サイバーセキュリティ
技報サイト内検索
2019年9月発行 Vol.39 No.2 通巻141号サイバーセキュリティ
ネットワークを経由した企業への様々な攻撃,いわゆるサイバー攻撃は年々その巧妙さを増しており,企業はそれに対抗するための新たな方策への投資と運用,そして体制の整備と専門人材の育成が急務となっています.日本ユニシスグループは,これらの課題に対応できる企業体制であるサイバーセキュリティ経営の実践に取り組んでいます.本特集号では,サイバーセキュリティ経営を実践する日本ユニシスグループの戦略,サイバーセキュリティフレームワークを用いたアセスメント,セキュリティ対策を組み込んだサービス開発,サイバー攻撃に対抗するエンドポイントセキュリティ,パブリッククラウドのセキュリティ対策,インシデントの監視機能,実働部隊の強化演習,サイバーセキュリティに対応する人材の育成について紹介しています.
日本ユニシスグループのサイバーセキュリティ戦略
サイバーセキュリティは,あらゆる企業にとっての経営課題である.企業は従来の情報セキュリティマネジメントからサイバー攻撃に対応可能なサイバーセキュリティ経営に短期間で適合することが求められている.そのため,日本ユニシスグループは,サイバーセキュリティ戦略を策定した.日本ユニシスグループのサイバーセキュリティ戦略では,サイバーセキュリティ経営を継続的に実践するためのビジョン,目標,活動計画等を定め,広範囲かつ多様なセキュリティ施策を総合セキュリティ委員会配下のプロジェクト体制で推進している.また,危機管理においてはインシデントを認識した直後の初動が重要である.ルール・仕組みを構築しただけでは,損失・影響を低減するという本来の目的は達成できない.日本ユニシスグループのサイバーセキュリティの実践についても紹介する.
サイバーセキュリティフレームワークを応用したアセスメント
日本ユニシスは,組織のセキュリティ対策の成熟度やリスクを計測して今後の対応の方向性を定め,経営層と共有して継続的なサイバーセキュリティ経営の実践に寄与するためのアセスメントを実施している.アセスメントには米国国立標準技術研究所(NIST)が公開したサイバーセキュリティフレームワーク(CSF)を用いる.CSFはコア,インプリメンテーションティア,プロファイルの三つのコンポーネントから成り,アセスメントでは前2者を用いる.アセスメントは準備,現状把握,評価,報告,実行計画の5ステップで実施する.準備段階でのアセスメントシートの設計は慎重に当たらなければならず,また結果の関連部署や経営層への報告,共有も極めて重要なプロセスである.サイバーセキュリティにおけるアセスメントはあくまでもリスクを評価し実行計画を策定するための作業であり,リスク対応活動を確実に実行し,リスク低減に寄与することがアセスメント実施の最終目的である.
セキュアで高速なアプリケーション開発と運用
日本ユニシスは,サービスビジネスを拡大し,サービス同士がつながり新たな価値を生み出すビジネスエコシステムの形成を目指しており,そのためのプラットフォームとサービス提供に向けてDevOpsセキュア環境を整備した.DevOpsセキュア環境は,「OWASP Top 10」を含む脆弱性を検出する機能として,動的セキュリティ検査,静的セキュリティ検査,構成・脆弱性管理という脆弱性診断を実装した.さらに,開発の初期段階からセキュリティチェックを実行するシフトレフトを取り入れ,脆弱性対策をビルドパイプラインに組み込むことで継続的かつ安定的なセキュリティ対策を実践している.また,セキュアなメガクラウド環境構築のため,CISが公開したAzure向けベンチマークプログラム「CIS Microsoft Azure Foundation」に準拠してIaaS型環境およびPaaS型環境を構築した.DevOpsセキュア環境が提供するIaaS環境は,クラウド推進ネットワーク基盤(CPNI)としてアクセス制御や監査ログ取得の機能をクラウド利用者に提供し,サービスオーナーが迅速かつセキュアにサービスを提供できる環境を実現している.
次世代エンドポイントセキュリティの基盤構築と運用
ネットワーク境界のセキュリティ対策製品だけではセキュリティインシデントを完全に防ぐのは困難であるため,エンドポイント上で被害を食い止める次世代エンドポイントセキュリティ対策製品の導入の必要性が増している.本稿では,筆者が経験した次世代エンドポイントセキュリティ対策製品(EPP製品)の導入事例から得た製品情報と基盤構築・運用のノウハウについて解説する.「設計・構築フェーズ」については,自社に導入するバージョンを慎重に選定すること,および自社のセキュリティポリシーとの整合性を取り,機密情報を含むファイルのクラウドへのアップロード可否を検討することが重要である.「試行フェーズ」については,多様な環境やソフトウェアを使用している部署やグループ会社を試行対象に選定することが重要である.「全社展開フェーズ」については,ユーザへの業務影響を極力減らすため監視モードで展開することおよびソフトウェア配布ツールを使用して展開することが重要である.全社展開後は防御モードへの移行,クラウド化の検討,運用自動化の検討を行い,運用方針を実現する.
クラウド事業者が提供するセキュリティ機能の活用
パブリッククラウドを活用するシステムでは,セキュリティ対策の考え方がオンプレミスとは異なり「責任共有モデル」が一般的である.責任共有モデルとは,クラウド事業者(CSP)と,クラウド利用者のセキュリティに対する責任分担の考え方である.クラウド利用者の責任範囲におけるセキュリティ対策不足や対策不備が,多くのセキュリティ事故の原因になっている.クラウド利用者の責任範囲におけるセキュリティ対策には,CSPが提供するセキュリティ機能の活用,他ベンダーが提供しているSaaSの活用と,クラウド向けの他ベンダー製品の活用がある.パブリッククラウドや他ベンダーのSaaSは日々進化しているため,クラウド利用者は,最新の情報を調査した上でセキュリティ対策を検討すべきである.
サイバー脅威を検知するセキュリティ・オペレーション・センター
Security Operation Center (SOC) とは,情報システムへのサイバー脅威の検知や監視,分析をするための重要な機能である.SOCはその導入形態により,プライベートSOC,パブリック(商用)SOC,ハイブリッドSOCの三種類に分類される.運用体制としては,インシデント対応を行うCSIRTと協調することで,組織の防衛能力向上を図ることができる.実際の運用では,業務一覧の整理,アクティビティの整理といったプロセスの明文化や検証が重要となる.今後は外部サービスの利用が中心となるので,それらを正しく活用する能力が求められる.
CSIRTの実効性を高めるサイバーセキュリティ演習
セキュリティインシデント対応の体制はSOC(Security Operation Center)とCSIRT(Computer Security Incident Response Team)で構成される.SOCはセキュリティインシデントを検知し通信記録(ログ)等を分析する.CSIRTはインシデントが発生した際のインシデントハンドリングに加えて,インシデント事前対応やセキュリティ品質向上対応を行いインシデントマネジメント活動の中核を担う.CSIRTの実効性を確実にするためにはサイバーセキュリティ演習が有効である.日本ユニシスグループでは,CSIRTのサイバーセキュリティ演習を,演習の企画,演習の実施,フィードバック,課題整理という流れで実施しており,重大インシデント発生時の初動対応の能力強化に注力し,要員全体のスキルアップと組織としての連携を深めることができた.