「アメリカ国防省のエキスパートが提言「レジリエント セキュリティ」を企業にどう活かせるか」

2017-03-06


PwC星澤が力説「なぜレジリエント セキュリティが重要なのか」

~サイバー攻撃でビジネスを止めない弾力性と回復力をつけるために~

PwCサイバーサービス合同会社 最高執行責任者 星澤は、「これまでの防御だけに頼った対策では、企業の大切な情報資産を守り、ビジネスを継続させることはできません」と警鐘を鳴らします。急激に進歩するITにおいて、サイバーセキュリティでは攻撃者が圧倒的に有利で、100%の防御はいまや不可能に近いのです。星澤は、サイバー被害においても、しなやかに適応して生き延びる力「レジリエントとう考え方」を提唱します。それを実践することで、ビジネスを継続させるサバイバル術(BCP)が重要なのです。

2017年3月、アメリカの防衛とサイバーセキュリティ関連業務を歴任したリントン・ウェルズ博士を招請し、「レジリエントセキュリティ」の知見を深める社内セミナーを開催しました。

本レポートでは、特別号としてPwC 星澤に「なぜレジリエント セキュリティが重要なのか」について話を聞き、社内セミナーの様子をダイジェストで紹介します。

PwC星澤が力説
「なぜレジリエント セキュリティが重要なのか」

「ミッション アシュアランス」の観点から学ぶ
「サイバー防衛」

 


PwC星澤が力説「なぜレジリエント セキュリティが重要なのか」

企業が所有する情報を盗取したり、工場や社会インフラなどのシステムを制御不能に陥れたりするサイバー攻撃。残念ながら、悪意の手口は日々“進化”しています。

多くの企業はセキュリティ対策として、ファイアウォールやアンチウイルスソフトを導入し、外部から攻撃されないよう対策を講じているでしょう。しかし、現在のサイバー攻撃は、こうした対策だけでは防御できません。これからは、インシデント(セキュリティ侵害)が発生することを前提にしたうえで、インシデントが発生しても迅速にシステムを復旧させる「レジリエント セキュリティ」のアプローチが不可欠です。

2015年10月に設立されたPwCサイバーサービス合同会社は、「レジリエント セキュリティ」の実現を目的とした、サイバーセキュリティ対策のプロフェッショナル組織です。「レジリエント セキュリティ」の必要性を訴えて同社設立に携わり、現在は最高執行責任者兼パートナーを務める星澤 裕二は、「これまでの防御だけに頼った対策では、企業の大切な情報資産を守り、ビジネスを継続させることはできません」と警鐘を鳴らします。

星澤が提唱する「レジリエント セキュリティ」のアプローチは、米国の政府機関や同国国防省でも実践されています。2017年3月、星澤は米国国防次官補や国防省(DoD)の最高情報責任者(CIO)などを歴任した、リントン・ウェルズ博士(Dr. Linton Wells)を同社に招請。社内において、「レジリエント セキュリティ」の知見を深めるセミナーを開催しました。

日本では、認知が十分でない「レジリエント セキュリティ」ですが、高度化・巧妙化する攻撃に対峙するには、今後のサイバーセキュリティ対策における“核”になることは間違いありません。「レジリエント セキュリティ」を理解し、対策を講じるために、私たちは何をすべきなのでしょうか。星澤に話を聞きました。

ダメージを最小限に抑えてビジネスを継続させる

星澤はレジリエント セキュリティを理解するにあたり、「まず、サイバー攻撃の実態を直視すること。そのうえでレジリエント セキュリティのアプローチを理解し、自社で講じるべき対策を考えることが大切です」と説明します。

現在、「セキュリティ対策をまったくしていない」企業は皆無でしょう。特に大規模企業や顧客の個人情報を大量に扱う企業はセキュリティに対する意識も高く、ある程度のコストをかけてセキュリティ対策しています。

しかし、それでもサイバー攻撃の被害に遭ってしまう。情報漏えい事件として報道されている企業は、ほとんどが大規模企業ですよね。つまり、「攻撃を防ぐ」ことだけにコストを費やしても、「100%の防御対策」はできないのです。これは、日本だけに限ったことではありません。

そうした状況において必要なのは、インシデント発生を前提に、「攻撃されたとしても、ダメージを最小限に抑えてビジネスを継続させること」です。これが「レジリエント セキュリティ」です。

PwCサイバーサービス合同会社 星澤 裕二

星澤は「われわれが直面するレジリエントは、多岐にわたります。サイバー攻撃だけではありません」と説明します。例えば、東日本大震災など、自然災害からの復旧も、レジリエントの1つです。

想像してください。突然、パソコンが利用できなくなる。サーバにアクセスできなくなる。業務システムが停止する。東日本大震災の時、被災地は停電で信号機が機能しなくなり、大渋滞が起きました。東京でも特定地域では輪番停電になり、電気が利用できなくなりましたよね。そのような場合でも、早期にシステムを回復させなければなりません。そのためには、想定外の事態やあらゆる状況変化に対応できる組織作りと同時に、日頃の備えも必要です。インシデント対策は、平常時にどれだけ準備/訓練をしているかがモノを言うことを忘れないでください。

例えば、われわれのサービスに「レッドチーム演習(Red Teaming Operation)」があります。もともとこの名称は、軍隊の攻撃/防御演習で、攻撃側を「レッドチーム」、防御側を「ブルーチーム」と呼んでいたことから命名されました。具体的にはPwCの専門家が攻撃側となって、各顧客企業に対して“カスタマイズ”した攻撃を仕掛けます。実際の標的型攻撃のプロセス(サイバーキルチェーン)と同様、継続して攻撃をするのです。これにより企業は、どこに弱点があるのかを詳らかにするとともに、サイバーセキュリティ態勢が適切に構築・運用されているかを把握し、具体的な改善に活かせるのです。

PwCサイバーサービス合同会社 星澤 裕二

セキュリティ対策を「ビジネスを守る投資」として捉える

サイバーセキュリティ対策における“深刻な課題”の1つに、サイバーリスクに対する経営層の理解不足が挙げられます。例えば、日本企業にはセキュリティを統括する「最高情報セキュリティ責任者(CISO)」が少ないと言われています。2016年5月にIPA(独立行政法人情報処理推進機構)が公開した「企業のCISOやCSIRTに関する実態調査2016」(※1)によると、2014年時点でCISO(最高情報セキュリティ責任者)のポジションを擁している企業は47.6%。この数字は、2012年時点における米国/欧州およびアジア地域(日本を含む)の平均(58%)よりも、10ポイント以上低いのです。

サイバー攻撃を受けた場合、ビジネスにインパクトがあるのは、個人情報の漏えいです。過去に情報漏えいを発生させた企業は、株価下落やブランド力の失墜、そして顧客の信頼を失いました。あまり報じられませんが、サポートデスクに問い合わせが殺到し、数カ月間はサポートデスクの業務ができなかったという企業もあります。

「サイバーリスク」を「ビジネスリスク」として認識し、人的リソース/予算を割くのは経営層の仕事です。自社で情報漏えいを発生させたらどのくらいの損失になるのか。ビジネスがストップしたらその間の機会損失はいくらなのか。真剣に試算している経営者はどれくらいいるでしょうか。セキュリティ対策費用は「コスト」ではなく、ビジネスを継続し、顧客と企業の情報資産を守るための「投資」だと捉えるべきです。サイバー攻撃がどのくらいビジネスにネガティブインパクトをもたらすか、全社レベルで考えを共有しなければなりません。

しかし、多くの企業は、「今、発生しているトラブルに対処する」ことで手一杯です。製造業であれば「流通が滞って商品が納入されていない」「部品の調達が遅れている」といったことですね。これらのトラブルは、一刻も早く対処しなければならない。そうした状況においては、「(問題が発生していない)セキュリティインシデントを最優先に考えましょう」と言っても難しいのが現状です。

PwCサイバーサービス合同会社 星澤 裕二

インシデントをリアルタイムで可視化し迅速に対応する

こうした現状を改善するポイントは、多岐にわたると星澤は指摘します。「サイバーセキュリティに対する社員の意識を変えるようにトレーニングをする」「マニュアルを整備する」「運用ポリシーを策定する」そして、「予算に応じて必要な部分からセキュリティソリューションを重点的に導入する」などです。

しかし、星澤は「IT部門やセキュリティ担当者が明文化しても、実際の運用に生かされていないケースも多いのです。インシデント対応のフローは明文化されていても、現場がそのとおりに実施しない」と説明します。その結果、対応が遅れ、問題が大きくなってしまったというケースは後を絶ちません。

従来、マルウェアに起因する不審な動きを検知してから、攻撃被害を詳らかにするまでには、時間がかかっていました。ネットワークや端末機器から多様なログを収集したり、ネットワーク全体の膨大な通信ログを収集したりして分析する手法は、時間もコストも必要です。

「レジリエント セキュリティ」で重要なのは、「攻撃被害を最小限に抑え、いかに速く(システムを)復旧させること」です。ですから、「どのような手口で攻撃されたのか」「(社内で)どのようにウイルスが展開したのか」「どんな被害が生じているのか」はリアルタイムで可視化し、潜在的な脅威の把握をすると同時に、マルウェアの侵入経路を短時間で分析し、駆除しなければなりません。

PwCサイバーサービス合同会社では、サイバーセキュリティサービスを「セキュリティアセスメント」「セキュリティコンサルティング」「インシデントレスポンス」「セキュリティマネジメント」の4種類に大別しています。

PwCサイバーサービス合同会社 星澤 裕二

「レジリエント セキュリティ」は「インシデントレスポンス」に属し、「抑止」「検知」「回復」を柱にサービスを提供しています。具体的には、予防・検知を支援する「脅威・脆弱性情報提供サービス」、インシデント発生時に早期の復旧を支援する「インシデントレスポンスアドバイザリサービス」、そしてエンドポイントを監視し、マルウェア感染状況・侵入経路の把握と駆除を行う「リアルタイムインシデントレスポンスサービス」です。

企業の中には、高価なSIEM(Security Information and Event Management)を導入し膨大なログを分析しているとこもあるでしょう。ただし、こうした分析は、マルウェア解析やサイバー攻撃を熟知している専門家でなければ難しいのも事実です。その結果、分析ばかりに時間を取られ、インシデント対応が遅れてしまうケースも少なくありません。

これは、セキュリティ業界全体の課題ですが、セキュリティの専門知識を持った人材は、圧倒的に不足しています。さらに、脅威(スレット)情報は時々刻々とアップデートされる。こうした情報をフォローアップするだけでも大変な作業なのです。

PwCサイバーサービス合同会社 星澤 裕二

セキュリティ業界全体の課題は「人材の育成」と「社員の意識向上」

セキュリティ人材の不足は、深刻な課題です。PwC Japanが2016年11月に公開した「グローバル情報セキュリティ調査2017(日本版)」(※2)によると、2019年には世界全体で約150万人、日本では約19万人のセキュリティ人材が不足すると予想されています。また、専任のセキュリティ要員を雇用できている企業は、世界全体で約5割、日本においては約3割に留まっていると言います。星澤も人材育成と社員教育は、セキュリティ対策の中で大きな課題であると指摘します。

もちろん、企業やセキュリティ業界も、こうした状況に手をこまねいているわけではありません。例えば、セキュリティベンダーや大学は「Capture The Flag(CTF)」などを開催し、若い人に対してサイバーセキュリティに興味/感心を持ってもらえるよう活動しています。行政主催のセキュリティ会議も行われていますよね。サイバーセキュリティの現場にいるプロフェッショナルたちは、人材不足の問題意識を共有しています。ですから、(自身ができる範囲で)頑張っているんですよ(笑)。

むしろ、「教育」という意味で難しいのは、一般社員のセキュリティ意識を向上させることです。全ての社員に「自分たちが攻撃されるかという緊張感を持って仕事をしてください」と言っても無理がありますよね。また、一般社員と言ってもセキュリティレベルはバラバラです。悪意がなくても会社のメールアドレスを私用で使っている人もいます。標的型攻撃は、こうした人を“トリガー”にして、企業組織ネットワークへの侵入を目論んでいる。そうしたリスクを理解させることが大切です。

もう1つ、日本が抱える課題として挙げたいのは、「情報共有ができていないこと」です。外国では、企業/組織の枠を超えて脅威情報を共有する動きがあります。しかし、日本では金融業界の「金融ISAC」(※3)以外、こうした活動はほとんどありません。金融ISACでは、不正送金に関する情報共有や警察当局に対して情報を提供するなど、外部の組織・団体とも連携してサイバー攻撃と対峙しています。

欲を言えば、各業界で金融ISACのような組織があるのが理想的なのですが、現実的には難しそうです。確かに、競合他社とどこまで情報を共有すべきかは、悩ましいでしょう。また、独自システムを導入している企業にとっては、情報共有にそれほど価値がないのかもしれません。

実は、情報共有が進まない1つは“企業の不理解”です。社外での勉強会や組織横断的に活動する人材を、企業が組織内で評価しない。これではセキュリティ人材は育ちません。

今後は、国家組織レベルの集団による、サイバー攻撃の増加が懸念されます。そうした話は、ウェルズ博士が講演の中で詳説されていますが(笑)どのような攻撃にも対応できる人材の育成が急務であることは、まちがいないでしょう。

PwCサイバーサービス合同会社 星澤 裕二

注記

※1 「企業のCISOやCSIRTに関する実態調査2016」[PDF 2,162KB]
https://www.ipa.go.jp/files/000052362.pdf

※2 グローバル情報セキュリティ調査2017(日本版)

グローバル情報セキュリティ調査2017(日本版)

※3  「金融ISAC」
日本国内の銀行や証券会社、保険会社などの金融機関が加盟する、情報セキュリティに関する情報共有や分析を行う一般社団法人
 


「ミッション アシュアランス」の観点から学ぶ「サイバー防衛」とは

PwCサイバーサービス合同会社は2017年3月、アメリカの防衛とサイバーセキュリティ関連業務を歴任したリントン・ウェルズ博士(Dr. Linton Wells)氏を招請し、「レジリエント セキュリティ」の知見を深める社内セミナーを開催しました。

ウェルズ博士は、アメリカ政府の国家安全保障分野において20年以上のキャリアを有するエキスパートであり、ネットワーク情報統合部門の国防次官補、および国防省(DoD)の最高情報責任者(CIO)を歴任しました。サイバーセキュリティ問題だけでなく、ネットワークインフラ構築、防衛に特化した技術戦略に精通しています。

アメリカ国防省はサイバー空間を「陸・海・空・宇宙に次ぐ第五の戦場」と位置づけ、防衛戦略を推進しています。「最悪を想定し、最善を尽くす」というアメリカ軍サイバーセキュリティに対するアプローチから、学べることは多くあるでしょう。

セミナーでウェルズ博士は、「レジリエント セキュリティ」や「ミッション アシュアランス」のアプローチを紹介するとともに、今後、日本が直面するサイバーセキュリティの課題まで、幅広く言及しました。本稿ではセミナーの様子を。ダイジェストで紹介します。

どんな状況でも任務遂行を果たす「ミッション アシュアランス」

レジリエントとは、あらゆる企業/組織、そして個人がストレスやショックから回復し、想定外の破壊的な状況であっても適応/成長する能力です。冒頭、ウェルズ博士は「レジリエント」の概念について、ロックフェラー財団会長を務めるジュディス・ロディン氏のことばを引用して紹介しました。

「レジリエント セキュリティ」は、サイバー攻撃を受けたとしても迅速に回復し、任務を継続するアプローチです。ウェルズ博士は、「レジリエント セキュリティは、単にセキュリティ技術だけで実現できません。そこに働く人の意識や組織のあり方、そして回復に至るプロセスが大きく関係してきます」と説明します。

同博士は、レジリエント セキュリティを実現する“コアとなる概念”として「ミッション アシュアランス(任務保証)」を紹介しました。これは、「どのような攻撃にあっても、ミッションの達成を最優先に対策を講じる」という軍隊から生まれた考え方です。特に、情報通信インフラの構築や運用では「プランニング(計画)」と「エンジニアリング(実行)」の連携が、ミッション達成に欠かせないといいます。

「プランニングで大切なのは、コンテキスト(シナリオ)ベースのアプローチです。リスク分析であれば、過去の知見や現在の状況だけでなく、将来的に発生しうる攻撃や災害などを想定し、分析しなければなりません。“先手”を打つほうが、後手に回るよりも十分かつ効率的な対策が講じられるのです」(ウェルズ博士)

コンピュータの性能は指数関数的に向上しています。また、ロボットやAI(人工知能)の分野、さらにはバイオ技術の分野も進歩しています。ウェルズ博士は、「将来の計画には、今ある(技術や人材といった)リソースだけで十分かどうかも考慮すべきでしょう。レジリエント セキュリティは社会全体の進化を鳥瞰し、官民一体となって取り組む必要があります」と訴えます。

PACOM JIE/MPEのアプローチ

こうした取り組みの一例として紹介されたのが、アメリカ太平洋軍統合情報環境の「PACOM Joint Information Environment(PACOM JIE)」です。PACOM JIEは、環太平洋地域に拠点を構えるアメリカの陸・海・空軍が協力し、点在する軍関係のサーバや情報通信システムをシームレスに統合するという取り組みです。一元的に管理できるインフラ環境を採用することで、リソースの効率化によるミッションの向上を目指しています。

ウェルズ博士によると、PACOM JIEではミッションに応じて指揮・統制ができるよう、情報システムをアジャイルで組替えられると言います。さらに、万が一の攻撃に備え、100kbps以下の狭帯域環境でもシステムを復元できるようにするなどの対策も講じられているとのことです。

JIEはアメリカ軍のネットワーク網ですが、JIEを仮想化してミラーリングし、シンガポール、オーストラリアといった同盟国とも連携できるようにした情報環境もあります。それが「Mission Partner Environment(MPE)」です。MPEは、同盟国と共同インフラを構築して相互運用性を担保することで、迅速な情報共有の実現やシステムの効率的/効果的な防御を目指しています。ウェルズ博士は、「攻撃者側の(攻撃)手法が巧妙化する現在においては、こうしたリソースやナレッジ(知見)の共有は非常に有効な手段です」と説明します。

「Black Hat」と「DEF CON」で知るハッキングの最新トレンド

ウェルズ博士が「攻撃者側の技術進化を理解できるイベント」として挙げたのが、毎年8月にアメリカ・ラスベガスで開催される、世界最大の情報セキュリティカンファレンス「Black Hat」と「DEF CON(デフコン)」です。特に「DEF CON」は、世界中からハッカーが集い、その技術力を競ったり、自動車やIoT(Internet of Things)デバイスの脆弱性を紹介するワークショップが開催されたりします。

例えば、2015年にはセキュリティリサーチャーのチャーリー・ミラー氏とクリス・ヴァラセク氏が、フィアット・クライスラーの特定車種に搭載されたコネクテット・カーシステムに脆弱性が存在し、外部からハンドル操作が乗っ取れることを紹介しました。クライスラーはこの発表の後、該当車種140万台のリコールを発表しています。

また、DEF CONでは、CAN(Controller Area Network)という車載ネットワークに攻撃コードを送り込んでハッキングする手法や、スマートフォン経由でドアロック開閉やエンジンスタートなどを実行する手法も紹介されました。ウェルズ博士は、「Black HatやDEF CONで発表されている内容を見れば、ネットワークに接続されたわれわれの身の回りにあるモノは、全てハッキングの危険に晒されていると理解すべきでしょう。IoT時代には、これまで考えもしなかった問題に直面します」と警鐘を鳴らします。

アメリカの大手調査会社IHSは、2020年にはIoTデバイスが530億個に達すると予測しています。この数字は、2013年のIoTデバイス数の3倍です。ウェルズ博士は「現在提供されているIoTデバイスの300種以上は、過去にハッキング被害にあっています。もちろん、日本も例外ではありません。2015年に日本で確認されたサイバー攻撃のうち、26%はIoTに対する攻撃でした」と説明します。

スマートシティの“アキレス腱”とは

残念ながら、IoTセキュリティに関する市場ニーズは、ほとんどないのが現状です。しかし、その一方で、「スマートハウス」や「スマートシティ」、「スマートネーション」といった、サイバーシステムと実世界が相互連携する取り組みが進んでいます。アメリカの調査会社ストラテジー アナリティクスは、スマートシティの推進で、都市に関するICTの売上高は、2022年には9,770億ドルに達すると予測しています。

ウェルズ博士は、「スマートシティのような大規模ITシステムを構築/運用するには、取り組むべきセキュリティ課題が山積しています」と指摘します。例えば、複数の企業や監督官庁といった、多くのステークホルダーが関係するプロジェクトは、情報が各組織の中でサイロ化し、コミュニケーションミスが発生しやすくなります。また、「どの部分に」「どの程度の予算で」「どのようなセキュリティ対策を講じるか」といった決定や、データ統合といった作業も一枚岩ではいかないことも多いのです。

スマートシティのミッション アシュアランスを実現するための取り組みとしてウェルズ博士が紹介したのが、アメリカ陸軍の「SPIDERS(Smart Power Infrastructure Demonstration for Energy Reliability and Security)計画」です。これは、スマートグリッド技術を活用し、一般電力網が攻撃された場合でも重要インフラに電力を供給する取り組みです。さらに、再生可能のエネルギーなどを駆使し、電力が供給されない場合でもエネルギーを貯蔵できるようにしていると言います。

今後の課題は制御システムのセキュリティ担保

もう1つウェルズ博士が指摘するのは、制御システムのセキュリティです。現在、SCADA Supervisory Control And Data Acquisition/システム監視とプロセス制御を実施する産業用制御システムに対する攻撃は急増しています。アメリカ国土保安省で制御システムセキュリティを担当するICS-CERTが公開した「脆弱性に関するアドバイザリ情報」によると、HMI(Human Machine Interface)の脆弱性は200以上発見されていると言います。ウェルズ博士は、「SCADAのアーキテクチャは、そのほんどがセキュリティを考慮して設計されていません。ですから、あらゆる攻撃を受けてしまう可能性があります」と指摘します。

制御システムはITシステムと比較し、ファームウェア変更のアップデートや脆弱性修正プログラムの適用が困難です。さまざまなシステムが複雑に接続する制御システムは、特定システムの修正が他のシステムにも影響し、思わぬトラブルを引き起こす可能性があるからです。

特に、スマートシティのような大規模システムや、医療機器といった精密機器は、複数のベンダーが開発したモジュールが組み込まれています。自動車の場合、90%のコンポーネントが、Tier1からTier7と呼ばれるサプライチェーン(取引構造)から提供されていると言います。例えば、先に紹介したジープ・チェロキーの脆弱性は、サードベンダーから供給されたソフトウェアのバグが原因でした。こうした状況下、製品の品質と安全性を担保するには、第三者機関の調査や、脆弱性テストが不可欠です。

最後にウェルズ博士は、「日本企業もセキュリティサプライチェーンに取り組む必要があるでしょう。(中略)IoTやスマートシティなどが進化をすれば、攻撃の窓口は広くなることを肝に銘じるべきです。そのうえで、多くの可能性があることを自覚し、セキュリティ対策に取り組むことが重要です」と語り、講演を締めくくりました。
 


関連リンク

Contact us

星澤 裕二
PwCサイバーサービス合同会社
パートナー
Profile

Follow us

Twitter Facebook Youtube