今や、サイバー攻撃の対策は、どの企業にとっても経営課題となっており、サイバー攻撃に関する記事が日経新聞の一面を飾ることも多くなっています。 一方、多くの経営者にとって、サイバー攻撃への対策は、どうしても分かりにくい、専門家に任せておけば大丈夫、といったことになってるケースが多いと思います。 そんな中、「サイバー攻撃対策の担当者に指名されたのですが、何から手を付けていいか分かりません。具体的な方法を教えてください」という質問をいただきました。 こういった疑問にお答えします。
【完全初心者向け】素人でも分かるサイバー攻撃対策の始め方
✔サイバー攻撃対策の始め方
①守るものを特定する。(識別)
②守り方を検討する。(防御)
③サイバー攻撃の検知方法を検討する(検知)
④検知した攻撃への対応方法を検討する(対応)
⑤対応後の元に戻す方法を検討する(復旧)
✔記事の信頼性
この記事を書いている私は、実際に大手上場企業で10年間にわたり、サイバー攻撃の担当を担っています。
✔読者さんへの前置きメッセージ
この記事では、上司から急にサイバー攻撃担当者に指名されてしまい、「これからセイバー攻撃担当者として頑張りたいけど、どこから手をつけていいか分からないよ」という方向けに書いています。
この記事を読むことで、「サイバー攻撃への具体的な体制の作り方から必要な対策の実施方法」までをイメージできるようになると思います。
では、さっそく見ていきましょう。
①守るものを特定する。(識別)
この「守るものを特定する」ということが、何より大切です。
いくら高価なファイアーウォールやウィルス対策ソフトを導入しても、何を守るのかが不明確では、サイバー攻撃の対策は前に進みません。
登る山を間違えて登り始めてしまうと、頂上に上ってから、「あ、登山はあっちだった」ということに気づくことになるかもしれません。
登る山、つまり、サイバー攻撃から「何を守るのか」これを最初に時間をかけて特定することが重要です。
「守るものの特定方法」守るものは企業ごとにことなるため、一概に何とはいえないのですが、各社が定める「機密情報」の定義および個人情報は、最低限「守るもの」として特定する必要があります。
これに加え、情報漏洩しても問題ないが、改ざんや破壊されると企業の運営に大きな影響をあたえるデータも「守るもの」に加えるべきであるといえます。
②守り方を検討する。(防御)
次は、「守り方」の検討に入ります。
ここからは、所謂、システムエンジニア(SE)の仕事になります。
つまり、「守るもの(データ)」をファイアーウォールやウィルス対策ソフトを導入して、検知・防御できるようにすることになります。
ネットワークやデータベースの知識を既にもっている方であれば、自分や自分のチームで検討を進めることができますが、そうでなければ、この分野はシステムベンダーに外注することも可能です。
ここのセキュリティツールをベンダーからの提案のままに場当たり的に導入してしまうと、後のフェーズの検知の際、あちこちのツールを確認することが必要になってしまうため、ツール群の組み合わせについては、ベンダー任せにせず確認することが大切です。
③サイバー攻撃の検知方法を検討する(検知)
守るものを特定し、ファイアウォール等による守り方を決定・導入したら、サイバー攻撃が来ていないかを日々監視していくことになります。
つまりお城でいえば、見張りを立てるイメージです。その役割は、一般にSOC(Security Operation Center)とよばれます。この見張り役は24時間365日、立たせておく必要がありまうので、社員だけで対応するのは困難な企業が多いと思います。その場合は、SOCの、アウトソーシングサービスがありますので、それを利用することも検討しましょう。
④検知した攻撃への対応方法を検討する(対応)
さて、ここまでで「特定」「防御」「検知」と話を進めてきましたが、サイバー攻撃から会社を守るということからすると、次の「対応」が最も重要となります。
つまり、いざ、サイバー攻撃を受けていることを検知した際、如何に迅速にかつ適切に対応することができるかが企業にとって、とても重要です。
ここを間違えると本来、被害者であるハズの企業が世間から非難されてしまうことになるのです。
日本年金機構がいい例だと思いますが、マスコミ対応を含め、世間から「必要なことを迅速におこなっている」という印象を得られる対応が不可欠となります。
逆にそれができていれば、仮に情報漏洩を起こしたとしても、結果として、あの企業はしっかりした対応ができているという良い印象を残すことも可能となります。
「対応」にあたるチームは、一般に「CSIRT」(Computer Security Incident Response Team) と呼ばれます。
CSIRTの作り方は、「総務部」「経理部」のように常設の組織とするケースもありますが、必要な時に必要なメンバが集まる「バーチャル組織」とするケースもあります。
後者は、言ってみれば、普段は八百屋や公務員をしている人が火事がおきると自営消防団として集まるイメージに近い組織です。CSIRTの作り方については、日本最大のCSIRT団体である「日本シーサート協議会」が発行している「CSIRT構築から運用まで」という本がとても参考になります。
CSIRTについては、多くの著書がでていますが、具体的なCSIRTの役割を丁寧に書いてある本として「CSIRT構築から運用まで」は必ず一度は読んでおくバイブル的なものであるといえます。
⑤対応後の元に戻す方法を検討する(復旧)
最後に、復旧について、触れたいと思います。サイバー攻撃により、被害を受けた場合は、その対応を迅速に行うことが大切ですが、それで終わりではなく、速やかにもとの状態に戻し、業務を再開できるようにする必要があります。 対応までは、必要な手順を決めマニュアルも整備したという場合でも、ともすると復旧は「その時に考えればいい」となりがちです。しかし、ここを事前に検討しておかないと、業務再開までに想定以上の時間がかかってしまうことが、これまでの多くの事例でわかっています。復旧について検討する場合、最大のテーマは、バックアップの取得方法と復旧方法になります。 ここを事前に検討しておかないと、いざ実際にデータを戻す場面になって、戻せないということが発生しかねません。必ずバックアップの取得有無の確認を日ごろから行うようにしましょう。
経営への説明
ここまで、具体的なサイバー攻撃への対応について説明してきました。小さい組織であれば、これで十分ですが、少し大きい組織になると、実は経営への説明という業務が大きなポイントとなってきます。多くの経営者にとって、サイバー攻撃への対策は、どうしても分かりにくい、専門家に任せておけば大丈夫、と考えたいテーマですが、経営者の理解なくして、サイバー攻撃対策は進まないというのも事実です。そこで、経営者とのコミュニケーションが非常に大事となります。この分野については、金融ISAC専務理事鎌田敬介さんが書いた「サイバーセキュリティマネジメント入門」を読むのをお勧めします。この本は、サイバー攻撃の問題について、経営層を含む組織の管理にかかわる方々に対して、技術的な要素を極力排除して解説しているので、経営層への説明を行う際に大変参考になる内容となっています。
まとめ
本記事のまとめです。本記事では、サイバー攻撃対応の担当に急に指名されてしまった方を対象に、どのように対策を始めるかについて、記載してきました。
勉強されている方にはお馴染みですが、この5つのステップは、アメリカのNISTという団体が発行しているNISTサイバーセキュリティフレームワークに基づいています。
このフレームワークは、今や世界の標準(デファクト)になっているといってもよいものです。英語が読める方は、NISTの原文が無料で読めますので、以下を参照してください。
https://www.nist.gov/cyberframework/framework
日本語がいいという方向けには、IPAのサイトに翻訳版がありますので、こちらも紹介しておきます。
https://www.ipa.go.jp/files/000071204.pdf
コメント