サイバー攻撃に強いのは組織力か、技術力か 「PPT」のフレームワークで考える：「Security Week 2022 秋」開催レポート（2/2 ページ）

[ITmedia]

サイバー攻撃に対応における「組織力」と「技術力」の問題

　2022年9月6日にロシアを支持するハッカー集団「Killnet」（キルネット）が日本をターゲットにした攻撃を開始し、国内の幾つかのWebサイトがDDoSと思われる攻撃によってアクセスできなくなった事例があった。鎌田氏はその事例を基に、サイバー攻撃に対応するために必要な組織力と技術力について言及した。

　そもそもDDoS攻撃は「発生してからできる技術的対処の選択肢はそれほど多くない」（鎌田氏）。

　サイバー攻撃に対応する際に、組織的な課題としてよく挙がるのが「コミュニケーション不足」だと鎌田氏は指摘する。実際に「Webサイトの管轄部署とセキュリティ部門の連携がネックになるケースが多い」のだという。

　他にも、想定外の事象が起きたときにどのように対処するか、システムやサービスの復旧判断をどうするかを決めておく必要があるが、配置転換などの「組織の事情」によって、緊急対応の熟練度を維持できないといった課題もある。

　技術力の課題に対する解決策は「最新のIT技術トレンドを把握すること」だ。最新のIT技術に関する情報が組織内でどれだけ活用されているかが重要であり、「例えば、DDoS攻撃においてはどの手法が攻撃者のトレンドかを把握し、予測することが重要」と鎌田氏は語る。

　さらに発生事象の技術分析や関連が疑われる脆弱（ぜいじゃく）性の有無など、目の前で起きている事象の分析も重要だが、「攻撃者の目的や背景に関する情報収集も重要」と鎌田氏は指摘する。

PPTの3つの視点で考える

　サイバー攻撃に対応するには「『PPT』（Person＝人、Process＝組織、Technology＝技術）の3つの観点から課題を明確にする必要がある」と鎌田氏は指摘する。

高度化するサイバー攻撃に対抗するには「PPT」の3つの視点が必要（出典：鎌田氏の講演資料）

　組織的な課題は、個社ごとのセキュリティ成熟度によって異なる。特に経営層がサイバーリスクを適切に理解しているかどうかは非常に重要だ。「災害対応のBCPとサイバーセキュリティは別だという理解が必要」と鎌田氏は強調する。昔作ったセキュリティポリシーが時代の変化に追い付けているかどうかも考慮する必要がある。

　技術的な課題としてよく挙がるのは、企業のIT人材が環境の多様化に追い付くのが難しいことだ。モバイルやクラウド、テレワークなど、働く環境が多様化していることが要因の一つだ。

　サイバー攻撃の被害実例を見ると、小さなミスや考慮漏れなどの、わずかな要素が大きな問題を引き起こす傾向がある。対策方法の一つとしてチェックリストの活用が挙げられるが、「作業が増える結果を招くのでチェックリスト的なアプローチは困難」と鎌田氏は語る。

　People＝人の課題を挙げるなら「技術の分かる人材の不足」がどこの企業でも課題とされている。

　「技術も組織も結局のところ人が支えている」と鎌田氏は言う。組織的な課題も技術的このようなサイバー攻撃に向けて企業には適切な対応が求められている。

組織的課題も技術的課題も支えるのは人（出典：鎌田氏の講演資料）

サイバー攻撃に対応するための組織力、技術力の身に付け方

　サイバー攻撃に対応するための組織力、技術力を育てるには、組織に何が足りないか、技術力で何が足りないか、人のスキルで何が足りないかを明確にする必要がある。しかし「スキルマップやベストプラクティスを見ても量が膨大過ぎて、チェックリストを計画的に実走していくことはほぼ不可能だ。やろうとして失敗した企業やそのコミュニティーを多く見てきた」と鎌田氏は今までを振り返る。「基礎を身に付けた上で応用的に対応できる実戦的な経験を獲得することが近道だろう。ここでいう"基礎"とは簡単という意味ではなく、建物の基礎などでも使われる、ファンダメンタルという意味です」（鎌田氏）

　組織的な課題を発見するには、部署を問わず全社横断で演習を実施することが有用だ。その際は「リアルで詳細なシナリオを用意することが重要」と鎌田氏は強調する。「最初から全社横断は難しいため、スモールスタートから始めて徐々に大きくすることが重要である」と鎌田氏は説明する。

　技術的な課題を発見するため有効な方法は、ハンズオン形式のインシデント対応演習に参加することだ。「基礎から学び直すことが最終的には効果が高い」鎌田氏）

　同氏は最後に「サイバーセキュリティについて理解している人はごく少数。非常に時間がかかる分野であることを認識して、取り組んでいく必要がある」と語った。