
AI時代に日本企業が取り組むべき5つの偽情報対策
2024年は、世界各国で選挙が実施される選挙イヤーです。それに伴い、デジタル空間を通じて偽情報を拡散する情報戦への警戒が高まっています。企業を取り巻く偽情報の脅威動向を整理した上で、日本企業が取り組むべき偽情報対策について解説します。
サイバーセキュリティの施策や投資と言えば、セキュリティインシデントの発生に対する「予防」策や「検知」策を中心とする企業が多く、発生し得るインシデントへの「対処」を改善するための施策や投資は、まだ一部のセキュリティ先進企業に留まってしまっているのが現実です。サイバーセキュリティ対策の考え方の主流は、「インシデントを予防する」ではなく、「インシデント発生を前提として対策する」にシフトしており、インシデントへの「対処」についてあらためて検討を行うべき時期に来ていると言えます。今回は、インシデントへの「対処」を強化するためのツールである「サイバーセキュリティプレイブック」を整備するポイントについて解説します。
サイバーセキュリティプレイブック(以下、プレイブック)は、サイバーセキュリティインシデント発生時に「いつ、誰が、何を、どのように対応すべきか」について定めた、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)に向けた、より高度な手順書のことです。
一般的に、SOC/CSIRTがサイバーセキュリティインシデントの兆候を検知した場合、次のようなフローに沿って対応が行われます。
多くの組織ではこのフローに基づいて、共通の調査手順や対応手順を定めていることでしょう。しかしこの手順は、果たしてどこまで機能するのでしょうか。
実際のインシデント発生現場では、発生したインシデントの性質、あるいは刻々と変化する状況に合わせて臨機応変に対処することが求められ、共通の調査手順は機能しないことがほとんどです。代表例として、情報漏洩の疑いによる調査では事実確認や原因調査が優先され、ランサムウェアの感染では、感染拡大の防止を目的にインシデント封じ込め(嫌疑端末の隔離)が優先されます。また、こうした臨機応変な対応は、十分な知識と経験を持つ上級のアナリストによって判断されることが多く、俗人化しているがゆえに、上級アナリストの不在時にはインシデントが深刻化し、企業に大きなダメージを与えるリスクを抱えています。
プレイブックは、自社に発生し得るインシデントの種類やそのシナリオに鑑み、それぞれの対応手順や判断のポイントおよび基準を整理したものを指します。プレイブックの整備により、経験の浅い担当者でも上級者の判断を仰ぐことなく対応ができ、また、後述のSOAR(Security Orchestration Automation and Response)によって、インシデント対応を自動化することも可能になります。
先述の通り、プレイブックには自社に発生し得るインシデントの事象ごとに、漏れなくそれぞれの対応手順や判断基準が整理されていることが重要です。ここからは、どのようにしてプレイブックを整備するべきかについて紹介します。
初めに、自社で発生し得るインシデントと当該インシデントが与える影響範囲を漏れなく特定することが重要です。これには、さまざまな攻撃手法が成立し得るかといった観点からインシデントの影響を机上で評価する「脅威シナリオベースのリスクアセスメント」を用いることが一般的です。
プレイブックに記すべきインシデントを特定し、当該インシデントが与え得る影響を知ることによって、プレイブック内で確認するべきポイントや必要なアクションの概要が見えてきます。
次に、インシデントシナリオの開始、つまり攻撃の予兆を検知する仕組みを検討します。
自社で発生し得るインシデントのシナリオが把握できたとしても、それらを検知する仕組みがなければ、その後の対処に移ることはできません。一般的なインシデント検知の仕組みにはログメッセージが利用されますが、システムのステータス変化やプロセスの起動/停止、特定アカウントでのログインといった状態の変化も、攻撃の予兆を検知するためのトリガーとして活用することが可能です。
最後に、インシデントシナリオに基づき、プレイブック内に、取るべきアクションを整理していきます。
例えば調査を行う場合は、必要な情報は何か、またその情報がどのようになっていれば期待値/異常値であるのかを整理し、次のアクション、またその次のアクションと、それぞれを有機的にひも付けて、具体的な作業内容を記載していきます。
プレイブックでは、対処する要員の数も考慮しながら、システム調査などのメインストリームに並行して、当事者への聞き取りや関係者への報告などのアクションを実施し、それぞれの合流地点と各アクションにおける判断ポイントを整理しておくことが重要です。
インシデント対応においては最近、SOAR(Security Orchestration Automation and Response)と呼ばれるソリューションが注目されています。SOARでは、プレイブックに定めた手順をツール上に登録することで、その処理を自動で実行することができます。例えば、「悪性サイトへのアクセス」が疑われるイベントが発生した場合、そのURLについて、脅威インテリジェンスに関する情報を記した外部サイトなどで影響を確認し、脅威があると判断した場合、当該URLへのアクセスをURLフィルターなどと連携してブロックすることや、マルウェアをダウンロードした可能性がある場合は、当該端末の切り離しを自動で行うことができます。SOARツールの多くはあらかじめ、多くのセキュリティインシデントに対する対応手順をテンプレートとしてまとめており、当該テンプレートを自社向けにカスタマイズすれば、容易に導入することが可能です。
しかしながら、SOARは自社で発生し得る脅威を検知でき、かつその対処手順が定まっていることを前提としたソリューションです。導入したからといって即座に全てのインシデント対応を自動化できるわけではありません。そのため、プレイブック整備のポイントに記載したように、リスクアセスメントなどを通じて自社で発生し得る脅威を特定し、それらを検知・調査する手順を整備した上で導入することが重要です。
プレイブックの整備は、一度手順を定めたら終わりではありません。レッドチーム演習に代表されるセキュリティ診断や、実際のインシデントに対処した場合の経験や知見などに基づいて都度アップデートを行うことが必要です。そうしてプレイブックの実用性・実効性を高めていくことで、より強靭かつ属人的な対応が発生しないインシデント対応体制を築くことができるでしょう。
2024年は、世界各国で選挙が実施される選挙イヤーです。それに伴い、デジタル空間を通じて偽情報を拡散する情報戦への警戒が高まっています。企業を取り巻く偽情報の脅威動向を整理した上で、日本企業が取り組むべき偽情報対策について解説します。
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
企業は自社のビジネスや組織、保有資産や施策導入状況などに鑑み、講じるべきセキュリティ施策を自ら選択する必要があります。この選択の際には、解決するべき課題が持つリスクを見極め、優先順位を設定することです。今回は「リスクスコアの算出フレームワーク」の構築・活用を紹介すると共に、次に実施すべき施策を導く方法について記します。
サイバーセキュリティ対策の考え方の主流は、「インシデント発生を前提として対策する」にシフトしています。インシデントへの対処を強化するためのツールである「サイバーセキュリティプレイブック」を整備するポイントについて解説します。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。