情報セキュリティコラム第32回

終わりなきセキュリティ対策の
「ゴール」の見つけ方

“最高にうまくいって何も起こらない”にお金をかける価値

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第32回 終わりなきセキュリティ対策の「ゴール」の見つけ方

はじめに

NECソリューションイノベータ株式会社 野尻 泰弘です。
私はセキュリティ対応組織である「CSIRT」の立ち上げや運用を支援しています。ベンダとしてのお客様支援だけでなく、お客様組織に出向し組織の一員としてセキュリティ対応をした経験から、「セキュリティ対応をどこまでやれば十分と言えるのか」について、私の考えをお話しします。

そもそもセキュリティ対応とは?

世の中に数多くのセキュリティ製品やサービスが登場して久しいですが、それとともに専門用語も多数生まれ、セキュリティの世界は一般の方にはどんどん難解になりつつあります。本コラムは、セキュリティにこれから取り組もうとされている人たちにもお伝えしたいので、専門用語をできるだけ丁寧に解説していければと思います。
まずはじめに、「セキュリティ対応の基本」について「検知」、「予防」、「対処」の3つのポイントを説明したいと思います。

セキュリティ対応の3つのポイント

図1:セキュリティ対応の3つのポイント


何となくイメージが湧いたでしょうか。セキュリティ対応は1つのポイントだけが秀でていても十分ではなく、この3つのポイントがバランスよく満たされていなければなりません。

「セキュリティ対応はコストではなく投資」とは?

「セキュリティ対応はコストではなく投資と捉えるべきである」と、内閣サイバーセキュリティセンター(NISC)をはじめ、多くのセキュリティ団体や企業が唱えています。[1][2] 投資というからにはその効果を期待して然るべきですが、セキュリティ対策に関しては直接的な利益を生み出すことも無ければ、何かが便利になるというIT投資本来の効果も殆ど期待できません。では、どのような効果が期待されるかというと、シンプルに「システム・サービスの平穏を守ること、それによって会社や組織・お客様を守ること」であると私は考えています。

「セキュリティ対応はコストではなく投資」とは?

図2:「セキュリティ対応はコストではなく投資」とは?

守るべきものは何ですか?

前セクションで、「システム・サービスの平穏を守ること、それによって会社や組織・お客様を守ること」がセキュリティ対応で期待される効果であると述べました。しかしながら、守るべきものや、守るべき理由は組織や立場の違いによって異なります。これを「弊社のお客様(ユーザ企業)」と「弊社(業務委託ベンダ)」という観点で、もう少し具体的に見ていきます。

立場の違いによる、守るべきものの違い

図3:立場の違いによる、守るべきものの違い


さらに、関連会社や業界団体など、立場によって守りたいものの優先順位は異なります。過去に私が参画したセキュリティ対応のプロジェクトでも、立場の違う関係者がそれぞれの主張を譲らず、状況が複雑化し、検討を進めるのにとても苦労した経験があります。

セキュリティ対応はどこまでやれば十分と言えるのか?

「残存リスクの受容」という考え方

会社や組織の持つすべてのリスクに対応しようとした場合、リスクは大小さまざま無限に存在するため、セキュリティ対応は終わりなく続くことになってしまいます。また、残念なことに、やったらやっただけの成果が出るとも限りませんし、1億円の価値を守るために100億円をかけるのは本末転倒です。重要なのは、会社や組織の「守りたいもの」のレベルに応じた”適切”な対応が求められるということです。

セキュリティ対応において何をもって適切かを表す言葉に「残存リスクを受容できるまで」というものがあります。
「受容」するということなので、そのリスクを受け入れるということです。

インシデント(=セキュリティ上の良くない事象)が起きた場合は、どのようなサイバー攻撃であっても、システム・サービスが正しく動かない、起動しない、という何らかの不具合が発生している状況に陥るケースが多いと思います。その際、復旧目標時間(復旧までの時間)や復旧方法(バックアップシステムへの切り替え等)がリスク受容と関わってきます。そして、リスク受容の考え方の一つの指標として用いられるのがSLA(Service Level Agreement)です。
私の過去の経験からSLAの定義によるリスク受容の例を2つご紹介します。

例1:東京2020オリンピック・パラリンピック競技大会(以降Tokyo2020大会と表記)

Tokyo2020大会では、インシデントのレベルに応じたシステム・サービス全体で統一的なSLAが定められていました。
例えばSeverity1はインシデントの発生から応答まで5分、解決に1時間までというSLAでしたが、言い換えると5分以内に応答し、1時間で解決できればその間のサービス停止や機能制限を受容できる運用方法があったということです(Critical Periodはテスト大会や本大会期間、Non-Critical Periodはそれ以外の期間です)。 SLAの時間内であれば、大会運営に致命的な支障をきたさずに実行できるプランB,C,D…(最終的にはシステムを使わず、マンパワーで乗り切る策も)を用意していました。

Tokyo2020大会で適用したSLA

表1:Tokyo2020大会で適用したSLA[3]

このSLAを守るために必要なテクノロジーとオペレーションを用意することが、Tokyo2020大会としての「適切」なセキュリティ対応であり、「適切」なリスク受容の考え方だったと言えるでしょう。

例2:物流業のお客様

次に紹介するお客様は、後述の「NEC CSIRT構築・運用支援サービス」にて、セキュリティ対応のルールと組織づくりをお手伝いさせていただきました。
配送管理システムおよび、配送車両の運行管理システムを最重要システムと定義し、外部のサービスを活用して24時間365日のセキュリティ監視を行っていました。このシステムは別のネットワークに冗長化された待機系のシステムがホットスタンバイされており、異常を検知してから15分以内に復旧(切り替えを実施して業務を再開)というSLAでした。一方で、社内システムについては、1営業日以内の復旧というSLAでした。
この例2は、すべてのシステムに一律のSLAを適用していた例1のTokyo2020大会とは対照的なケースと言えます。

どちらが良いかという話ではなく、繰り返しになりますが、各社・各組織において「適切」であることが重要です。

適切の決め方とは?

「1億円の価値を守るために、100億円をかけるのは本末転倒です」と前述しましたが、セキュリティ対応の検討のはじめには、守るべきものの価値を知るために、会社や組織がどのような(情報)資産をどこにどのような形で持っているのかを全て洗い出さなければなりません。私からもお客様には「数えられないものは守れません」と長年お伝えしているところです。この洗い出しをアセスメントとも言います。資産管理台帳が日々適切に管理されている会社や組織であれば実施はそれほど難しくはありません。しかし、そうではない会社や組織の場合は、外部のアセスメントサービスの利用を検討されるのが良いかもしれません。
次に、アセスメントによって洗い出された資産の一覧を使い、個々の資産価値を元に重要度を定めます。そして重要度に応じて費用や人員、リソースの配分なども含めて「守り方」を定義していきます(個人情報のように法的な定めがあったり、取り扱いに業界特有のガイドラインがあるような情報の場合は、多面的に考える必要があるため、知識・経験の豊富なコンサルタントを活用するのも手です)。

セキュリティ対応の人員やリソースは、必ずしもそのすべてを自社や自組織で賄わなければならないわけではありません。特に、セキュリティを生業としていない限り、すべての運用を自社や自組織で完結させることは難しく、またその必要性も無いでしょう。アセスメントと同様に、外部のサービスやシステムを上手に活用し、お客様ご自身の本業に注力する方が効率的かと思います。こういった外部活用に先立ち、「検知」、「予防」、「対処」の3つのポイントの中で実施すべきセキュリティ業務とは何か?その中で外部活用できるものは何かを知ることも重要です(セキュリティについても自社や自組織の意思決定ができるのはその責任者のみですので、セキュリティ業務すべてを外部に出せないことは留意してください)。
セキュリティ業務を理解するのに役立ちそうなドキュメントとして、日本セキュリティオペレーション事業者協議会(ISOG-J)の「セキュリティ対応組織の教科書 第3.1版」[4]というものがあります。本コラム上で詳細は取り上げませんが、興味があれば参照してみてください。

また、定義した「適切」も未来永劫適切であり続けるわけではありません。今までは重要視されていなかった情報が、社会情勢の変化によって急に重要になることもあります。新しい攻撃方法が編み出され、今の守り方では受容できないほど被害が拡大する場合もあるでしょう。
世の中の状況変化に応じて、プロセスだけでなくゴール自体も定期的に見直し、適切なセキュリティ対応をやり続けることが何より大切です。

まとめ

本コラムでは、特定の技術要素ではなくセキュリティ対応の基本に立ち返り、その考え方をご紹介しました。
日本国内のセキュリティ対応における基本姿勢は「守り」であり、”攻撃は最大の防御”ということは法的にもモラル的にもできません。どれだけ力を尽くしてもセキュリティ対応は「最高にうまくいって何も起こらない」に留まります。それでもセキュリティ対応に終わりはありません。本コラムが、皆様の所属される会社や組織におけるセキュリティ対応の「適切」を見つけ出し、「何も起こらない」ことへの一助となれば幸いです。

当社では「NEC CSIRT構築・運用支援サービス」として、お客様のセキュリティ対応の組織作りや運用ルールの作成をご支援しています。お気軽にお問合せください。

掲載日:2023年9月21日
野尻 泰弘(のじり やすひろ)

執筆者プロフィール

野尻 泰弘(のじり やすひろ)

所属:NECソリューションイノベータ株式会社 デジタル基盤事業部
お客様組織内CSIRTの立ち上げコンサルタント。立ち上げ後も運用支援の傍ら、教育・演習や感染PCの解析などを実施。前職は東京2020オリンピック・パラリンピック競技大会組織委員会にてソリューション担当課長として全システム・サービスのセキュリティレビューア、セキュリティテストの責任者としてセキュリティ業務に従事。大会期間はSOCのオペレーションマネージャーとして監視とCSIRT連携に注力。2022年1月より現職。
保有資格:CISSP

本コラムの関連製品

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。