation Program)の基準にもとづく。議論ベースの机上演習と、実際に対応する機能的演習がある。演習自体も、設計、実施、評価、改善の継続的サイクルで「カイゼン」を続けているという。
もともと2003年に企業間にわたる大規模なサイバー演習を実施したときに、「どうすれば演習に業務部門の人に参加してもらえるか」という声が出たという。ここから、IT部門だけでなく業務の現場から経営陣まで参加する「DECIDE Platform」のコンセプトが生まれた。
企業間にわたる業界の取り組みとして、金融業界では「Quantum Dawn会議」が定期的に開かれている。ここで、業界で一丸となった対応策が決められる。2011年に開かれた最初の会議の結果、「大きな攻撃時には金融市場を閉鎖する」という決断がなされたという。
DECIDE Platformは何度か改訂され、現在ではWebアプリケーションとしても提供されている。この上で演習を設計して実行し、評価ができる。「これを使って、企業が自己の対応力を診断するなどができる」とSusmann氏は説明した。
次々にイベントが起こるシナリオから企業の対応プロセスを考える
実際にDECIDE Platformを使った演習も、電力企業を例にしたシナリオでデモされた。Webからログインすると、画面左側にメールなどのコミュニケーションが、中央に最新情報が表示され、右側に設問が表示される。
最初のフェーズでは、エネルギー業界のセキュリティ機関「ICS-CERT」からの、不審なスキャンが増えているという注意文書が示された。そのうえで設問として、自分の組織にインテリジェンスのポリシーがあるか、この情報は行動を起こせるような情報だと思うか、といった前提的な部分が質問された。
次のフェーズでは、国土安全保障省とFBIからで、エネルギー業界にハクティビストによる標的型攻撃が起きているという情報が知らされた。また、自然保護団体から「ネットワークに侵入した。手口を教えてほしければビットコインを払え」という脅迫メールが届いた。ここでは、「あなたの組織はこういうときにどう対応するか手順はあるか」「このようなメールを削除するか対応するか」といったことが質問された。
このように、フェーズが進むにつれて、自然保護団体からの声明が公開されたり、それについて地元のニュース会社がメッセージを求めてきたり、制御用システムが致命的ではないがいつもより反応が遅くなっているという報告が届いたりといったイベントが続く。さらに、大型ハリケーンが近づいて停電が予期されたり、そのためのメディア対応が遅れたり、3つの変電所で侵入事件や盗難事件が起きていたことが後から発覚したり、セキュリティ担当者が欠勤したりと、大変なイベントが続く。
こうしたイベントの中から、何が起きているか、自分でどう対応するか、優先順位はどうか、企業内でどのようにエスカレーションして外部にどう対応するか、といった判断が次々と求められる。
最後にわかったことでは、このときは、変電所に忍びこんだ自然保護団体のハクティビストにより無線アクセスポイントが勝手に設置され、そこから社内ネットワークに侵入されていた。同時期に銅線泥棒の侵入もあったが、そちらは重大インシデントからは“ひっかけ”の事件だったようだ。ちなみにSusmann氏によると、自然災害のときは悪意のサイバーアクセスが増えるという。
この演習についてSusmann氏は、「組織でこうしたことに対応するためのプロセスが作られているかどうか」が最大の目的だと説明した。「インシデント発生時に必要なのは、どう協力するかだ。コミュニケーション戦略があるか、インシデントレスポンス対応能力があるか、物理セキュリティへの侵害があったときに組織でどう対応するか、といったことを考える機会となる。これをもとに、たくさんの議論がなされ、組織内で振り返るきっかけにしてほしい」とSusmann氏は語った。
ネットワークセキュリティの効果や対策を研究
「アライドテレシスサイバーセキュリティラボ」(ACSL)については、アライドテレシス株式会社 ビジネスデベロップメント部 部長の中島豊氏が説明した。
アライドテレシスはネットワーク機器ベンダーだが、近年ではSDNによって感染機器などを検疫隔離する「SES(Secure Enterprise SDN)」技術を開発し採用している。このときに考えるべき「何を遮断するか、どこまで遮断するか」について、既存の攻撃をケーススタディーとして研究するために、ペネトレーションテストラボとしてACSLを設立することにしたと中島氏は語った。
ACSLの拠点は、アライドテレシス東京本社のオフィス内。従来のSESパートナー以外にも間口を広げて、関連ベンダーとエコシステムを組む考えだという。
背景としては、SESビジネスからのユーザーニーズがある。SESはセキュリティソフトなど他社製品による検知と組み合わせることから、マルチベンダーのセキュリティシステムの効果を可視化するニーズがあるという。
活動内容は大きく分けて2つ。1つめは企業ユーザー端末へのセキュリティ対策研究で、全方向からの攻撃に対策する。2つめはIoTシステムに対する強靱(きょうじん)化対策研究で、医療機器システムや計測システムなどのネットワークでのセキュリティ対策を研究する。
ラボからのアウトプットとしては、まず、SES連携システムとサイバー攻撃に対する効果測定を行い、結果を公開する。また、企業内のIP端末を可視化し、利用されやすい脆弱な機器を発見するペネトレーションツールを作成する。さらに、IoTシステムに対する強靱化ソリューションのホワイトペーパーを作成する。こうしたアウトプットは、アライドテレシスアカデミーの演習や、サポート&サービスにも利用してもらうという。
活動予定としては、2018年1~3月にラボ環境を構築。4~8月には企業ユーザー端末へのセキュリティ対策研究として、SES連携システムとサイバー攻撃に対する効果測定と、ペネトレーションツール作成を行う。7月からの2018年度後期には、IoTシステムに対する強靱化対策研究を行う。