“レジリエントセキュリティ”を実現するための例
まず、技術面での“レジリエントセキュリティ”の実例を述べる。先にも触れたが予防といったプロアクティブなセキュリティ製品が一般的に導入されている傾向にある。一方、一度インシデントが発生すると、現状を把握することや、どのように侵入されたかなどを把握することは困難を極める。なぜなら、インシデントが発生した後から分析に必要なログを収集し始めるからである。また、一般的には必要なログ情報は残っていないのが現状である。
そこで、サーバや端末の必要なログを保全す導入といったことが重要である。インシデントが発生した際に分析に必要な情報が既に準備できているのと、そうでないのでは、雲泥の差があることは明白である。また、ログを分析することで、把握できていなかった潜在的な組織内における脅威なども確認できる場合もある。
そのほかにも、攻撃者は組織の端末にマルウェアを感染させ、遠隔からさまざまな活動をする。このことを考慮し、“攻撃者に活動をさせにくいシステム構成にする”といったことも、インシデント分析の対象範囲を狭められ、引いては“レジリエントセキュリティ”を実現する一つの要素であると言える。これらのことを積み重ねることが、レジリエントセキュリティの第一歩となる。
また、技術面の“レジリエントセキュリティ”を最大限に活かすための、(エンタープライズ向けの)体制面での“レジリエントセキュリティ”を述べる。まず、経営レベルでサイバーセキュリティ対策を推進できる役職である最高情報セキュリティ責任者(Chief Information Security Officer:CISO)を設置する。当然ながら、単なる役職としてではなく、問題が発生したときには組織横断的に指示・先導し、経営陣にも対等に意見できる人物である必要がある。そのためには、技術や動向にも精通しておかなければならない。
そして、このCISO配下にセキュリティ組織を構築し、セキュリティに関する計画、設計、評価、モニタリングなどを実施していく。モニタリングする部門には、組織内CSIRT(Computer Security Incident Response Team)や組織内SOC(Security Operation Center)を設置し、インシデント検知、問題解決、原状への復旧を迅速に実行していく。
