業務上のつながりを悪用するサプライチェーン攻撃といった高度なサイバー攻撃に有効とされるのがCSIRTの設置だ。しかし、規模の大きくない企業にとって、自社でCSIRTを設置・運用するのはハードルが高いとも言える。この記事では、こうした背景で注目されるクラウドベースで提供されるCSIRTサービスについて解説する。
ますます凶悪化するサプライチェーン攻撃
昨今、企業・組織間の業務上のつながりを悪用してサイバー攻撃を行うサプライチェーン攻撃が高止まりしている。サプライチェーンとは、製品の原材料の調達から製造・販売に至るまでの一連の流れであり、自社だけでなく、部品メーカーや材料メーカー、配送業者、卸業者、小売業者など、製品が製造されて販売されるまでのフロー全体を意味する。また、ソフトウェアなど製品開発における連携をはじめとした一連の商取引など、供給過程において連鎖するやり取りも全般的にサプライチェーンと呼ばれる。
このサプライチェーンを悪用するサイバー攻撃がサプライチェーン攻撃である。サプライチェーン攻撃の侵入を許してしまうと、その被害は自社だけにとどまらず、サプライチェーンに関わる取引先にまで波及していく恐れがあり、過去にも以下のようなインシデントが起こっている。
製造業におけるサプライチェーン攻撃の事例
自社と子会社のサーバーに侵入され、サーバーとパソコンのデータが不正に暗号化されてしまう事態が発生。対処のためにネットワークを遮断したことで製造プロセスに影響が波及。主要取引先の国内全工場が操業停止したほか、関連取引先の工場も一時操業停止になるなど、莫大な被害が生じるに至った。
病院におけるサプライチェーン攻撃の事例
ある給食事業者のシステムにVPNの脆弱性を突いて攻撃者が侵入。その取引先であった病院給食センターを経由して、病院内で使っていた電子カルテシステムがランサムウェアに感染した。その結果、患者の診断履歴や病歴が確認できなくなるだけでなく、二次被害として、メディアに公表されたことで、VPNの脆弱性を放置した組織体制への批判を受け、以降の病院経営にも少なからず影響が生じる事態となった。
サイバーレジリエンスなセキュリティ投資とは
このように、ひとたびセキュリティインシデントが生じてしまうと、事業の継続さえ危ぶまれかねない事態となる。中でも、先述したサプライチェーン攻撃は自社の損害にとどまらず、取引先まで巻き込む可能性もあり得る。
例えば、図1のようにサイバー攻撃が招いた事業停止によって、企業・組織の利益損失は非常に大きなものとなる。サプライチェーン攻撃では最悪の場合、取引先の数に比例して、その利益損失が膨らむ可能性もある。こうした事態は結局のところ、セキュリティ対策に十分な投資をできていない結果だといえる。
図1:未対策の組織におけるサイバー攻撃が招く利益損失(提供元:株式会社網屋)
昨今、「サイバーレジリエンス(Cyber Resilience)」という言葉が聞かれるようになっているが、「レジリエンス(Resilience)」とは心理学の用語であり、「(柔軟性に富む)回復力」、「打たれ強さ」と訳される。サイバーレジリエンスとは、「サイバーリスクを適切にコントロールする力」を意味する。
サイバー攻撃はいつ起こるとも限らない。そのため、投資判断は躊躇されがちだ。しかし、従前から適切な対策への投資を行い、企業・組織をサイバーレジリエンスな組織体にすることで、万一サイバー攻撃を受けた場合でも、利益損失を最小限に抑えることが可能となる。
図2:利益損失を最小限化するサイバーレジリエンスな組織体(提供元:株式会社網屋)
適切な投資により、サイバーレジリエンスな組織体を実現できれば、万一、インシデントによる瞬発的な損失が発生したとしても、スピーディな対応によりトータルの損失を抑えることができ、事業停止や事業停滞の期間を短縮できる。加えて、その後の過度なセキュリティ投資を抑制できるため、トータルでのメリットは大きい。
セキュリティ投資はしばしば保険に例えられることもあるが、過度な備えは経営を圧迫することになりかねない。自社の事業環境や規模に応じて、「ちょうどいい塩梅」の投資が求められていると言えるだろう。
高度化するサイバー攻撃への対抗策としてのCSIRT
サプライチェーン攻撃をはじめ、高度化・凶悪化するサイバー攻撃への対策として改めて注目されているのが、セキュリティインシデントが発生した際に対応する専用チームであるCSIRT(Computer Security Incident Response Team)だ。
CSIRTの業務は、脆弱性情報などの収集と分析、インシデント発生時の対応、社内外の組織との情報共有や連携、平常時の情報リテラシーの底上げを目的にした従業員教育など多岐にわたり、チームのスタッフには高度なセキュリティの専門性、スキルが求められる。
サイバーセキュリティは対処すべき業務範囲も広く、サイバー攻撃がいつ何時に起こるとも限らない。そのため、CSIRTは自ずとチームであることが必須要件となることもあり、リソースが限られる中堅企業では設置、運営のハードルは極めて高くなってしまう。
また、同様の理由で、SOC(Security Operation Center)と呼ばれる組織の設置も大企業以外では容易ではない。CSIRTが実際にセキュリティインシデント発生後の処理をするチームであるのに対して、SOCはセキュリティインシデントを未然に防ぐチームであり、その検知に注力する。
とはいえ、CSIRTやSOCの設置を見送るという判断をしてしまえば、仮にインシデントが生じた場合、事業存続の致命傷となりかねない。企業・組織にとって投資コストと将来の致命的リスクに板挟みされるジレンマとなっている。
クラウドベースのCSIRTサービスとは
先述したようなジレンマが生じている中で、注目を集めているのがクラウドベースで提供されるCSIRTサービスだ。CSIRTの多岐にわたる業務をアウトソースできるサービスであり、サービスによってはSOCが担う、攻撃の兆候を早期に見つけ出すといった領域まで含まれる場合がある。
昨今、増大しがちな企業・組織におけるアタックサーフェスを調査・管理することでセキュリティリスクを軽減、あるいは、脆弱性診断を通じてリスクを洗い出し、その適切な管理を可能とするのがクラウドベースのCSIRTサービスだ。
未然にリスクを洗い出し、その管理を適切に行うことで、サイバー攻撃の予防、そしてインシデント発生時の速やかな対応を可能にする。また、クラウドベースであることから、中堅企業でも導入しやすいサービス形態、費用感となっている場合が多い。24時間365日体制でサイバーセキュリティ専門人材による監視が含まれるものもある。
例えば、中堅企業を主な対象顧客と想定しているクラウドCSIRTサービス「セキュサポ」は、予防・検知・対応の各フェーズにおける適切なセキュリティ運用を提供するサービスだ。
図3:セキュサポのサービス範囲(提供元:株式会社網屋)
セキュサポの主な特長は以下のとおりだ。
経験豊富なサイバーセキュリティ人材がサポート
経験豊富なサイバーセキュリティ人材によるセキュリティ相談窓口があり、日々のセキュリティ相談に対応してくれる。
常時運用はもちろん、インシデント発生時の対応も実施
ログを統合管理し、インシデント発生時も専門チームが迅速に対応する。特に、適切な初動対応を支援し、被害を最小限にとどめることを可能とする。
脆弱性診断、SOC構築運用、人材不足やノウハウ不足を解消
公開しているシステムの脆弱性診断やSOC構築運用までサポートしており、中堅企業でよくありがちな、専門的な人材の不足やノウハウ不足を解消する。
月額固定料金
セキュリティ対策は広範な領域にわたるため、人員を派遣するサービスや工数見積りだと費用が高額になりがちだ。また、緊急対応が発生した際、その対応費用も上乗せになることもある。セキュサポは定額サービスのためイレギュラーな費用負担も発生しないため、中堅企業でも安心して利用できる。
昨今のサイバーセキュリティ事情はメディアの報じるところもあり、広く知られるようになった。こうしたセキュリティリスクへの対処を急務とみなしている企業・組織も少なくないはずだ。しかし、昨今セキュリティ対策への投資負担も高まる一方にあり、及び腰になるのも理解できなくはない。こうしたジレンマを解消するための福音とも言えるのがクラウドCSIRTサービスではないだろうか。
