サイバー攻撃との不利な戦いを乗り越えるポイントは
「自動化」と「訓練」
河野こういった課題の対策として挙げたいのが人間の介在の最小化です。「自動化されたセキュリティセキュリティ対策」を実現できると良いなと思っています。最近話題になっているレジリエンスもその一環として認知されはじめた言葉です。
マイクロソフトでは、フィッシング詐欺などに使われたIPアドレスやそのロケーションなどに関する情報を保有し、法執行機関やセキュリティの脆弱性を管理するさまざまな機関と共有しています。例えば、ID管理基盤のActive Directoryでは、過去に発生した不正ログインに関する情報を保有して、同じ状況でログインしたユーザーにアラートを出したり、ログインをさせないような仕組みを備えています。こうして自動的な対応を可能にするために、非常に多くのイベントを取得し、それを統計した情報をインテリジェンスとして活用できるようにしています。とは言うものの、これにはユーザーのみなさんが情報提供に協力してくださることが必要です。情報がもっとほしいのですが、国内ではそういったセキュリティ情報の活用がうまく出来ていないのではないかと考えています。
名和セキュリティ・インシデントはビジネスの領域でも発生していますが、インテリジェンスの多くは技術的なものばかりで、日本には「事業にどのような被害を与えるのか」といったビジネス視点でのインテリジェンスが少ない状況です。技術的なインテリジェンスが役に立たないわけではないのですが、ビジネス環境は企業ごとに違いますし。
河野そうした情報をどうやって集めるかも課題の一つですね。マイクロソフトでは200以上のクラウドサービスを提供していますが、その中からサイバー犯罪の動向や攻撃者がそうやってマネタイズをしているのか、攻撃の背後にいる組織や人物の傾向といったものが見えてきます。
例えば、情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威」の最新版で「犯罪のビジネス化」が挙げられています。昔はサービス妨害(DoS)攻撃一つを実行するにも多くの攻撃リソースが必要だったのに対し、今では悪意のある人間が攻撃のリソースをクラウドサービスから簡単に購入できるようになって、攻撃の効率も良くなっているわけです。企業や団体は、こうした状況において、いかに攻撃者と戦うかも考えなくてはなりません。
名和数少ない人材で対抗していくための戦略として、「ケイパビリティ・ビルディング」が重要と思います。日本語では「能力向上」と訳されています。
近年は米国や英国で退役軍人がCSIRTに加わるケースが増えています。彼らは「限られた情報から仮説検証を繰り返し、過去からの蓄積情報や関連する事象を最大限活かして本質を見出す」という高度な意思決定訓練を受けています。日本企業の技術者の多くはそういう訓練を受けていませんから、その能力を補う訓練が必要ではないでしょうか。
例えば、米国の緊急事態管理庁(FEMA)が作成した「Homeland Security Exercise and Evaluation Program」や欧州ネットワーク・情報セキュリティ機関(ENISA)のトレーニングが無償公開されています。ただ、日本語の資料がほとんどないため、私の方では、講師となり得る方々に向けた教育プログラム(Train The Trainers等)に取り組んでいます。
河野私は「Certified Information Systems Security Professional(CISSP)」の講師をしています。CISSPの資格保有者はセキュリティの共通言語を持っているので、話が早いんですね。目の前に対策ありきではなく、セキュリティの基本原則として考え方が身に付いているので、「あれをしろ、これを買え」という話ではなく、「原則を実現するために今の技術でできることは何か」という話ができるわけです。
名和企業には本格的な訓練ではなくとも、定期的にセキュリティについてのディスカッションを繰り返してほしいですね。机上演習(危機管理では図上演習)といったものですが、1週間のうち30分でもいいので、IT部門と事業部門が対話をして、相互理解と信頼醸成につなげてほしいと思います。
