『SOC運用監視の責任者に聞いた』中堅・中小企業セキュリティ対策の勘所

世界を見渡すと、サイバー攻撃の存在感は非常に大きなものとなっています。その最たる例が世界各国における他国への攻撃手段としての採用です。爆弾などの兵器と異なり、物理的な被害を伴わないため、普通に暮らしているとわかりませんが、今この瞬間もサイバー攻撃のパケットは世界中を飛び交っています。そしてその攻撃の矛先は日本にも向けられているのです。

かつて、「〇〇砲」と呼ばれたようなDDoS攻撃が相次ぎ、メディアで話題になっていた時期がありました。最近でこそIT系のウェブメディアなどを除き、あまり取り上げられることが少なくなっているかもしれませんが、事態はむしろ悪化の一途を辿っています。その背景には、世界的なデジタルテクノロジーの普及があります。いまや一人一台のスマートフォン所持は当たり前。スマートフォンなくしては日常生活が成り立たないというユーザーも少なくありません。

IoT機器の一種とされる、スマートスピーカーやスマート電球といったデジタルデバイスの保有台数も増加しています。さらに、ビジネスのシーンにおいても数年前と比べ、デジタルテクノロジーが活用されるようになりました。すなわち、デジタルテクノロジーの土台となるインターネットは、もはや水道、電気、ガスなどと同様にライフラインと呼べるほどになっています。この状況がサイバー攻撃をおこなう者の格好の餌食となり得るのです。

ある日、自分のスマートフォンが利用できなくなったとしたら、どうなってしまうでしょうか。誰にも連絡をとれず、情報も入手できない。さらにキャッシュレス決済機能を利用していれば、支払いなどもできず交通手段も頼ることができなくなるかもしれません。あるいはビジネスで利用しているパソコンが使えなくなったらどうでしょうか。職種にもよるかと思いますが、大きく業務が停滞してしまうことでしょう。実際、2017年5月にランサムウェア「WannaCry」が企業の多くのパソコンに侵入し、企業の情報系ネットワーク等、深刻な被害が発生したのも記憶に新しいかと思います。おどろおどろしい赤い画面が話題となりましたね。
当時のことを米山は以下のように振り返ります。

「私たちが以前提供していた簡易分析サービスで、ある企業の分析をしたところ、WannaCryが侵入した形跡を確認できました。そのお客さまはWannaCryの実害を受けなかったこともあり、私たちからの報告に懐疑的でした。しかし、分析に用いたパロアルト社の機器から抽出したログのレポートを見て納得して頂けました。実は侵入されているのに、特に実害がないと気づかないことが多いのです。私たちの過去の経験を踏まえると、ほとんどの企業が同様の状況にあると考えています。」

最近のランサムウェアは巧妙化しており、攻撃のタイミングまで潜伏を続けるものが多くなっています。昔のように、いかにもマルウェアに感染したことがわかるような挙動をするものはほとんどありません。また、最近のマルウェアは感染したデバイスには直接的な被害を与えることなく、大規模な攻撃に加担させるよう仕組むものもあります。この場合、気づいたら自分たちの所有するデバイスが加害者となってしまうのです。今後、セキュリティ関連の法案が整備されていくにつれ、結果的に加担してしまったような場合も罪に問われる可能性も否定できません。

先の米山の発言にもあるように、実害がないことを根拠に安全とみなす企業は少なくありません。しかし、攻撃への加担などまで含めて責任を求められるようになると、そのようなスタンスでは許されなくなります。また、サイバー攻撃という観点だけでなく、情報漏えいを起こしてしまった場合の企業ダメージも大きなものです。一部のITサービスを提供している企業だけの問題ではなく、日本国内でサービス提供をしている企業のほとんどが、セキュリティ対策と対峙する必要に迫られる時代となったのです。

大規模な企業ではすでに数年前からCSIRTやSOCを社内に設置するようになってきました。社内に専任部署を設け、複数名の従業員を任務にあたらせることは、企業体力に余力がない限り難しいと捉える向きもあるかもしれません。しかし、サイバー攻撃の矛先は大企業に限りません。また、情報漏えい事件の顛末を見れば、むしろ中堅・中小企業のほうが相対的なダメージは大きくなる可能性があります。

『余力があればやる』、ではなく『やらざるをえない』状況に移り変わりつつある中、中堅・中小規模の企業はSOC設置をどのように進めるべきでしょうか。米山はSOCの在り方について主張します。

「セキュリティ対策の重要性が全体的に高まる中で、セキュリティ人材は企業間で奪い合う構図となっています。今後、人材の需給ギャップは今以上に拡大することが確実視されていることを考えると、中堅・中小企業がセキュリティの専門家を社内に配置することは難しいと言わざるを得ません。可能性として考えられるのは見込みのある人材にセキュリティ教育を施すことですが、これも時間を要します。社内に専門家がいなければ、外部に教育も委ねざるをえず、そのコストも多く発生します。また、昨今における人材の流動化を考慮すると、地道に教育して経験を積ませたにもかかわらず、結果、退職してしまうことも想定しておかなければなりません。

そのため、SOCを設置した場合でも、特に専門性が求められる侵入の防御・検知については社外の専門家集団に任せることが多くなっています。特に大企業では自社内に専門家を多く配置するのではなく、防御・検知の部分を外注する企業がほとんどです。社内の担当者は社外のパートナーから上がってきたアラートをもとに社内で対応にあたる、という役割分担です。

企業体力だけでなく、採用力でも大企業より下回ることが一般的な中堅・中小企業にとって、専門性の高い領域は自分たちで抱えず、パートナーに委託せざるを得ない状況です。」

基本的なSOCのアウトソーシングサービスでは、UTMなどの機器で通信を監視し、危険な兆候を見つけ出し次第、アラートを提供します。しかし、その後の対処は各企業に委ねられることになります。例えば、複数のIPから大量のパケットが送り付けられた場合、そのIPを遮断する設定は社内の役割となります。あるいは社内からのパケットで動画閲覧が疑われるものが常態化している場合、その大元のデバイスを特定する行為も社内の担当者がおこなうことになります。後者の場合、外部からの攻撃ではありませんが、動画閲覧が常態化しているとすれば、そのデバイスの利用者が業務を適正におこなっているかを確認する必要が生じることもあります。

また、広報や宣伝部門以外の従業員が長時間にわたってX（旧Twitter）やFacebookなどを利用していることが発見されることもあります。場合によっては従業員が自ら持ち込んだデバイスを社内LANに接続してそういった行動をしているケースもあります。認可されていないクラウドサービスを利用していることが疑われる場合、シャドーITの観点からの対応も考慮しておく必要があるでしょう。

こうした例にとどまらず、防御・検知以降では多くの作業が生じます。そのため、社内ですべてを対応するとなると、かなりの数の人員を必要とします。セキュリティ対策の重要性が高まっているとはいえ、無尽蔵に予算をつぎ込めるわけではありません。自社内で対応する場合、高コストになりがちな防御、検知の役割を外注することは結果的に費用対効果を高めることにもなるのです。

米山は「Q-MSS」サービスの特徴について次のように強調しています。

「社内での対応についても、専門家レベルとは言わずとも、前提として高いセキュリティ知識が求められます。一時期、多層防御の必要性が問われ、UTMなどのセキュリティ機器を導入する動きがありました。しかし、それらの機器からアラートが上がっても、何をすべきかがわからないということになるからです。クエストのアウトソーシングサービスQ-MSSはそのようなお客さまに向けて提供しています。

Q-MSSが一般的なSOCのアウトソーシングと異なるのは、サービスの範囲が防御・検知にとどまらないことです。検知後の対処、例えば遮断するIPの設定、ログを見てアラートに上がらないような兆候を見つけ出すこと、社内ネットワーク上の設定変更などまでおこなうこともあります。さらには、自分たちの業務範囲を超え、お客さまに対して『あるべき姿』の提案もおこないます。すなわち、個々のメンバーが『プロアクティブ』にお客さまの業務と向き合っているということです。」

クエストのサービスはお客さまから、「かゆいところに手が届く」との評価を頂くことがあります。この言葉こそ、米山が強調したメッセージを裏付けています。

2010年代以降、企業におけるデジタルテクノロジーの活用は拡大しています。例えば、製造業の工場ではもともとネットワークは工場内で完結していました。それはインターネットが今のような普及を遂げる前に、工場の自動化が進化していたためです。工場内の産業用ロボットやベルトコンベアなどの制御に関してもファームウェアのアップデートはCD-ROM経由で、というように工場外との通信を前提としていなかったのです。

しかし、インターネットの進展に伴って、工場の現場でもインターネット経由で連携することが多くなりました。企業間でのサプライチェーンが緊密になるにつれ、関係する部品、素材などの在庫管理のために、企業間で連携するようなやり取りも一般化しつつあります。その一方で、インターネットを前提としない前の時代のものだと、ゲートウェイという考えもなく、ネットワーク外からの防御が脆弱なものも少なからず存在します。工場の機器などは高額で、法定耐用年数も長く、その結果としてリプレースまでは古い機器を使わなくてはならないのです。

「歴史のある製造業の企業の場合、社内事情もあり一気に刷新することが難しいことはよくあります。そうした状況を踏まえながら最適解を模索するのが私たちの仕事です。同じ企業でも、工場ごとに独自のルールがあるようなケースもあります。そのルールを最大限優先しながら、セキュリティを確保するための取り組みを提案することが私たちの価値だと考えています。

政府でもデジタルテクノロジーの活用を重要なテーマと掲げていますが、IoTやスマートファクトリーなどの進展もあり、今後の製造業界でもダイナミックな変化が期待されています。そしてその変化は製造業だけでなく、ほとんどの産業でも同様でしょう。しかし、デジタルテクノロジーは活用すればするほど、適切なセキュリティ対策を講じなければリスクが増大します。要するに、今後の進化においてデジタルテクノロジーの活用が前提と考えると、セキュリティ対策もセットで講じていかなければならないでしょう。」と今後の動向を踏まえた話で米山は締め括りました。

日本がこれからも持続的に経済成長を遂げるために、生産性向上は必須条件ともいえます。そのカギとなるのがデジタルテクノロジーの活用。今後の成長を考えるにあたり、セキュリティ対策も併せて考える時代が到来しつつあるのではないでしょうか。