「標的型攻撃対策は自前でがんばる」を選んだ西日本鉄道、その苦労と成果とは?(1/2 ページ)

高度なサイバー攻撃では対策も複雑。企業や組織が自前で取り組むのは大変だとされるが、自社運用に取り組む大手私鉄・西日本鉄道グループでの経緯や成果を聞いた。

» 2016年07月14日 08時00分 公開
[國谷武史ITmedia]

 未知・既知のさまざま手法を駆使して仕掛けられる高度なサイバー攻撃。企業や組織におけるその対策では複雑な仕組みが講じられ、その運用にも高度な経験やノウハウが求められる。そのため、専門ベンダーなど外部のリソースを活用して対応している企業や組織は多い。

 そんな中で大手私鉄の西日本鉄道グループ(にしてつグループ)は、2011年に複数の重工系企業が標的型攻撃の被害に遭った事態を受けて、サンドボックス解析を中心とする対策の自社運用に取り組む。ガートナー ジャパン主催の「セキュリティ&リスク・マネジメント サミット 2016」では西鉄情報システム ITサービス本部の三宅秀明部長が、その経緯や成果などを紹介した。

対策の自社運用を強く意識

 約80社を擁するにしてつグループは、鉄道やバスの運輸事業や不動産、物流、レジャー・サービスなど多角的な事業を展開する。特にバス事業は、グループ全体の保有車両台数が日本で最も多く、博多周辺にはグループのバスが目まぐるしく行き交う光景を目にする。近年は物流やレジャー・サービス事業の海外進出にも積極的だ。

グループの長期ビジョン「にしてつグループまち夢ビジョン2025」の全体像(西日本鉄道より抜粋)

 三宅氏によれば、かつてのにしてつグループでは各社がそれぞれにインターネット接続やセキュリティ対策を行い、グループ全体としてセキュリティレベルの向上と対策の一元化が課題だった。2005年に発生した福岡県西方沖地震では、当時の中核データセンターが影響を受けたため、事業継続強化の観点からデータセンターを新設。これに合わせてインターネット接続のゲートウェイをグループとして統合し、サーバも集約した。

 セキュリティ対策は、データセンターのネットワークにファイアウォールやIDS(不正侵入検知システム)、Webやメールのセキュリティシステムを配備して一元的に運用している。各種セキュリティ対策を講じたクライアントPCからのみ、インターネットにアクセスできるようにした。これによって対策の一元化を図り、それに伴って運用コストも圧縮させることができたという。

西鉄情報システム ITサービス本部の三宅秀明部長

 ただ、この当時は「未知の攻撃」という言葉すら無く、IDSから発生する大量のアラートやログへの対応に人手が追い付かないなど、セキュリティ機器を十分に運用し切れていなかった。グループ内にセキュリティ専任者がいない中で既存対策の効果にも漠然とした不安を抱えていたという。セキュリティ対策の運用をアウトソーシングすることも検討したが、コスト面などから見送ることになった。

 2011年に国内で標的型攻撃による情報流出などの被害が顕在化し、その脅威が大きく注目されるようになった。にしてつグループも標的型攻撃に関する情報収集に努め、もはやシグネチャベースによるセキュリティ対策では、標的型攻撃の検知が難しいことを認識したという。2012年には未知の脅威への対応を目的、サンドボックス解析による対策ソリューションの導入検討に着手したが、2013年7月にWebサイトが不正に改ざんされ、閲覧者をマルウェアダウンロードに誘導するリンクが埋め込まれるインシデントが発生してしまった。

 三宅氏よれば、福岡県警の通報を受けて迅速に対応したことで被害は軽微で済んだものの、にしてつグループとしてこうした事態へ早急に対応できる体制の構築が急務だとの判断に至った。また、事業によっては海外とのやり取りも頻繁に行われていることからも、対策強化の必要性にも迫られた。

 高度なノウハウなどが必要な標的型攻撃対策の導入は容易ではないものの、いざ重大インシデントが発生すれば、最終的には当事者が対応しなければならなくなる――グループとしてその観点を強く認識し、自前での運用を前提とする対策の検討を進めた。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ