「標的型攻撃対策は自前でがんばる」を選んだ西日本鉄道、その苦労と成果とは?(2/2 ページ)
高度なサイバー攻撃では対策も複雑。企業や組織が自前で取り組むのは大変だとされるが、自社運用に取り組む大手私鉄・西日本鉄道グループでの経緯や成果を聞いた。
経営層の説得にも努力
にしてつグループの標的型攻撃対策では、サンドボックスによる検知システムを自前で運用する方針になった。導入に向けて経営層の理解を得る必要をあり、標的型攻撃がもたらすリスクやグループのセキュリティ対策状況などを分かりやすく説明。最終的に、当時の中期経営計画にセキュリティ対策の強化が重点課題であることを盛り込み、対策の本格的な取り組みに着手する。
サンボックスの導入に際しては、(1)グループのセキュリティレベルの向上、(2)セキュリティ機器の効率的な運用、(3)セキュリティコストの内製化――の3つを目標となった。(1)ではセキュリティ専任者不在の状況からノウハウを蓄積してインシデントに対応できるようにすること、(2)では24時間体制で運用するデータセンターの管理・監視にセキュリティ機器も組み込むこと、(3)では導入費用がかさんでも運用を含めたトータルコストを圧縮させること――との方針を決めた。経営層からも投資に見合うコスト効果や性能が得られる機器を導入するよう要請されたという。
導入するサンドボックスについては、未知のマルウェアなどの検出能力だけでなく、万一マルウェアが侵入した場合を想定して、マルウェアと攻撃者サーバ(C&Cサーバ)の通信も検出できるかを重視した。また、自社運用で負担が少ないよう検知されるアラートの正確性や分かりやすさも重点ポイントに掲げた。
実際の機器選定では3社のサンドボックス製品を同時に検証したという。三宅氏は、「メーカー各社に負担をかけてしまったが、製品の検出性能やログ、アラートが分かりやすさ点を同じタイミングで比較することが重要だった」と語る。検証結果から、複雑な攻撃手法の検知性能やサンボックスを回避する攻撃手法への対応、誤検知の少なさ、メンテナンスのしやすさといった点でにしてつグループの要件を満たしたファイア・アイの製品を選定した。特に、脅威を高い精度で検知できる点やアラートの重要度の分かりやすさといった点から、自前で運用しても対応やその判断が容易になることを評価したという。
採用決定後、導入コストの高さや、すぐには機器の運用が困難といった点は課題になったものの、導入を支援した日立システムズの技術サポートやファイア・アイのトレーニングなどを積極的に活用。他社の導入事例を参考にしてにしてつグループとしての運用フローも確立し、現在ではスムーズな対応ができるようになっているという。
三宅氏によれば、サンドボックスの運用を始めた2014年春から2016年までの2年間で、アラート発生から一時対応までの時間が大幅に短縮され、速やかな対策の判断と実施もできるようになった。現在では、アラートの原因分析や対策の実施までは全て自前で行っている。経営層に対しても月次でセキュリティ対策状況を報告し、評価を得ているとのことだ。
最後に三宅氏は、「セキュリティ機器の導入が目的にならないよう、きちんと運用できるのかを考慮することが重要であり、自前で運用するのか、外部を活用するのかを明確にしないといけない。自前での運用を決めたなら、自分たちで運用できる機器を選び、社内の体制も整備すべき。次の脅威に備えられるように日常的なセキュリティ情報の収集も大切になる」とアドバイスした。
にしてつグループでは今後、自前でのセキュリティオペレーションセンター(SOC)の立ち上げ、運用も含めたセキュリティ対策のさらなる強化を検討しているという。
関連記事
- 体力勝負から自動化にシフトするリクルートのサイバー攻撃対応
リクルートは、多数の会員の情報保護に注力しているという。人海戦術によるサイバー攻撃への対応に限界があり、ログ分析ツールを駆使した自動化を進めている。 - 品川区、サイバー攻撃などによる情報漏えいを防ぐ新機能を装備
品川区は自治体情報セキュリティ対策の強化に向けて、情報漏えいを防止する新たなセキュリティ機能を構築した。 - 元セキュリティ技術者の弁護士がチャットに求めた厳しい条件とカッコイイ使い方
機密情報を扱う法律事務所では堅牢なセキュリティ対策が必須だけど、ガチガチでは仕事がはかどらない――コスモポリタン法律事務所ではそんなジレンマの解決に取り組んだ。 - インシデント対応ってムズカシイ? NISSAY IT CSIRTの経験に学ぶヒント
最初から重大インシデントに対応できるCSIRTを構築するのは非常に難しいだろう。ニッセイ情報テクノロジーの小澤氏は、「名ばかりCSIRTでもまず始めてみるべき」と話す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.