藤原 運用に関して言えば、サイバーインシデントが発生した際の対応手順を作っていない企業も多い。もし、この瞬間に大きな地震が発生したら、皆さんはどうすればいいのかを知っている。机の下に隠れるなど、子どもの頃から避難訓練をして体に染みついている。
サイバーインシデントも全く同じだ。事故発生を起点として、平時の予防活動と有事の事故対応があるが、サイバーインシデントの予防に一生懸命取り組んでいても、実際に起きてしまった際の事故対応が全く考えられていないことがある。また、事故対応の手順があったとしても、訓練ができていなければ事故対応をきちんと実施できるはずがない。
ただ、対応手順を作るためには組織が要る。ガバナンスを効かせ、ルールを作ることが重要になる。
もちろん予防は重要であり、脅威が入ってこなければ何も起きないが、脅威も進化する。われわれがいろんな想定をしたとしても、時には攻撃者側が上回り、100%は守り切れないことを想定して、攻撃を受けた後の対処、つまり事故対応を考えていく必要がある。
ファイアウォールやEDR(Endpoint Detection and Response)など、さまざまなセキュリティ製品を導入することは大事なことだが、基本的にこれらは脅威が入って来ないようにする予防観点のソリューションだ。
サイバーインシデントが起きた後は、製品だけではカバーできない部分が非常に大きい。
佐々木 重要インフラなどに関しては、NIST(National Institute of Standards and Technology、米国国立標準研究所)のCFS(サイバーセキュリティフレームワーク)などを参照して、それなりに考えられてはいる。ただ、一般的には予防に寄りすぎて、事故対応は考えられていないケースがほとんどだ。
われわれのWebサイトで無料で行っている簡易診断でも、訓練に関する部分はスコアが悪い。サイバー要因で事故が起こった時の手順を定めていなかったり、訓練をしていなかったりする企業は多い。
藤原 OT領域もFA(ファクトリーオートメーション)とPA(プロセスオートメーション)に大きく分けることができるが、PAに当たる重要インフラは万が一の際の事業リスクが非常に大きい。火災が発生すれば爆発が起きたり、環境汚染を引き起こしたりするため、それらを常にケアしながら操業している。[被害の大きさ]×[発生確率]でリスクを判断し、全て数値化して優先順位を付け、高い方から対応していく文化ができてるケースが非常に多い。
FAに、重要インフラと同じようなリスクはないと言うつもりはないが、比較的事業リスクが小さい場合が多く、例えば設備が止まっても1日で復旧できたり、大きな爆発のような被害は起こったりしないとなると、サイバーインシデントに関連してそれらの対応を考えるという感覚は通常のオペレーションにはない。
われわれはリスクベースの技術対策導入方針として、境界防御と統合管理/資産の可視化とモニタリング/セグメンテーションと脅威保護/アクセス制御/未知の脅威への対策/対応の自動化の6つを提唱している。
例えば境界防御を怠ると何が起こるのか。一時期、境界を分離するための手法の1つとして考えられていたことがあり、われわれも現場でNIC(Network Interface Card)が2枚刺されたサーバを見ることがある。
ただしこれは、攻撃者側がサーバまでたどり着けば、2つのネットワークを自由に行き来できるようになってしまう。NICの片方がインターネットに抜けている場合もある。こうなると、脅威が入ってくれば即座に広がってしまう可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.