サプライチェーン全体でレジリエンスを強化し、サイバー攻撃から事業を守り、好循環を生み出す! 【JAPANSecuritySummit 2024 日立ソリューションズセッションレポート】
日本ネットワークセキュリティ協会(JNSA)のレポートによると、ランサムウェア被害の平均は2386万円という大きな金額になっている。警察庁でも被害概況を公表しているが、企業規模や業種に関わらず、まんべんなく被害が広がっていることが分かる。IPAの情報セキュリティ10大脅威でも2022年から3年連続でランサムウェアによる被害がトップだった。さらにサプライチェーンの弱点を悪用した攻撃も2年連続で2位になっている。日立ソリューションズ セキュリティマーケティング推進部/Security CoE 扇 謙一氏がサプライチェーンのレジリエンスの強化という観点から解説した。
復旧時間を短縮するサイバーレジリエンスはデジタル時代の重要課題に
いまやサイバーセキュリティ対策は、企業・組織にとって事業継続性を左右する重要な経営課題の一つになっている。万一、何かインシデントが発生した場合、困難な状況から柔軟に回復するために「サイバーレジリエンス」の強化が求められるようになった。
NIST(アメリカ国立標準技術研究所)によると、企業が備えるべきサイバーレジリエンスには「予測力」「抵抗力」「回復力」「適応力」という4つの力が必要になるという。縦軸に事業稼働率、横軸に時間をとって、インシデント後の対応を図示すると以下の通りになる。
折れ線グラフのように、ランサムウェアに感染して事業が止まってしまった場合に、そこから回復、復旧までに時間がかかる。しかしサイバーレジリエンスを適用することで、水色のグラフのようにダメージを極小化し、縮退運転しながら迅速にシステムを回復させることで、全体的な稼働率を維持できるようになることがわかるだろう。
悪意ある攻撃者に対して常に先手を! 4つの対策でセキュリティを万全にする
では、ランサムウェアの攻撃から、先手を打って自社システムを守るには一体どうすれば良いのだろうか? まずランサムウェアに感染する原因として挙げられるのは、VPN機器やリモートデスクトップからの侵入、取引先やグループ会社を踏み台とした攻撃だ。その結果として、複数の重要サーバーやPCが被害に遭い、事業停止に陥ったり、バックアップシステムにも被害が及んでしまう。これらは、セキュリティリテラシーの低さや運用体制の弱さに起因するものと言えるだろう。
そこで対策のポイントとしては「情報資産・脆弱性管理」「サプライチェーンセキュリティ」「ダメージの局所化」「被害からの迅速な回復」が挙げられる。
まず1つ目の情報資産・脆弱性管理については、分散した膨大な数の情報資産が可視化されずに放置され、セキュリティ運用のプロセスがなかったり、守られていなかったり、ツールが多様化して複雑になっていたりしているという課題がある。そもそも脆弱性対策の重要性が理解されず、専門人員が不足したままで、対応が追い付かないのだ。
この課題に対して「サイバー資産攻撃対象領域管理」(以下、CAASM:Cyber Asset Attack Surface Management)の必要性が高まっている。このCAASMとは、企業の資産や脆弱性を絶えず可視化・分析・管理し、サイバー攻撃のリスクを軽減するセキュリティフレームワークだ。管理されていない資産、たとえば各事業部門で契約しているクラウドサービスなどは未承認のシャドーITになってしまう。CAASMにより、これらを洗い出し、リアルタイムに可視化して、対策優先度の高い脆弱性を自動で継続的に管理できる。グループ企業や工場拠点などの資産管理ツールが未統一でも網羅的に管理することが可能だ。
2つ目のサプライチェーンセキュリティに関しては、グループ企業や関連企業に対してセキュリティ対策状況をレーティングにより可視化し、どこにリスクが潜んでいるのか点数を付けて優先順位を明確にしてから対策に着手することが大切だ。日立ソリューションズでは、大手製造業など取引先のセキュリティ評価支援サービスを提供している。ここでは評価基準をベースにしたチェックリストを100超のサプライヤーに配布し、自己評価後にリスクが高そうな企業を対面で監査した。
また海外拠点に対してのセキュリティアセスメントンのニーズも高まっている。というのも海外でのセキュリティ対策状況は見えづらく、誰がITを管理しているのかも明らかでないケースもあるからだ。そこで海外各社に現地訪問し、4段階のフェーズでセキュリティ状況を調査。明らかになった課題のレポート作成と、報告会の開催、さらに改善までを支援する。大手の製造業、情報通信業、サービス業、商社などで実績があるものだ。
3つ目のダメージの局所化では、マルウェアが拡散しないように「マイクロセグメンテーション」を実施する。理想的には社内の各システムにファイアウォールを設置したり、SASEを中心としたアクセス制御により、独立したネットワークを組むという手があるだろう。ただ万が一、社内システムに侵入された場合に備えて、同社では特権ID管理ソリューションの「ESS AdminONE」や「SeccureCube Access Check」を用意。サイバー攻撃が成功すると、攻撃者は何でもできるアドミニストレーターの特権権限を奪取する。そこで暫定対策としてクラウドも含めて特権ID管理を厳格にする。特権IDを利用する場合は事前にパスワードを隠蔽しておき、使う都度にID申請可を行う仕組みだ。また操作ログも取得しておき、異常を検知できるようにしておく。
被害からの迅速な回復では、攻撃者は身代金を獲得しやすくするためにランサムウェアを使ってバックアップシステムのデータを暗号化する。そこでシステム自体を強化し、ランサムウェアの不審な動きをブロックするデータ回復ソリューションも登場している。また可能な限り複数世代のバックアップを取って暗号化データの上書きを防止。さらに暗号化データが混在しても、EDRやMDRサービスによって、感染の日時や端末、暗号化ファイルを調査し、迅速に回復用データを見つけて正常に回復できるようにする。
このほか組織力を強化するために。サイバーレジリエンス教育も重要になるだろう。最近ではインシデント対応の強化や、全社のセキュリティリテラシーの向上、事業別のセキュリティ推進体制の構築などのニーズもあり、同社でも教育サービスを提供している。
サイバーレジリエンス強化に向けた準備として、3つの守りを固めておこう!
サイバーレジリエンスの対象は、まずは情報資産ということでIT/OTのセキュリティが強化の筆頭に挙がるのだが、それ以外にも事業継続性を高めるために商品や提供価値を守る製品セキュリティや、バリューチェーンを守るためのサプライチェーンセキュリティも重要になる。それぞれの具体的な施策を以下に示す。
こういったセキュリティに関しては国際的な制度や規制も登場している。製品に関するものとしては「ISO/ISA21434」、船舶系では「IACS UR E26/E27」、半導体系では「SEMI E87/E188」、欧州の「EUサイバーレジリエンス法」、経産省の「IoT製品に対するセキュリティ適合性評価制度」などが挙げられる。これらの制度はビジネスや取引にも大きな影響を与える。
たとえば国内の動きをみると、経産省の「IoT製品に対するセキュリティ適合性評価制度」では、インターネットプロトコルを使用する通信機能を持つIoT製品全般を対象とし、セキュリティを4段階に規定してレベルに応じた要件を評価する。適用時期はレベル1(IoT製品としての最低限の共通セキュリティ要件)が2025年3月から自己申告制でスタート。10月以降は政府機関などにより、調達要件の必須化が始まるようだ。その後レベル2以上が制度化され、レベル3と4は第三者機関による認証も求められる予定だ。
こういった製品への規制だけでなく、主にサプライチェーンや国のシステムに関わる全体的なセキュリティ面の制度として「経済安全保障推進法」(機関インフラ役務の安定的な提供の確保に関する制度)や「サプライチェーン強化に向けたセキュリティ対策評価制度」が挙げられる。
経済安全保障推進法は、経済活動に関する国家・国民の安全を害する行為を未然に防ぐことを目的に、半導体や医薬品などの重要物資や、国の基幹インフラの安定供給、先端的な重要技術の開発支援、特許出願の非公開に関する制度などが規定され、すでに制度が始まっている。対象分野は生活への影響が大きい電気・ガス・水道・鉄道・空港・電気通信・放送・郵便など15分野で、特定重要設備の導入業者や維持管理を行う業者に対して、リスク管理の措置と、その対象範囲(サプライチェーン)の確認が求められている。
もう一つのサプライチェーン強化に向けたセキュリティ対策評価制度は、サイバー空間の強靭化(レジリエンス)の確保に向けて、中小企業を含めたサプライチェーン全体で対策を底上げすることが目的で現在まさに策定中だ。ここではサプライチェーンのセキュリティ対策状況を5つ星で評価し、適切な対策を講じているかを自己宣言、あるいは外部で認定する(4つ星以上)。これにより企業のセキュリティ対策レベルが可視化されるため、適切な外部評価が行われて、取引先として相応かどうかを判断できるようになる。
このようにサイバーレジリエンスを強化していくことで、投資家・サプライチェーン・消費者から高い評価や信頼が得られることになるだろう。そうなれば企業の業績も良くなり、株価も上昇し、優秀な人材も集まってくる。そして事業継続性が高まり、好循環が生まれてくるわけだ。ある意味ではESG投資のガバナンスの1つとしても捉えることができる。日立ソリューションズでは幅広くセキュリティ全般の課題に対して、ニュートラルなスタンスで情報を提供しているので、何か困りごとがあれば是非ご相談してほしいとしている。