こんにちは!QTnetの山﨑です。
2018年も終盤戦!みなさまいかがお過ごしですか。そろそろ年賀状の準備を始めなければ!!
来年、再来年はラグビーワールドカップに東京五輪にイベントは盛りだくさんですね。楽しみです。
それから携帯電話の値下げ競争も活発化しそう。。。今のうちにQTモバイルにしませんか?(笑)
================================================================================
さて、前回は「スペシャリストがあえて言う「80点のセキュリティを見つける」が正攻法」
についてお送りしました。
もう一度読みたい方は>こちら
6回目はスペシャリストが警告、サイバー攻撃は「1日に数十億件」発生の事実について
お送りします。セキュリティアナリストがセキュリティログを24時間、365日監視する
「QT PROマネージドセキュリティ」を運用している情報セキュリティのスペシャリストに、
アナリストが実際に目にしているサイバー攻撃の現状と、企業が陥りがちなミスのパターン、
企業が備えるべきポイントなどについてお聞きしました。
それでは、 お付き合いください。
================================================================================
<今回の特集>
1 経産省が警鐘を鳴らす「サイバー攻撃の検知」
2 これからのセキュリティは技術者に任せない
3 ビッグデータ解析がサイバー攻撃を見抜くカギ
4 セキュリティ、1から構築し直しますか?それとも…
1 経産省が警鐘を鳴らす「サイバー攻撃の検知」
「あなたの会社は標的型攻撃や不正アクセス、不正ログインなどのサイバー攻撃を
うけたことはありますか?」。
そう問われたら、あなたの会社は即答できるだろうか。経済産業省は2017年11月、
「約半数の企業が外部からの指摘によりサイバー攻撃による被害が発覚している状況であり、
サイバー攻撃を自分たちで気づけていないケースが多い」と指摘し、サイバーセキュリティ
経営ガイドラインの重要10項目に「攻撃の検知に関する仕組みの構築」を追加した。
日々新たな脅威が生まれるサイバー攻撃だが、企業としてどのように対処すれば検知できるのだろうか。
QTnetが提供する「QT PROマネージドセキュリティ」を運用している
伊藤忠テクノソリューションズ株式会社の瀧本正人課長に聞いた。
2 これからのセキュリティは技術者に任せない
スマートフォンの普及により、個人情報漏えいやコンピューターウイルスは
一般市民にとって身近すぎる脅威として定着した。
市民の危機意識の高まりから企業へのサイバー攻撃がニュースとして取り上げられるようになり、
情報セキュリティ対策は企業の信頼を左右するまでになった。
セキュリティ監査やコンサルティングに長年従事する瀧本氏によると、近年は、企業の経営陣から
「うちの会社のセキュリティがどうなっているのか知りたい」といった相談が多く寄せられるのだという。
「これまではセキュリティ製品を購入・構築することで安心し、製品に守られて当たり前という
風潮だった。しかし、経産省が警鐘を鳴らしたこともあり、経営陣は自社のブランドを守るために
慌てて動き出している」そうだ。
この風潮を瀧本氏は歓迎する。
サイバー攻撃の可能性があった場合、「対応の速さ」が最も重要になる。企業が陥りがちなミスが
次のパターンだ。
情報システム部門からサイバー攻撃の可能性の報告が挙がった。
しかしマーケティングやカスタマーサービスを担う部門は「点検のためにシステムを止めると
顧客に迷惑がかかる」と対応を渋る。もめているうちに攻撃が成功して情報漏えい、となる。
瀧本氏は「情報セキュリティを情報システム部門や技術者任せにすると、対応の判断に時間がかかり、
最悪の状況に陥る」と指摘。さらに、本来はコンピューターシステムを使って業務を円滑に進める
役割を担うシステム担当者がセキュリティを担うと、「セキュリティ上の安全」よりも
「社内システムの効率」が優先される傾向にあり、セキュリティ有事の際の初動対応が遅れる要因にも
なりかねない。
このような失敗例を防ぐためには「サイバー攻撃への対応を経営判断の一環として捉え、
経営陣や社の中枢に情報セキュリティ上の重要事項を決定する人、いわゆるセキュリティオフィサーを
置く体制を作っておくことが大切」と提唱する。
指揮者がいなかったために、サイバー攻撃を受けた後も組織を挙げた対策が取られず、
次々と新しい情報漏えいを引き起こしてしまった組織の事例もあるのだ。
3 ビッグデータ解析がサイバー攻撃を見抜くカギ
前段では企業内での「決断の速さ」について話したが、もう一つ重要な「速さ」があるという。
それは「発見までの速さ」だ。
伊藤忠テクノソリューションズが運営するセキュリティオペレーションセンター(SOC)では、
セキュリティアナリストが24時間365日体制で顧客数百社分のログを監視している。
そこで一日に検知される攻撃の可能性は、何と数十億件にも上るのだという。
「すべての攻撃をアナリストの目で感知することはできません。ログの解析ツールを使って
あやしい動きをするログを絞り込み、アナリストに集約。その中から本当の攻撃を見極めるのです」と
瀧本氏。つまりビッグデータ解析だ。
この解析によって攻撃の特徴や流行を読むことができ、早めの対策につなげられるのだという。
逆をいえば、
「一企業のログだけ見ていても、何が起きているか把握できないうちに攻撃が実行されている」とも
いえるだろう。
4 セキュリティ、1から構築し直しますか?それとも…
近年の特徴である標的型攻撃では、個人あてのメール一本で簡単に社内システムに侵入されてしまう。
昔のようにハッカーが特定の企業を狙って攻撃、という時代ではなくなった。
つまり、どの企業でも狙われるということだ。
このような情勢の変化に合わせて、セキュリティ従事者が対応すべき作業は日に日に高度化。
さらに2020年の東京五輪に備えたセキュリティ対策需要の高まりで、セキュリティ従事者の
人材確保も難しくなっている。セキュリティ人材を自社で抱える企業にとっては人材育成や
情報収集が追い付かず、次々に現れる新しい脅威に対応できないといった問題が
浮き彫りになり始めた。
2015年、日本年金機構を狙った標的型攻撃が大々的にニュースになったのを契機に
「迫りくる脅威に一刻も早く対応したい」という企業のニーズは急速に高まり、
SOCへの相談、加入も増加したという。
自社の情報をクラウド上に移したり、ログの管理を外部に任せたりすることへの不安から
セキュリティの改善に二の足を踏む経営者も少なくないだろう。しかし、膨大な数の
サイバー攻撃の件数やセキュリティエンジニアが不足している現状を鑑みれば、
手をこまねいてはいられない。
「あなたの会社の情報セキュリティ、1から構築し直しますか、それとも専門家に任せますか」
<あとがき>
セキュリティ対策を社内システム担当者が担当すれば「セキュリティ上の安全」よりも
「社内システムの効率」に視点が向きやすい点、第5回のSST乗口さんのお話でも
同じようなことをお話されていましたね。
セキュリティ対策に力を入れたい、対策する担当者が不足している企業は、
システム担当者以外にも適任者がいないか社内の人材に目を向けてみるといいのかもしれません。
<サービス情報>
【モバイルワーク】にはコレ!
・建築現場などの期間限定オフィスから本社に安全にアクセスしたい
・短期間で通信環境を整えたい
・セキュリティ対策を万全にしたい
セキュアモバイルは、イベントや催事、建築現場などの期間限定のオフィスにも最適。
安全な通信環境を構築します。インターネットを経由しないSIMカードを使うので、
不正アクセスも防ぎます。
【在宅勤務】 【モバイルワーク】にはコレ!
・外出先でも社内と同じ環境で作業したい
・機密情報を紙で持ち歩くリスクを回避したい
・自宅からも安全に社内データにアクセスしたい
・セキュリティ対策を万全にしたい
仮想デスクトップは、訪問先や移動中も社内デスクトップと同じ環境を実現します。
閉域ネットワーク上のサーバーに普段のデスクトップを設定しておけば、外出時の
ノートPCが「いつものデスクトップ」に。端末にデータも残らず、情報漏えい対策も
万全です。
【社内のセキュリティ強化】にはコレ!
・システム担当者のリソース不足
・セキュリティについての専門知識がない
・セキュリティ機器の購入や運用のノウハウがない
・セキュリティ対策を万全にしたい
マネージドセキュリティは、「24時間365日、専門家の監視」で
不正アクセスから防御。セキュリティ機器の購入、設置、運用管理など
すべて不要です。システム担当者は本来の業務に集中でき、生産性UPに貢献◎
システム担当者の負担軽減とセキュリティ対策の両方を実現します。
▼QT PRO 標的型メール訓練サービス
【社内のセキュリティ強化】にはコレ!
・セキュリティ意識が低い従業員を教育したい
・攻撃に遭いやすい部署や役職など、弱点を洗い出したい
・サイバー攻撃を受けた場合の対処法がわからない
・最新のサイバー攻撃手法やインシデント事例を知りたい
標的型メール訓練サービスは、重要な情報の搾取目的で送信される攻撃メールに
対応できるように従業員を訓練するサービス。取引先の依頼文書や業務連絡を装って
送信されまる攻撃メールに対して、不審なメールを見分けるポイントや対策をレクチャー。
実施後は、部署や役職ごとに詳細な報告会も実施して、セキュリティ意識の向上を図ります。
