このページの本文へ

「現状に合った」セキュリティ対策で重要インフラや企業を守るために

国防情報局の元CISOが語る、米国サイバーセキュリティの現状

2015年03月20日 06時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 EMCジャパン RSA事業本部は3月19日、サイバーセキュリティに対する米国政府の最新の取り組み状況についての説明会を開催した。米国税庁のサイバーセキュリティオペレーション担当や国防情報局(DIA)のCISOなどを歴任し、現在はEMC RSAのCTOを務めるマシュー・マコーマック氏が解説した。

EMC RSAセキュリティ事業本部 CTOのマシュー・マコーマック氏

「もはや機能しない」従来型対策から、頭を切り換えよう

 マコーマック氏は、企業のITインフラの在り方がここ数年で大きく変容し、それに伴いセキュリティ対策の考え方も発想の転換が必要だと述べた。

 従来のクライアント/サーバー型のITインフラでは、インターネットと社内との間に境界線を引き、内部のシステムやエンドポイントを外部攻撃から守る対策を行ってきた。しかし、クラウドやモバイルデイバスの登場により、さまざまなOSプラットフォームが企業インフラに持ち込まれ、無数のアプリケーションが境界を乗り越えて通信するようになった。データも社内に止まらず、クラウド上にアップされることもある。もはやエンドポイント対策や境界セキュリティ対策では対応しきれないのが実情だ。

 「こうした状況に対応するため、現在米国ではエンドポイント保護からデータ保護へと対策の主軸が移りつつある」。そう述べるマコーマック氏は、データを集約して統合管理できるシンクライアントが再び脚光を集めていると明かす。

 また、最近のサイバー攻撃は巧妙かつ複雑化しており、「侵入を防ぐ」従来の対策だけでは十分とは言えなくなっている。

 「数年前、弊社で発生した標的型攻撃では、利用されたマルウェアは非常に複雑なプログラムでありながら、攻撃実行の6時間前に作成されたものだった。カスタムコードのマルウェアを闇市場で非常に安価に購入できる現在、侵入を防ぐのはほぼ不可能と言ってもいいほど難しい。『攻撃も感染もゼロにする』ことを目標とした従来の対策は、もはや機能しない」(マコーマック氏)

 マコーマック氏は、IPアドレスを割り振られた時点でハッキングのリスクがあることを理解し、完璧に安全なネットワークは構築できないと知ることが、まずは始まりだと述べる。そして、侵入を前提とし、攻撃者の滞留時間を短くする仕掛けを考え、本当に守らなければならないデータを把握して保護する、いわば「リスクベースの対策」に頭を切り替えていくべきだと説明した。

米政府は重要インフラのセキュリティ対策ガイドライン「Cybersecurity Framework」を発表している(http://www.nist.gov/cyberframework/)

 こうした発想の転換と体制作りを促すため、米政府は2014年2月に重要インフラのサイバーセキュリティ対策の強化を図るためのガイドライン「Cybersecurity Framework」(CSF)を発表している。同様のガイドラインで「NIST SP 800シリーズ」と呼ばれるものが以前にもあったが、CSFでは攻撃の検知やインフラの保護という基本的な対策に加えて、攻撃発生時の技術面以外での「対応(Respond)」と「復旧(Recover)」にも言及している。

 「たとえば対応には、攻撃発生時の連絡や報告、分析や緩和策のほか、メディアを通じた顧客への対応も含まれる。最近はハッキングされたことに対して、世間は意外と許してくれるが、適切な対策を速やかに提示しないことには非常に厳しい。これが実践できなかったために追い込まれている企業は、かなり多い」(マコーマック氏)

 現在、米国証券取引委員会や米保険福祉省管轄のメディケア・メディケイドセンターなど、さまざまな業界で契約時の要求項目にCSFを指定する流れになっているという。EMC RSA含め、セキュリティベンダー各社も製品のCSF対応を進めている。

 だが、「CSF対応製品を入れて終わりという考え方は危険だ」とマコーマック氏は警告する。CSFをうまく回していくには、人・プロセス・テクノロジーのバランスを取ることが重要だ。

 「運用する技術者がいないのにテクノロジー(製品)を購入する、プロセスを文書化しないままテクノロジーを運用するということは、よくあることだ。適切な人材、体系化され文書化されたプロセス、そして適切なテクノロジーを整備することが、CSF対応への第一歩となる」(マコーマック氏)

官民が一体となった情報共有の仕組み作りに注力

 もう1つ、米政府が取り組むのは政府および民間企業との情報共有だ。その役割を担うのが「National Cybersecurity and Communications Integrateion Center(NCCIC)」だ。

 NCCICは、連邦政府、US-CERT(米国内のサイバー攻撃情報を集約して注意喚起などを実施)、ICS-CERT(主に制御システムに関するサイバー攻撃情報を集約)、情報共有分析センター(ISAC)などの各組織から、サイバー攻撃に関する情報を集約し、共有するための機関だ。NCCICが収集した情報は、日本を含む他国とも共有される。

NCCICの役割。業界や組織の壁を越えて、サイバー攻撃とセキュリティの情報共有を図るための組織

 NCCICでは、協力機関や企業が代表職員を派遣し、1つのオペレーションルームで業務を行っている。業界や組織の壁を越えて情報共有を促す狙いがあるが、実践してみると思いがけない効果もあったとマコーマック氏は笑う。

 「特にセキュリティは、属人的な知識やスキルが強く求められる領域だ。一人一人が集中して作業するうちに、気がつけば社交性が失われ、円滑な情報共有も進まない傾向があった。だが、1つのビルの1つの部屋に集められたことで、お互いに何か会話せざるをえない状況になった。つまり組織の壁だけでなく、個々人の“非社交性”という壁も取り払うことに成功したわけだ」(マコーマック氏)

 米国のサイバーセキュリティ対策に向けた体制づくりは着々と進んでいるが、まだまだ解決すべき課題は多いとマコーマック氏は言う。情報共有においては、必ずしも全員が情報を出したがるわけではないという問題もある。

 しかし、情報を共有することは、あらゆる脅威への有力な対抗手段となる。「ギブ&テイクの意義を地道に普及し続けていかなければならない」(マコーマック氏)。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード