地方公共団体に求められる セキュリティ対策と体制強化
サイバーセキュリティの脅威が地方自治体にまで及んでいる現状をふまえ、総務省では地方公共団体セキュリティポリシーガイドラインを改定している。サイバーリーズン・ジャパンでは、重要性が増す自治体の事故対応チーム「CSIRT」を支援する同社のサービスについて紹介した。
サイバーリーズンは、イスラエル国防軍のサイバーセキュリティ部隊の出身者が創業したスタートアップだ。本社は米国・ボストンに、研究拠点はイスラエルに置き、「国防軍で培った高度なセキュリティ技術をもとにした攻撃分析のノウハウを強みにしている」とサイバーリーズン・ジャパン パートナー営業本部 シニアセールスエンジニアの樋口皓太朗氏はいう。日本では東京、大阪、名古屋に拠点を持ち、「180人の社員のうちの多くがセキュリティ運用を支援するメンバーで構成されていることも特色」と述べた。
市区町村にまで及ぶ
サイバーセキュリティ攻撃
サイバーセキュリティをめぐる近年の傾向として、ランサムウェアを使い攻撃を容易に行うことができるようにまとめたパッケージ(RaaS)を利用し、攻撃を行ったうえで復号に金銭を要求するケースが増えていることを挙げた。また、防御側については、DX推進の一方でセキュリティ投資にまで資金が回らず、攻撃対象となり得る領域が増加している現状を指摘した。
2021年秋、ある町立病院においてRaaSで提供されたLockBit2.0というランサムウェアが利用された攻撃で電子カルテが利用できなくなる被害があり、その後攻撃グループから脅迫行為を受けた事例を樋口氏は取り上げ、「グローバルIT企業を狙うようなランサムウェアが今や市区町村に対しても迫りつつある」と警告した。
また2021年初頭に米国水道局を狙った不正侵入と飲料水汚染未遂が発覚したケースでは「ネットワークでオンライン化されオープンシステムと連携する制御系システムが多く利用される状況下では端末と同じように狙われる可能性がある。また、システムが脅威を検知したわけではなく、人が目視で気が付いた点が問題である」と指摘する。
これらの事例から樋口氏は「各種セキュリティ対策を行っていても100%防ぐのは困難」とし、国内企業が発表した調査レポートでも攻撃から発覚までの平均349日を要していること、また、発覚後公表に平均82日を要していることをふまえ、「すり抜けた攻撃は容易には発覚できないし、被害状況、範囲、根本原因の特定が困難」という認識を踏まえた上での対策の必要性を強調した。
攻撃されることを前提にした
対策に重点
これらの課題をふまえ改定された地方公共団体セキュリティポリシーガイドラインには、「サイバー攻撃・インシデント発生を前提に『人・組織』と『サイバー攻撃対策』を重視している」点をポイントとして挙げた。アメリカ国立標準技術研究所(NIST)が提唱するサイバーセキュリティフレームワークはインシデント発生前の「特定」「防御」、インシデント発生後の「検知」「対応」「復旧」という5つの要求機能がある。
改定後のガイドラインでは、これまでの「特定」「防御」から、「検知」「対応」「復旧」に対策の重点がシフトしているとした。中でもインシデント発生時に、正確にインシデントを把握し被害拡大を防止するとともに復旧、CISO(最高情報セキュリティ責任者)への状況報告や報道機関への通知公表などを担うCSIRT(コンピューターセキュリティに関する事故対応チーム)こそが、地方公共団体のセキュリティの要になるとし、「今後5年間の安心安全のためにはCSIRTを中心とした仕組みと体制の強化が必要になる」と述べた。
図 CSIRT強化を支援 必要な仕組みと体制
サイバーリーズン・ジャパンでは、セキュリティリスクの段階に合わせたサービスを提供している
改定版ガイドラインにおいてもCSIRTを中心とした組織体の形成が明確に求められているが、CSIRTに求められる役割・機能として樋口氏は、正確な状況把握と迅速な報告・公表を伴う「各組織とのコミュケーションの中核機能」、入手した情報を元に脅威度判定・判断を行う「インシデントの評価」、情報システム担当者や外部機関に対し適切な対処を支持する「応急措置・復旧の指示」の3つを挙げた。その上でCSIRTを機能させるためには「リアルタイムに状況を把握することが可能な仕組みとインシデントの評価・対応策の指示を支援できる体制・サービスが必要」と話した。
リスク対応3段階それぞれで
自治体担当者をサポート
サイバーリーズンが提供できる具体的なCSIRT強化に必要な仕組みと体制について、樋口氏はまず「検知」「対応」「復旧」に沿いながらサービスを解説した。まず「検知」においては「Cybereason EDR(仕組み)が組織内の端末状況を可視化し、リアルタイムに異常(インシデント)検知するととともに、監視・解析サービスであるCybereason MDR(体制)のセキュ リティの専門家による24時間365日の監視を提供する」。
「対応」においては「インシデント検知時は、Cybereason MDR(体制)が速やかにインシンデントの分析結果を担当者に日本語で伝達し、要約・進行の有無・軽減策・改善策も合わせて報告し、休日夜間であっても脅威度に応じて封じ込め処理を実施する」。さらに、「復旧」においては、「Cybereason未導入の機器や組織を起因とした被害もインシデント終息を専門とするCybereason IR(体制)が調査を支援し改善案の策定・安全宣言までの支援を実施する」と流れを説明した。
インシデント評価・対応指示を支援するメールでは、「脅威度判定に役立つスコアリング」、「影響範囲の特定に必要な端末ユーザ情報」、「報告に必要な要約や進行有無の情報応急・復旧措置や再発防止策に必要な情報」が網羅されており、「CSIRTは当社からの連絡を基に必要に応じてCISOに報告や復旧指示などコミュニケーションの中核としての役割に専念していただくことが可能になる」と支援によって負担が軽減されることを強調した。
従来、インシデント拡大前の検知・封じ込めから被害発生時の状況可視化と分析、そして専門家による解析・対策事項を含めたレポートまで平均で40日を要するところ、同社のサービスを活用することで「検知から現状復旧は即時で、またレポートが必要になるような脅威度の高い攻撃の場合約2営業日で被害範囲や原因の確認が可能」といい、対処期間が圧倒的に短縮化される優位性についても触れた。
自治体担当者からよく受ける「すでにアンチウイルス、NGAVを導入しておりNGAVが振る舞い解析を行うと聞いているが何が違うか」という問いに対しては、「従来型のEPPは一度侵入されると被害が発生するまで気づかないのに対し、当社の製品は侵入から偵察・拡散などダメージが発生する前にいち早く検知・可視化し対処する」と守備範囲の違いを強調する。
最後に自治体関係者に対し「新ガイドラインでは侵入後対策の要素、仕組みと体制面の許可を求めているが、十分な対策が困難な自治体も多い。当社はワンストップで仕組みと体制面の強化を提供することができ、効率的なサイバーセキュリティ対策の提供が可能だ」と呼びかけた。
お問い合わせ先
サイバーリーズン・ジャパン株式会社
URL: https://www.cybereason.co.jp/contact/
この記事に関するお問い合わせは以下のフォームより送信してください。