Special
» 2015年02月27日 10時00分 UPDATE

経営層からの「うちは大丈夫か」にすぐに応えられる、NECのノウハウを結集したサイバー攻撃対策

高度化・巧妙化するセキュリティの脅威から情報資産を守ることは、企業に課せられた社会的使命といえるだろう。だが対策を講じようにも、現場には課題が山積みだ。NECの情報システム部門が長年取り組んできた「プロアクティブサイバーセキュリティ(先読み対策)」の事例を紹介する。

[PR/ITmedia]
PR

 ますます高度化・巧妙化が進むサイバー攻撃。重要な情報資産を守ることは、企業に課せられた社会的使命といえます。しかし現場には課題が山積みです。いざ脆弱性が発見された際には、複雑化したICT環境に潜むリスクを把握し、事業部門との調整やシステムへの影響確認を行った上でパッチ適用を行う必要があります。対応には多くの時間と工数がかかる一方、経営層への報告は迅速に行わなければなりません。

 NECの情報システム部門でも長年にわたってこれらの問題に苦労を重ね、社内で稼動するPC/サーバ環境の見える化、対応の効率化に取り組んできました。現在では、18万台の機器に潜む脅威をわずか1時間で特定でき、パッチの適用率も95%以上になるなど、成果を上げています。こうした取り組みで培った技術と知見をもとに「プロアクティブサイバーセキュリティ(先読み対策)」を実現するソリューションとして体系化し、お客様へ提供します。

課題

以前は3週間もかかっていたPC/サーバの脆弱性状況の把握

 標的型攻撃などの新たな手法が登場したことで、情報システム管理者やセキュリティ管理者の負担が高まっています。実際、現場の担当者からは以下のような話を良く聞きます。

 「新たな脆弱性が発見された時は、土日はもちろん長期休暇も全部返上しなくてはならない」「経営層から『うちは大丈夫なのか』と即時のレポートを迫られる」「一刻も早くパッチを当てたいのに、事業部門の発言権が強くて、サーバをなかなか止めさせてもらえない…」

 脅威の増大と比例して、自社のビジネスを守るための労力もまた際限なく増え続けているのが現状なのです。

谷川氏 NEC 経営システム本部 セキュリティ技術センター シニアエキスパート 谷川哲司

 実はNECでも、過去に同じような事情で悩み、有効で効率的なセキュリティ対策を実現するため、20年にわたり苦労を重ねてきました。そうした取り組みの中でも、特に大きな転機となったのが、今から十数年前、2000年初頭に猛威を振るったワームNimda/Code Redへの対応でした。

 「当時最も大きな問題だったのが、感染のおそれがある機器を迅速に把握する方法がなかったこと。社内で稼動するPC/サーバの台数はその頃でも十数万台の規模でしたから、各管理者が全数をチェックしていたのでは対応が間に合わない。一刻も早い対応が求められる中、実際に運用している部門に調査を依頼し、結局、その集計が完了するまでには約3週間を要しました」とNECの谷川は明かします。

開発の経緯

セキュリティマネジメントの第一歩は「見える化」にあり

 この経験を通してNECが痛感したのは、社内のPC/サーバの環境がきちんと見える化されていることの大切さです。「どこでどのような機器が何台稼動しているのか」、また「それぞれの機器の構成やパッチ/ワクチンの適用状況はどうなっているのか」、こうしたことが正確に把握できていなければ、効果的な対策が望めないことが分かったのです。

 「そこで誕生したのが『数えるマネジメント』というコンセプトです。社内で稼動するPC/サーバを一台も残さず数え上げると同時に、その構成情報についても一元的に管理。この情報に基づいて適切なパッチを迅速に適用することで、脆弱性の排除や攻撃への事前防御を図ろうと考えました」(谷川)

 このコンセプトを実現すべく開発したのが、「CAPS」(Cyber Attack Protection System)と呼ばれるセキュリティマネジメントシステムです。CAPSでは「数えられないものは管理できない」という考え方に基づき、PC/サーバにインストールされたOSの種別やバージョン、プログラムの内容、パッチ/ワクチン適用状況、ウイルス/ワーム感染状況など、多様な情報を網羅的に収集します。

 「これができて初めて適切な対策が立てられますし、投資対効果の最大化も図れます。また、各部門の対策状況を公開することで、図らずも部門間の競争心に火がつき、全社として対策スピードを速めることができました」(谷川)

成果

パッチ適用率が約30%から約95%以上へと飛躍的に向上

 CAPSは単に構成情報の収集/管理を行うだけではありません。適用すべきパッチ/ワクチンの指示やパッチ適用、各部門のサイト管理者への情報提供機能、ルール不適合PCのネットワーク検疫、ワーム発生時の通信遮断など、多彩な機能を備えています。これらの機能を組み合わせて活用することで、様々なセキュリティリスクへの迅速・的確な対応を実現しているのです。

 CAPSを開発・導入したことで、NECのセキュリティ対策は飛躍的な進歩を遂げました。新たなパッチが提供された際にも、対象となる機器に対してボタン1つで適用を行うことができます。以前のように、それぞれの部門が個別に自分の環境を調べながら適用の可否を判断する必要はありません。

田上氏 NEC 経営システム本部 セキュリティ技術センター マネージャー 田上岳夫

 「Nimda/Code Redが猛威を振るった十数年前、ワクチン導入率は約80%、セキュリティパッチ適用率は約30%に留まっていました。しかしCAPS導入後は、それぞれ約99.9%、約95%に向上しました」と田上は説明します。

 もちろんワクチン導入率/パッチ適用率は100%を目指すことが望ましいため、対策強化を続けています。しかしNECの経験では、適用率が90数パーセントを超えれば、かなりの確率で感染拡大を抑え込め得ることが分かってきました。ただしそれは、パッチの適用ができていない機器を明確に把握する「数えるマネジメント」があってこそできると考えています。

18万台の調査がわずか1時間で完了可能に

 このように、現場のニーズを取り込み、必要な開発を進めていく中で、脅威への対応スピードも大幅に向上しました。Windows XPやWindows Server 2003などのサポート終了、あるいは終了が迫ったOSを搭載したPC/サーバがセキュリティ上の懸念事項となっていますが、こうした“洗い出し”も非常にスピーディに行えます。

 「数万台、十数万台に上る大規模ICT環境の安全を守っていく上では、不可欠な仕組みです」(田上)

 また、2013年に情報漏えいにつながる脆弱性を含むソフトウェアが発見された際には、PC/サーバ18万台の環境調査をわずか1時間で完了することができました。かつては同様の調査に約3週間の期間を要していたことを思えば、まさに隔世の感があります。

安心・安全なイントラネットの利用確保のための取り組み(CAPS)

CAPS NECでは「数えるマネジメント」のコンセプトを基にCAPSを構築。18万台のPC/サーバの構成情報などを一元的に管理し、様々なインシデントへの迅速な対応を実現している

新しい展開

セキュリティ対策とサイバー攻撃のギャップを埋める新ソリューション

 こうした成果に満足することなくNECでは、OpenSSLやApache Strutsなど突如顕在化するミドルウェアの脆弱性に迅速に対応するため、これまで資産管理ツールなどでの確認が難しかったライブラリのバージョン・設定ファイルまで調査できる機能の開発も進めてきました。

 さらに、このような取り組みによって培った様々なノウハウを結集。セキュリティ対策レベルとサイバー攻撃のギャップを埋める対策を「プロアクティブサイバーセキュリティ」と位置付け、新たなソリューションとして提供します。

先読み対策や高度なセキュリティ情報で安心・安全を確保

 「プロアクティブサイバーセキュリティ」を実現するソリューションは、「セキュリティ統合管理・対処ソリューション」と「脅威・脆弱性情報ソリューション」の2つの要素で構成されています。「セキュリティ統合管理・対処ソリューション」は、前述したPC/サーバの構成管理や対象の特定・対処を行うための製品・サービスを提供します。また、「脅威・脆弱性情報ソリューション」では世界中の新たな脅威・脆弱性情報や対策ノウハウをお知らせする情報サービスを提供します。

後藤氏 NEC ビジネスイノベーション統括ユニット サイバーセキュリティ戦略本部 エキスパート 後藤淳

 「『新しい脅威がいつ生まれたのか』『その対応にはどの手法を使うのがベストなのか』『提供されたパッチを自社環境に適用して大丈夫なのか』…こうした情報を自前で収集・判断するのは非常にハードルが高い。その点、NECでは高度なセキュリティ専門家集団を擁するほか、一般財団法人 日本サイバー犯罪対策センター(JC3)や国際刑事警察機構(INTERPOL)などの外部機関との連携も行っています。こうした活動を通して得た知見やノウハウをソリューションへ組み込み、さらなる安心・安全の確保に貢献したいと考えています」と後藤は説明します。

インテリジェンスに基づく脆弱な箇所の特定

インテリジェンス 資産管理ソフトや脆弱性監査ツールでは判別できない、ライブラリのバージョン・設定ファイルも含めて調査することで、お客様のICT環境に存在するリスク範囲を迅速に特定することができる

長年の運用経験から生まれた多彩な機能を提供

 今回の新ソリューションでは、実運用に欠かすことのできないきめ細かな情報収集・管理機能を提供します。「新たな脅威に対処するには、ネットワークに接続された機器やその構成といった情報だけでなく、誰が・どのような業務で使っているかも含めて把握することがポイントです。そうでないと、いざインシデントが発生した際に、その機器をいきなりネットワークから切り離しても良いのかどうか判断がつかないからです。一般的な資産管理ツールなどでは、この点がネックになるケースが少なくありません」(後藤)

 また、セキュリティ運用の効率化に役立つ様々な機能も盛り込まれています。感染のおそれのある機器に対してリモートでの調査を可能にする「インシデントレスポンス」機能もその1つです。「最近のマルウェアは白黒がつけにくいグレーなものも多いため、実機調査は必ず行いたい。しかも、マルウェアは日々進化し、ネットワークにつながっていないと動作を止めたり、電源を落とすと感染の痕跡を消滅させたりするものもあります。インシデントレスポンス機能を利用すれば、ユーザーの業務に影響を与えることなくリモートから機器に入り、これまで見つけることができなかったマルウェアの痕跡の確認や対処が行えます」と後藤は話します。

 実はこの機能も、NECの情報システム部門の運用経験から生まれたもの。「以前は、PC管理者に実機を送ってもらって、実験室で調査するしかありませんでした。インシデントレスポンス機能を利用することで、マルウェア解析の精度と速度が上がるだけでなく、PC管理者の負担を減らすことができます。解析待ちの機器が実験室を埋めることもなくなります」(谷川)

 また、ウイルス対策ソフトなどでは検出できない未知の脅威についても、レジストリの改変や不審な一時ファイルなど、各マルウェア固有の痕跡を追うことで調査ができます。「調べたい情報を記述したスクリプトを管理サーバから流すだけで、標的型攻撃の被害を受けたかどうかの調査ができます。時間や手間がかからず、大変役立ちます」と田上は補足します。

 この他にも、子会社や事業部門ごとに最適なセキュリティポリシーを割り当てられる柔軟なセキュリティ設定機能やセキュリティパッチの強制適用機能など、様々な機能が提供されます。

新ソリューションの概要

先読み対策でサイバー攻撃を防御する

 NECでは、サイバーセキュリティのコンサルティングから対策、運用、インシデント対応まで網羅したセキュリティソリューションを「NEC CyberSecurity Solutions」として提供しています。そして今回、このソリューションラインナップに、巧妙化・高度化が進むサイバー攻撃に先読みして対策を打つ「プロアクティブサイバーセキュリティ」を実現するソリューションを追加しました。

 「統合管理・ガバナンス分野」のメニューとして新たに提供されるのは、「セキュリティ統合管理・対処ソリューション」と「脅威・脆弱性情報ソリューション」の2つのソリューション。ここでは、ネットワークに接続された個々の機器の構成情報をリアルタイムに把握し適切な対処を施すための仕組みや、世界中の脅威・脆弱性情報並びにNECの経験に基づく対処情報を即座に提供する情報サービスを用意。NECグループで稼動する18万台のPC/サーバを守ってきた経験とノウハウを活かすことで、効果的かつ効率的なセキュリティ対策に貢献します。

et150204 「NEC Cyber Security Solutions」全体図。新たに追加された「セキュリティ統合管理・対処ソリューション」と「脅威・脆弱性情報管理ソリューション」。構成情報のリアルタイム管理や脅威・対処情報の活用により、標的型攻撃などへの「先読み対策」を実現します。

今後の展望

SDNやビッグデータとの連携も推進

 「プロアクティブサイバーセキュリティ(先読み対策)」を実施することで、ビジネスに深刻な影響をもたらす情報漏えいなどのリスクを低減することができます。さらに見逃せないのが、セキュリティ/ガバナンス強化に伴う業務負担を軽減し、効率よく対策が進められるようになるという点です。

 「例えば、『80%のPC/サーバが対策済み』ということが分かれば、残りの20%に対してどのような手を施すかというシナリオが描けます。勘所を押さえた対策を効率的に実施し、これにより経営トップや社外への説明責任を果たすこともできます」(後藤)

 さらにNECでは、今後に向けた新たな取り組みも進めています。NECの得意分野であるSDN(Software-Defined Networking)との連携もその1つ。攻撃を検知してから通信経路の変更などの対処作業を行うためには、通常は数日から数週間を要します。SDNと連携させることで、対処作業にかかる負担が軽減され、対処までの時間も大幅に短縮することができます。また、ビッグデータ技術を活用し、膨大なログやイベント、機器情報を分析してサイバー攻撃の防御に役立てるための研究開発も進めています。このようにNECでは、長年にわたり培ってきた知見と先端テクノロジーを融合させ、ビジネスの安心・安全を守る取り組みを今後も推進していきます。

プロフィール

日本電気株式会社

本社所在地 東京都港区芝五丁目7-1
設立 1899年(明治32年)7月17日
資本金 3972億円(2014年3月末現在)
従業員数 10万914人(2014年3月末現在・連結)
事業概要 日本を代表する総合ITソリューション企業として、パブリック/エンタープライズ/テレコムキャリア/システムプラットフォームの4分野で事業を展開。長年にわたり培った高度な技術力とサービス・サポート力を活かし、社会/ビジネス課題の解決に貢献している。
URL http://jpn.nec.com/

おすすめホワイトペーパー

wp120.jpg

巧妙化するサイバー攻撃に立ち向かうために、今求められる「3本の柱」とは?

巧妙で複雑化したサイバー攻撃には、3つの要素を融合した総合的な対策が必要になる。あなたの会社は、情報資産が抜き取られた時、迅速に気付けるだろうか? 被害を最小化するノウハウはあるだろうか?


※本記事は、日本電気より提供された記事を許諾を得て再構成したものです。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.


提供:日本電気株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年3月31日

関連記事

関連ホワイトペーパー

巧妙で複雑化したサイバー攻撃には、3つの要素を融合した総合的な対策が必要になる。あなたの会社は、情報資産が抜き取られた時、迅速に気付けるだろうか? 被害を最小化するノウハウはあるだろうか?