セキュリティー担当者がしばしばぶつかる悩みに「経営層がセキュリティーの必要性を分かってくれない」といったものがありました。しかし相次ぐ被害を背景に、最近は風向きが少し変わってきたようです。むしろトップの方から「うちのセキュリティーはどうなっている? 何から手をつければいい?」と尋ねられ、経営者目線での説明を求められることも増えてきたのではないでしょうか。
このトレンドをさらに後押しするのが、経済産業省が2015年末に公開した「セキュリティー経営ガイドライン」です。この中で、セキュリティーは単なるITの問題ではなく「経営課題」であると位置付けられ、経営者がリーダーシップをとってサイバーセキュリティーの強化に取り組むよう求めています。
ガイドラインではさらに、具体的に10項目の対策を挙げ、経営者からCISO(Chief Information Security Officer, 最高情報セキュリティ責任者)に実施を指示するよう呼び掛けています。10項目の中には、セキュリティーリスクの管理体制を整え、継続的に改善するフレームワークを整備し、系列企業やサプライチェーンも含めた形で対策を実施すること、そしてその実現に必要な人員や予算を確保し、万一攻撃を受けた場合への備えも怠らないことなどが示されています。おそらく現場にも、これに沿った指針が伝えられることになるでしょう。
言うは易し、行うは難しの「多層防御」
ガイドラインに関連して注目したいキーワードが、「多層防御」です。ガイドラインの10項目のうち「サイバーセキュリティーリスクの把握と実現するセキュリティーレベルを踏まえた目標と計画の策定」という項目において、実現に有効な技術的対策として、多層防御の実施が挙げられています。
あらためて示されなくとも、既に多層防御に取り組んでいる企業は少なくないでしょう。標的型攻撃に代表される高度な脅威の侵入を、一つの防衛ライン、例えば従来型のファイアウォールやIPSといった境界型防御だけで防ぎきることは困難です。ネットワークの境界だけでなく、サーバや個々のユーザーが利用するPCでも対策を講じ、重要なネットワークは分離するなど、内部での感染拡大を食い止める設計が重要になります。同時に、不審なアクティビティや通信が発生していないか、ログを定期的にチェックすることも有効です。これによって、脅威の兆候を早期に把握し、対処することができるでしょう。
……と、理想通りにいけばいいのですが、日々のセキュリティー運用を担当する現場では、そうもいかない現実があります。日々新たに登場する脅威に応じて、ポイント、ポイントでソリューションを追加していくと、別々のコンソールを使い分け、別々のスケジュールでアップデートを強いられることになります。多層防御が現場の負担増につながってしまう可能性があるのです。
負担が増えるだけならまだしも、異なるコンソールを見比べ、異なる形式のログを整理しているうちに、重要なアラートを見逃してしまう恐れもあります。ただでさえ、セキュリティーインシデント対応は限られた時間の中で進められます。当然焦りもあるでしょう。そんな状況であれこれコンソールを見比べ、異なる操作を強いられていては、状況判断や初期対応、ひいては重要な意思決定のスピードに影響を及ぼしかねません。
統合され、情報の循環が可能なソリューションによる解決を
こうした問題を解決するには、やはり、横断的に情報を共有できる統合ソリューションが必要だとインテル セキュリティでは考えています。元々「Security Connected」というコンセプトで統合セキュリティーソリューションを提供してきましたが、それをさらに進め、「防御」「検知」「回復」からなる「脅威対策のライフサイクル」を効率的に回し、その中で情報を循環させることで継続的にセキュリティーを改善していく、というあり方を提案。そのために「McAfee Security Information and Event Management(SIEM)」や「McAfee Active Response」、「McAfee Threat Inteligence Exchange (TIE)」といったソリューションを揃えています。
脅威対策のライフサイクルを通じて製品の壁を超えて情報を共有し、状況を可視化できれば、優先順位付けも容易になります。あとはそれに従って、シグネチャファイルの生成を待つことなく、リモートから隔離やファイル削除といった復旧処理をとるだけです。また、どこか一ヵ所で得られた脅威の兆候情報を基盤にフィードバックすることで、感染拡大防止や次の防御に役立てることができます。
ただでさえセキュリティー人材が足りないと言われる中、限られたリソースでセキュリティー運用を実現するには、製品や組織の壁を超えてナレッジを共有し、自動化できるプロセスは自動化し、リモートから対処できる処理はリモートから行なう、そんな基盤が欠かせません。
同様にエンドポイント側にも「統合」という視点が必要になるでしょう。アンチウイルスに資産管理、ログ収集……と、1台のPCに複数のエージェントを導入していては、たびたびアップデートが必要になり、管理者だけでなくユーザーの利便性も損なわれかねません。セキュリティーをビジネスの足かせにしない仕組みが求められます。
ガイドラインを手に経営層とのコミュニケーションを
経済産業省のガイドラインでは、ITをビジネスに直結するものと捉えた上で、セキュリティーへの継続的な取り組みを求めています。ばらばらの部品を組み合わせた多層防御で場当たり的な対応に現場が疲弊し、運用が回らなくなってしまっては本末転倒です。インテル セキュリティでは、より少ない負荷で脅威対策ライフサイクルを回すことのできる仕組みを通じて、継続的なセキュリティー改善をお手伝いしていきたいと考えています。
もし、次に「うちのセキュリティーはどうなってる?」と経営者に尋ねられたときには、個別の攻撃や対策を議論する前にまず、このガイドラインを手にセキュリティーへの向き合い方を一緒に考えてみてはいかがでしょう。自社が抱えるリスクを整理したうえで共有し、それを踏まえてどのような継続的な改善を進めるか、突発的な問題発生時の対応方法や必要となる予算について検討をはじめることができます。事前対策と事後対策の視点を忘れずに現場と経営者がともに重要事項について検討と継続的にレビューするプロセスの構築が第一歩になるはずです。
関連情報
関連製品
- McAfee Security Information and Event Management(SIEM)
- McAfee Active Response
- McAfee Threat Inteligence Exchange (TIE)
■関連サイト
・マカフィーblogのエントリー
・マカフィー