ページの本文へ

Hitachi

セキュリティ

インタビュー:「これからのセキュリティ運用は経営層から現場まで全員参加型へ」

2019年9月24日

IoT技術やOT技術の発展・普及によって、さまざまなものがネットワークにつながるようになってきました。これに伴い、セキュリティ攻撃の手段とターゲットが多様化してきています。情報の漏えいや改ざんだけでなく、システムの稼働停止や不正操作などを引き起こすようなセキュリティインシデントも発生しています。

これらのインシデントには多大な被害をもたらすものがあり、経営へのインパクトも甚大です。このため、情報システム部門やセキュリティ担当者に任せきりというわけにはいきません。経営層から現場まで、全員が役割に応じて行動することで、セキュリティを運用していく必要があります。

今回は、最近のインシデント事例を踏まえた、セキュリティ運用における課題、その課題を解決するためのプロセス、および日立の取り組みについて、セキュリティ事業の企画業務に従事している野末さんにお話を伺います。

脅威はどこにでもある

セキュリティ攻撃による、最近のインシデント事例を教えてください。

セキュリティ事業・企画業務の野末さん
セキュリティ運用における課題と日立の取り組みについて語る野末さん

2017年には、ワーム型ランサムウェアWannaCryが世界中で猛威をふるい、コンピュータ上のデータが暗号化される被害が広範囲に発生しました。ワームは、特定のターゲットに狙いを定めるのではなく、ひたすら拡散していくのが特徴です。ランサムウェアはデータを暗号化して、これを人質に金銭等要求するものです。その後も類似するランサムウェアが作られており、WannaCryは過去の話ではありません。

またビジネスメールを装ったり、ぜい弱なIoT機器をターゲットにした攻撃などいわゆる標的型攻撃も盛んです。標的型攻撃では、攻撃者は攻撃相手を研究し、ぜい弱性を突いてきます。

もし企業でこのようなセキュリティインシデントが発生すると、何が起こるのでしょうか。

例えばメールやWebアクセス、ファイル転送など何らかの手段で社内ネットワークにインターネット経由でマルウェアが侵入したとします。マルウェアがぜい弱性を突いて拡散し、製造業などであれば工場ネットワーク内へ拡散を繰り返し、最終的に工場のシステムが稼働停止に陥るようなことが考えられます。

図1 マルウェアが拡散し、工場のシステムが稼働停止に陥る
図1マルウェアが拡散し、工場のシステムが稼働停止に陥る

この場合、まず(1)製造部門で、製造ラインが停止していることに気付くでしょう。製造部門から連絡を受けた(2)設備管理部門で、製造ラインを調査しましたが、装置故障なのかネットワークの不具合なのか、原因が判明しません。一方、事態を重く見た(3)工場長経由で、(4)経営層へも一報が入るでしょう。しかし、被害状況、復旧の見込み、経営への影響を把握できず、時間だけがどんどん経過していきます。

(2)設備管理部門から連絡を受けた(5)情報システム部門による解析の結果、マルウェア侵入の痕跡を見つけ、セキュリティ攻撃によるインシデントであることが判明する、といった流れになるかもしれません。

なぜ、セキュリティ攻撃によるインシデントであることが判明するまでに、時間が掛かるのでしょうか。

攻撃は巧妙化してきており、見つけにくいのです。しかし攻撃を受ける側も「事象が把握できていない」「情報が共有できていない」「役割が不明確である」の3つが原因として考えられます。

それらの原因を踏まえて、インシデント発生時に速やかに対処するためには、日ごろからどのような備えが必要ですか。

組織、運用、システムの切り口で考えてみたいと思います。まず組織面では、インシデントが発生したときの連絡先、対応者、意思決定者を明確にしておく必要があります。次に運用面では、インシデントが発生したときの対応手順や事業継続計画が必要です。最後にシステム面では、守る必要がある資産を明確にして、攻撃に対する防御手段を設けたり、設けたあとも適切に監視したりすることが必要ですね。

昨今のセキュリティ攻撃は局所的な被害にとどまらず、経営へのインパクトも甚大です。インシデント発生時の速やかな対処は、経営層から現場まで、全員一体となって取り組んでいくべき課題です。

*
ページの閲覧には個人情報の入力が必要です。「個人情報保護に関して (新規ウィンドウを開く)」をお読みいただき、同意いただける場合は「続きはこちら」をクリックしてお進みください。