重要インフラ事業者として、
情報セキュリティ対策の要諦を語る

マルウェアが加速度的に増え、サイバー攻撃も多様化する中で、従来のセキュリティ対策ではエンドポイントを守ることが難しくなっている。全日本空輸株式会社では重要インフラ事業者として、社内のシステムと端末を守るために、長年、高度なセキュリティ対策を実施してきた。同社の和田 昭弘氏と同社が導入中のOSプロテクト型セキュリティ製品「AppGuard」を提供するBlue Planet-Worksの鴫原 祐輔氏、ZDNet Japan 編集長の國谷 武史が求められるエンドポイントのセキュリティ対策について語り合った。

パターンマッチング型、振る舞い検知型、EDR
すべてに残るセキュリティ対策上の大きな課題

國谷:全日本空輸株式会社(以下、全日空)は内閣サイバーセキュリティセンター(NISC)が定める重要インフラ事業者として、情報セキュリティ対策を進めています。その中で様々な取り組みを進めてこられたと思いますが、その経緯をお話し下さい。

和田氏:私は2014年4月に情報セキュリティ担当になりました。その時に問題になったのは使っていたパターンマッチング型のセキュリティソフトがウイルスを検知しないことでした。加えて定義ファイルを更新しようとしても、東南アジアなど回線帯域が狭い支店ではファイルを送るのが難しいので、人を派遣して更新作業をしていました。それだけコストをかけても、均質に端末を守ることができず、はなはだ心もとない状態でした。

 そこで振る舞い検知型のソフトを導入したのですが、攻撃者はそれを逆手にとるように攻撃を高度化させていくのです。新しい振る舞いが出ると、防御を強めるためにバージョンアップが必要になります。ANAグループには131のシステムと約1,000台のサーバー、2万5,000台の端末があります。ウイルス対策ソフトをバージョンアップして各システムでテストし、展開(配信)するので、毎年、多額の費用がかかり、そのコストを何とかして減らしたいと考えていました。

國谷:テストと展開には何ヶ月もかかりますね。

全日本空輸株式会社 デジタル変革室 企画推進部 担当部長 情報セキュリティ・基盤戦略 担当 和田 昭弘氏
全日本空輸株式会社
デジタル変革室
企画推進部 担当部長
情報セキュリティ・基盤戦略 担当
和田 昭弘氏

和田氏:2016年にはウイルスの侵入を完全に防ぐ事は無理だと断念し、侵入前提での防御に切り替えて、EDR製品を導入しました。しかしEDR導入にも課題が発生しました。EDRではウイルス侵入後、対応までの時間を短くしなければなりません。そこでセキュリティの運用監視の体制を24時間365日にしました。また守るためのフレームワークとしてNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)を活用しました。特定→防御→検知→対応→復旧とありますが、セキュリティ運用を行う上で「検知」と「対応」の間に大きな溝があります。「対応」するスタッフには高度なスキルが必要です。業務やシステムを理解し、サイバー攻撃の特徴を理解して優先順位付け、判断や識別しなければならず、それができる人財を育てるのはどこの会社でも悩んでいるところではないかと思います。 その「検知」と「対応」のギャップを埋めるために、「検知」と「対応」の間に「予防(やってはいけないことを阻止する)」という概念を導入することにより、セキュリティ運用における「対応」への課題(時間的制約)、人財の課題(高度な知識)などを軽減できると考えました。

「OSに対してやってはいけないことを阻止する」との考え方を評価、端末2万5,000台に導入

國谷:AppGuardを知ったきっかけを教えてください。

和田氏:2017年初に、当時の上司から「このウイルス対策ソフトがよいかどうか確認して欲しい」と依頼されました。今までの経験から「ウイルスか、ウイルスでないか」を判断するのは大変難しいことは分かっていました。ですから「OSに対してやってはいけないことをさせないようにする」というAppGuardの考え方は新しいと思いました。ただ、本当に守れるか疑問もあったので、調査と共に試験導入をしました。その結果、バージョンアップの展開やそれに伴うテストがなくなり、コストも大幅に削減できる可能性があり、費用対効果が非常に優れているとの結論に至り、2019年3月には2万5,000台の全端末への導入を完了しました。

國谷:サイバーセキュリティへの考え方として、2010年位までプリベンション重視で、その後ネットワークに軸足が移り、最近またプリベンションに戻って来ているという気がします。

和田氏:私たちのようなユーザー企業でセキュリティを担保するには、「ウイルスか、ウイルスでないか」はもはやどうでもよく、その行為を「やっていいか、悪いか」が重要です。これからIoTが普及していきますが、データが爆発的に増え、接続する機器数も多くなる中で、ウイルスかウイルスでないかの従来型のCSIRTやSOCの運用では破綻してしまいます。そこで、「絶対に守る」ものを決め、そこに対する処理が「やっていいか、悪いか」で判断することでセキュリティ事故は少なくなります。

國谷:今までは何か起きた後の事後対応でしたが、それよりもおかしなことをさせないというサイバーハイジーンの考え方が一番シンプルで大切です。

和田氏:はい。サイバーハイジーンの考え方は非常に重要です。端末の構成管理をしっかりとすべきなのですが、大きな会社になればなるほど、非常に難しいところも理解しています。ですから、構成管理の品質を高めていくのと同時に、どこを基軸に守るか、多層防御の中でも軽重をつけて、絶対に破られないという箇所を作る事で、セキュリティ対策の注力ポイントが明確になり、そこに投資することができるようになります。

 またシステムのクラウド化が弊社でも進んできており、従来は専用線を活用したデータセンターの多層防御から、インターネットを活用したクラウドとエンドポイントという形に変わってきている中で、システムとデータを守るためには、PCで発生するヒューマンエラー(ウイルスメールやURLを開封することや、クリックする、誤ってUSBを差す等)を含めて対策する必要があります。上記、ヒューマンエラーがあっても、やってはいけない事を防止するAppGuardでは仕込まれたウイルスの侵入しようとする動作を予防するため、エンドポイント製品に何を選ぶかは大きなポイントだと考えています。

提供:株式会社Blue Planet-works
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2022年5月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]