ISO NEXT
Next focus
スペシャル対談 セキュリティ部門のプロとISOベテランコンサルタントが話す情報セキュリティの新たな潮流
松本 克之
株式会社システム技研 専務取締役。セキュリティ事業・RPA事業・SES事業をメインに幅広い業種のお客様を支援している。労働人口の減少や働き方改革へ対応すべく、業務の自動化に最適なRPAやシステムを提案し、お客様から厚い信頼を寄せられている。
結石 一樹
ISO・ISMS・プライバシーマークに関するコンサルティング歴10年、担当企業数380社。大手の企業や上場企業のサポート経験が豊富。効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。
ISO27001改訂と脅威インテリジェンスの重要性
どこまでセキュリティ対策を施すべきか?
松本
弊社もISO27001を認証取得しているので内容は存じています。脅威インテリジェンスという言葉自体、よく耳にするようになりましたね。
結石
そうですよね。
新規格である2022年版での審査がはじまっていますが、脅威インテリジェンスの部分について細かくチェックする審査員も多いという情報が入ってきています。情報収集・分析だけじゃなく、対策しているかどうかまで見られるそうです。アクションを重視しているんですね。
コンサルティングする中で、日々、お客様のセキュリティ対策についてお伺いする機会がありますが、「なんらかのウイルス対策ソフトが入っていたら大丈夫でしょ?」という認識の方が多いです。無料のセキュリティソフトを入れているだけの方もいらっしゃいますが、情報セキュリティの対策って、どこまでやるべきなのでしょうか。
松本
難しい問題ですよね。
無料のウイルス対策ソフトと有料のものの違いって、
- 対応しているウイルスのパターンの数
- 対応しているウイルスの最新度
- 対処するまでの時間
が異なってるんですよね。
ウイルス感染って火事に似ていて、対処するまでの時間が短ければ短いほど鎮火できるんです。燃え広がったら対処できない。
対処時間の速さが性能の差になってきます。
結石
有料と無料のものの違いをあまり分かっていなかったので勉強になります。
ニュースや掲示板サイトを見ていると、毎日のようにサイバー攻撃や情報漏洩のニュースが流れていますよね。
松本
そうですよね。最近特に恐いのはランサムウェアです。
ランサムウェアとは・・・
コンピューターシステムに不正に侵入し、ユーザーのデータを暗号化して利用できない状態にした上で、解除するための身代金を要求するマルウェアの一種。ランサム(身代金)とソフトウェアを組み合わせた造語。
結石
ランサムウェアもどんどん巧妙になってきているとか。
松本
そうなんです。
こわがらせるつもりはないんですが(笑)、すこし事例を紹介させてもらいますね。
数年前ではありますが、大手のゲームメーカーK社がランサムウェアで大損害を被りました。
K社はこれによって、メールだったりファイルサーバーが利用できなくなってしまい、業務停止に追い込まれました。
さらに顧客や取引先の個人情報まで流出してしまい、流出した個人情報は確認されただけでも約15,000人、推定で最大39万人にも及ぶと報告されています。
結石
自社がそんなことになったら一体どうなってしまうのか…、考えただけでも恐ろしいです。被害者にとっては大きな精神的・経済的ダメージとなりますよね。とんでもない脅威です。
ターゲットとしては、やはり大手企業が狙われやすいのでしょうか。
狙われているのは大企業だけではない
松本
警視庁が発表した2021年のランサムウェア被害件数を見ると、全体で146件のうち大企業が49件(34%)、中小企業が79件(54%)、その他が団体等でした。
結石
半数以上が中小企業なんですね。
勝手なイメージで、大企業とか上場企業ばかり狙われているのかと思っていました。
松本
事業規模を問わずランサムウェアの被害が発生していますね。企業のサーバーが直接攻撃されるケースも多いみたいです。
防御が強固な大企業の端末ではなくて、グループ会社の末端の小規模な組織のセキュリティが行き届いていない端末を狙うそうです。
いまは中小企業であっても全く油断できませんよと皆さんにお伝えしています。
結石
意図してセキュリティが弱そうなところから攻めるということですか。
グループ会社やパートナー企業さんなどは警戒が必要ですね。
松本
はい。
感染経路は、テレワーク勤務などで利用される「VPN機器からの侵入」が最も多く、続いて「リモートデスクトップからの侵入」、「不審メールやその添付ファイル」の順となっています。
リモートワーク普及によってランサムウェア被害も増えているそうなので、自宅やカフェ、共有スペースなど社外でサイバー攻撃を受けるリスクも高まっていると言えますね。
クラウドストライクとは
結石
システム技研様もセキュリティ事業を行われていますが、取り扱われている『クラウドストライク』とはどのようなセキュリティ製品なのですか?
松本
まず第一に、従来のセキュリティソフトとは全く仕組みが異なるものです。
既存のセキュリティ製品は「パターンマッチング」といいまして、該当するウイルスに対応したパターンファイルというのを各端末に当てていないと対応できない、いわゆる「この症状に効くこの風邪薬でないと効かない」というものなんですね。
一方クラウドストライクというのは、クラウド上でパソコンのOSの振る舞いというのを常時監視していて、通常と違う動きをしたときに「何かおかしいぞ」「異常が起きている」と検知が入る仕組みになっているんです。
クラウドストライクはアメリカの製品であり、ハッカー集団とか敵対国とか世界中の攻撃者に関する情報を常に集めており、それこそ最新の脅威インテリジェンスを保有しています。また、AIで機械学習もさせており、パターンファイルというのを入れてなくても最新の脅威に対抗できるようになっています。
従来のセキュリティソフトだと、最新のバージョンを入れていない人は少し古いウイルスでもやられてしまう可能性がありますが、クラウドストライクだとそういうことがない。
結石
たしかにウイルス対策ソフトって更新する必要がありますよね。
松本
クラウドストライクは更新の必要がないんです。1回インストールすればあとは何もしなくて良い。
結石
その差は大きいですね。お客様に「更新されていますか?」と尋ねると更新されていないケースがしばしばあります(苦笑)
松本
クラウドストライクは更新の必要もありませんし、さらにスキャンという概念もありません。
従来の製品は1日1回ハードディスクスキャンの時間があって、スキャンしておかしいものがないかチェックするんですが、その間動きが重くなるし長引くとPCが使用できない時間が発生したりします。
結石
忙しい日に限ってパソコンが重くなったりしますよね。更新やスキャンが不要ということは、社内にITリテラシーが高くない方がいても安心ですね。
松本
や、そうなんですよ。まさにそのような会社さんには最適です。
大手の企業では情シス部門とかで端末ごとに最新のウイルス対策ソフトが入っているか管理されていますよね。
そういう場合は専用のサーバーが必要なんですが、クラウドストライクは専用サーバーも不要です。ブラウザで管理者としてログインすれば管理できるので管理工数が激減しますね。期限やバージョン管理の必要もないです。
対処スピードも段違いで、攻撃が実行された瞬間に隔離されます。従来のセキュリティ製品の2倍くらいの値段がかかることだけが懸念にあがるポイントです。
結石
やはり品質が高いだけ価格も上がりますよね。
松本
はい。
あと、最初に「脅威インテリジェンスが審査項目に追加になった」というお話がありましたが、クラウドストライクであれば脅威の分析もできます。
もし攻撃された場合も、ログが出るのでどこから攻撃されたか残るので、どこにどのような対処を行えば次から防げるかも分かります。
ログの解析は難しいのでクラウドストライクに取得・解析してもらえるオプションもあります。繰り返しになりますが、速度と対応できるウイルスの種類を考えるとクラウドストライクは突出しています。
結石
聞けば聞くほどISO27001認証をとられている企業さまにピッタリですね。
ISOコンサルティングチーム内でも共有させていただきます。
松本
セキュリティ対策をどこまでやるべきかというのは、組織の状況とご予算にもよりますので一概に結論は出せませんが、最新の脅威に関する情報収集は怠ってはならないと思っています。
最終的には、セキュリティ対策は組織のリスク許容度やビジネス目標とのバランスを取りながら、継続的な改善を行うことが重要です。
結石
今日はセキュリティに関して深いお話をお伺いできて非常に勉強になりました。
ありがとうございました。
松本
こちらこそありがとうございました。
ISO新規格への移行で疑問が出てきたらまた相談させてください。
結石
情報セキュリティに関するISOであるISO27001(ISMS)が昨年アップデートされ、2013年版から2022年版へ改訂されました。新たに11項目の管理策が追加になったのですが、そのひとつに、5.7脅威インテリジェンスという管理策があります。
内容を簡単に述べると、
情報セキュリティの脅威に関する情報を収集・分析し、それを基にした対策を立てること
というものです。
最近サイバー攻撃の手法やツールがますます高度になり、受動的なセキュリティ対策ではついていけなくなっていますよね。