アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題:ITmedia エンタープライズ セキュリティセミナーレポート(4/4 ページ)
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。
「GlobalProtect Cloud Service」で、多拠点に均一なセキュリティを
標的型攻撃や高度なマルウェアによる被害は、日本国内の本社だけでなく、海外拠点や国内子会社まで広がっている。多拠点で事業を展開する企業では、海外や国内拠点から、直接インターネットに接続するケースが多い。パロアルトネットワークスの藤生昌也氏は、複数拠点におけるセキュリティ対策として、同社のクラウドを活用した「GlobalProtect Cloud Service」を紹介した。
同社はこれまで、境界防御として次世代ファイアウォール(NGFW)を設置することを勧めていた印象を持つ人もいるかもしれない。
以前は、企業の資産である重要情報が社内にあるケースが多かったため、境界防御が重要とされてきた。しかし、昨今は重要な情報が社外のSaaSやパブリッククラウド上にあり、「情報が社外で保存されるケースが増えている」(藤生氏)という。また、リモートネットワークの利用やモバイルユーザーも増えており、外でもセキュアな接続が求められている。
従来、同社が取っていたアプローチは、NGFW配下にある本社へ専用線やIPsecを経由してアクセスを行うというものだった。しかしそれだと、社内リソースを使わないSaaSやパブリッククラウドへの接続時はどうしてもセキュリティが甘くなる。各拠点にまでNGFWを導入した場合、運用やコストでの苦労や、セキュリティポリシーの一貫性を担保するのに支障が出ることもあるだろう。
そこで、パロアルトが用意したのが「GlobalProtect Cloud Service」だ。本社に設置した統合管理製品「Panorama」によるセキュリティポリシーの一元管理やログ検索が行え、モバイルユーザーは一番近いアクセスポイントにセキュアに接続できるようになる。ユーザー単位での課金体系なので、ユーザー数の増加にも柔軟に対応できるという。
マルウェアの脅威を認識し、拡大阻止と迅速な復旧を
マルウェアを使ったサイバー攻撃は高度化し、その被害は深刻化している。キヤノンITソリューションズの池上雅人氏は、「マルウェアに感染した場合、早く適切な対応ができるかが重要」と語る。多様化するマルウェアの脅威をしっかりと認識したうえで、迅速に対応し、復旧することが求められているという。池上氏はマルウェアの特徴を解析者視点で説明した。
池上氏によれば、現在、企業を狙うマルウェアは「3つの攻撃ベクトルがある」という。まず、以前からよく使われているメールでは、ダウンローダー以外にDDE(動的データ交換)の機能を悪用した事例が増えている。「2回『はい』をクリックするだけで、警告画面が出ずに感染してしまう事例も報告されている」(池上氏)。実行されるプログラムもマイクロソフトが提供しているツールなので気付きにくいのが実情だ。
2つ目は、WannaCryに代表されるワームや、正規のソフトウェアのアップデートによってマルウェアが入り込む「サプライチェーン攻撃」だ。これは2017年に目立った攻撃のベクトルだという。そして、今後被害が拡大しそうな攻撃のベクトルは、産業システムを狙った攻撃だ。2016年にウクライナでサイバー攻撃によって配線施設が攻撃され、大規模な停電が発生した事例が報告されている。
池上氏は「脅威を軽減するためには、まず脅威の実態を知ること」と強調。そして「セキュリティパッチやウイルス対策製品を正しく運用し、感染した場合は拡大阻止と復旧に加えて、影響範囲を特定することが重要だ」と述べた。
関連記事
- DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - 「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。 - 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.