ニュース
「企業の変化に合わせて新しいメニューを提供」――、NTT Comのセキュリティ事業戦略
2019年3月29日 06:00
NTTコミュニケーションズ株式会社(以下、NTT Com)は26日、セキュリティ事業戦略説明会を開催した。
同社では長年セキュリティビジネスを行ってきたが、「企業がデジタルトランスフォーメーション(DX)を進める中、いろいろなものがつながり、1カ所に情報が集まった結果、好ましくない影響も出ている。例えばオフィスと工場のデータが連携されることで、トラブルが起こる例も出ている」(NTT Com セキュリティエバンジェリスト 経営企画部MSS推進室長・竹内文孝氏)と指摘。企業の変化に合わせて新しいメニューを加え、セキュリティビジネスを強化していく考えを示した。
「WannaCry」の事例から、セキュリティ管理体制の必要性を説明
会見では、企業がセキュリティ対策を見直すべき要因として、被害が多発したランサムウェア「WannaCry」の事例から、セキュリティ管理体制の必要性が説明された。オフィス環境においてはセキュリティ対策が取られていたものの、工場は対策が取られていないことが多く、工場側のセキュリティ対策が不十分なままオフィスと工場がインターネットで結ばれた結果、全世界的に被害が相次いだという。
「振り返ると、マイクロソフトは2016年9月16日にSMBv1の使用停止を呼びかけ、2017年3月14日にはセキュリティ情報と更新プログラムがリリースされた。その後、4月14日に攻撃者による攻撃ツールが公開され、5月12日にはWannaCryの感染行動が開始された。それ以降は被害情報が相次ぎ、工場停止といった大きな被害を受けた例もあると聞いている」(竹内氏)。
更新プログラムが公開された後で大きな被害が出ていることになるが、この被害が出た要因として5つの課題を挙げている。
1)自社システムの構成を把握していない
2)脆弱性情報を認識していない
3)自社システム内の脆弱性を認識していない
4)脆弱性情報を認識しても影響の有無が判断できない
5)影響があっても網羅的な緊急対策が打てない
竹内氏は、「マイクロソフトがセキュリティリスク情報公開を行い、更新プログラムが配布され、攻撃の予兆や前兆があった中で大きな被害が起こった。これは、工場のシステムはこれまで性善説の中で運用されていたために、自社の状況をきちんと把握できていなかったのではないか、脆弱性に該当するプログラムがどれくらいあるかをわかっていなかったのではないか、ということだ。わかっていれば、パッチが提供された時点で対策を取っていただろう」と指摘。
工場のシステムにおいても、オフィス内のシステム同様にセキュリティ対策をとっていく必要があるとアピールした。
性悪説に立った取り組みが今後は求められる
最近のセキュリティ被害でもう1つ象徴的だったのが、ビジネスメール詐欺による被害だという。ネットで公開されている特定ターゲットの情報を探し出し、さらにダークウェブで取引されている個人情報を入手した上で、メールによる攻撃を仕掛ける。
実際に起こったケースでは、2017年9月、直前に送られていたメールに、「訂正」として振込先を変更した請求書が添付されたメールが送付された。被害者はそれを見て新たな振込先に約3億円を決済してしまった。これがビジネスメール詐欺であることに気がついたのは、10月上旬になって、取引先から料金が未払いとなっているとの連絡が届いてからだった。その後、被害者は警察に被害届を提出し、詐欺事件として報道されたことで被害が明るみに出た。
竹内氏は、「標的が『人』になってきている。ソーシャルやアンダーグラウンドのデータから相手を調べ上げた上で、つい開きそうなメールを送ってくるので、ほぼだまされてしまう。そこまで頭に入れた対策が必要に。経営者の人は健康診断的に、対策を考える必要がある」という点を指摘する。
「実際の事例の経緯を見ると、おそらく攻撃者は以前から被害者のシステムに入り込み、日々、どんなメールがやり取りされているのか、確認していたとしか思えない。そうでなければ、『先ほど送ったメールの訂正です』というタイトルのメールを送ることはできない。攻撃者は取引先とのやり取りが見えているからタイミングを合わせ、メールを送りつけてくる。もはや、このパソコンは覗かれているという感覚で対策を考えることが必要。性悪説に立った取り組みが今後は求められる」(竹内氏)。
また、システム的な見直しだけでなく、「この事例は、業務プロセスにも問題がなかったか見直すべきではないか。振込先の変更が簡単にメールで連絡され、簡単にそれを信じるというプロセスに問題はなかったのかということだ」(竹内氏)とも指摘した。
事故後対策中心のリスクマネジメント体制をあらためるべき
こうした現状を踏まえ、「セキュリティ事故が起こった際にきちんと説明責任をとるためにも、どこに会社の情報資産があって、誰と誰が扱っているのかを把握する必要がある。さらに、どう扱われているのかについては、きちんとログをとること、その状況を分析できる体制を作ることが必要」となる。
「リスクマネジメント体制はどう作るかだが、これまで事故後対策中心だった。しかし、実際にはリスクマネジメントは平常時から対策を取る必要がある。平常時を記録することで、何か起こったら異常を検知できる。悪い箇所が発覚した場合には、きちんと復旧することも大切。復旧ができた時には復旧宣言し、宣言の根拠をしっかり示すことができる体制にしておかないと再発してしまうことになる」(竹内氏)。
サイバーリスクについても、「対策可能な既知リスク」、「「想定外/未知のリスク」、「内部起因」、「外部起因」、「説明責任の実行力不足」の5つに分類。ガイドラインの対策要件の分布状況を確認するといった活用や、5つの分類に対する強化策などを提案している。
また、セキュリティ対策を継続的に強化していく経営と現場レベルの改善サイクル確立が必要ともアドバイスした。
加えて現在では、自社だけでなく、グループ会社、場合によっては取引先まで高いセキュリティレベルが求められる時代となっている。
「みんなでセキュリティレベルをあげていくためには目線あわせが必要になる。物差しを作ることで、もっとレベルアップしてくださいといったお願いができるようになる。数十項目のチェックリストによって、それをもとにチェックして整理するとレイダーチャートができる。こういうことをやることで、セキュリティの投資の優先順位がわかる。しかし、これを自社だけで作るのが難しいので、NISTのガイドラインなどをもとに、チェックサービスも提供している」(竹内氏)。
リスクマネジメント体制の要となるCSIRTについては、「情報システム部門、戦略・管理という3つの組織で連携、協力することが必要。すべてを自社でやるのは難しい状況となっているので、自分たちでやる、外出しをする範囲を決めて対策をとることが望ましい」と連携と役割分担が望ましいとアドバイスする。
リスクに対して評価を行い、対応策をマッピングすることが望ましいが、最近では脆弱性は毎日40件発見されている。これらすべてを評価し、リスク管理をすることは難しいため、「私たちは脆弱性管理プラットフォームを提供し、そこから脆弱性を管理することを提案をしている」と竹内氏。
「システム運用規定に応じて運用することになるが、システム管理者のスキルに応じ、ドキュメントを読む力、対策を実行する力などにばらつきがある。そこで、資産管理DBと脆弱性DBをマッチングさせて、毎日、今日出た脆弱性が何件ヒットしたのかがすぐにわかるようにしている。新たな脆弱性のうち何件が対策済みで、対策できていないものはいつ対策できるようになるのかといったことがすぐわかるようにしておく。自分でコントロールできる範囲のリスクを低減させることが重要となる」(竹内氏)と、効率的にリスク対策する提案を行っている。
ログをとっていると多数のアラートが上がってくるが、「重篤度を診断して、本当に危ないものを選ぶ」とアラートの内容をきちんと把握することも必要となる。その時に役立つのがSIEMだが、AI技術を利用し、ログの中からリスクを可視化し、必要なものだけをアナリスト自身が分析する。2018年4月、150社をサンプルとした例では、441億件のログ/パケットを収集し、このうち1300万件がリスクとされ、AIによる分析を経て344件をアナリストが分析したとのことだ。
2019年もセキュリティサービスを拡充
今回、NTT Comでは、提供しているSOCの様子を公開した。都内某所にあるSOCは、耐震機能を持ったビルに設けられ、停電対策などもとられている。「毎日、リスク情報のアップデートし、アナリストは毎日分析して勉強を続けている。勉強した結果を、デブオプスでエンジン開発に活かす状況をつくり、新しい動きを察知したらすぐにアクションする体制を作っている」(竹内氏)。
最近特に注目されているものとして、MDR:Managed Detection & Responseをあげている。休日に異常が発見された場合には、遠隔地から通常は行わない遮断隔離、調査根絶までを対応する。
「海外の事務所や取引先でも利用できるグループセキュリティ共通基盤を構築し、インターネットに接続する際はここを経由することで、どんなことをしているのか記録にきちんと残す。それをビッグデータ解析するこによりと、脅威が発見された場合にはグループ全体にアラートをあげる」(竹内氏)
内部不正に対しては、UEBA:User & Entity Behavior Analyticsで、ログの中に入退出のような物理的な管理ログも入れ込む。すると、コンプライアンス度合いを定量的に測るといったことができる。
NTT Comでは、セキュリティ対策としてプロフェッショナルサービス、セキュリティ対応機器/ソフトウェアの導入サービス、マネージドセキュリティサービスからなる総合リスクマネージメント「WIDE ANGLE」を提供しているが、2018年も多数の新メニューを追加した。
2019年にも、クラウドゲートウェイセキュリティの拡充、IoT/OTセキュリティの提供、CSIRT支援などPSメニューの強化など、さらにサービス内容を拡充していく計画だ。