自社のセキュリティ対策の体制・プロセスを客観的に評価するには?
ジェイアール東海情報システム株式会社(以下、JTIS)は、JR東海グループにおける唯一の情報システム会社として、JR東海およびグループ会社が利用するあらゆる情報システムの構築、運用、保守を担うSI企業だ。鉄道という重要社会インフラを支えるシステムを扱うだけに、同社は早くからセキュリティ対策に力を入れてきたという。
「鉄道事業はサイバー空間のみならず、リアル空間におけるセキュリティ対策にも十分な配慮が必要です。こう した背景もあり、かなり早い段階からサイバーセキュリティ対策に力を入れてきました」 こう語るのは、JTIS 名古屋基幹システム本部長の石川勝隆氏。さまざまなセキュリティ製品を導入して対策を 講じるだけではなく、システムの設計段階からセキュリティを意識した設計・開発を心掛けているほか、セキュリテ ィ対策のための体制作りや人材育成にも力を入れているという。外部のセキュリティ専門会社に頼るのではなく、 極力自社で対策を行えるよう「サイバーセキュリティグループ」という専門組織を設け、10人体制で日々の対応に 当たっている。万が一のインシデントが発生時にも適切に対応できるよう、プロセスの整備や定期的な訓練の実施 など、技術面だけでなく体制面でも対策の強化を続けてきた。
このように、しっかりとした戦略のもとに防御態勢の 強化を推し進めてきたわけだが、その一方で石川氏が感じていたのは、現状に満足せず、常に最新の脅威動向や 技術の進化に追随してセキュリティ対策やサイバー防御態勢を刷新していかなければならない、との思いだった。「自社でできる限りの対策は実施してきたつもりでしたが、果たしてそれは自己満足ではないのか。サイバーセキュリティの専門家の目にどう映るのか、客観的な視点から評価を受けて、その結果を踏まえてさらに改善に生かしていくことが必要だと考えました」 (石川氏)。
同社ではかつて、とあるシステムを開発した際に外部のペネトレーションテストのサービスを利用したこともあ る。しかし、同様のサービスを利用することには、あまり積極的になれなかったと石川氏は話す。
「一般的に、ペネトレーションテストサービスは、ツールを使って脆弱性をスキャン するようなものが大半で、私たちが重視していた『体制・プロセスの検証』という面では物足りないものでした。また不特定多数を狙う『ばらまき型攻撃』に関する情報 収集や注意喚起にとどまらず、私たちのような重要インフラを狙った標的型攻撃に関する知見や、海外の事例や攻撃グループの動向といった情報分析に優れたセキュ リティ企業に、実際の攻撃や侵害対応現場での経験や知見を踏まえた評価をしても らいたいとの思いがありました」
国際的スポーツイベントを見据えた卓上演習を実施
そんな折にMandiantから紹介を受けたのが、同社の各種セキュリティサービスを 年額のサブスクリプションサービスとして利用できる「Expertise On Demand」 だった。これは、あらかじめまとめて購入した「ユニット」を使って、多種多様なサー ビスから必要なものを、必要な時に選択して実行できるもの。いわばサイバーセキュリティのサブスクだ。Expertise On Demandで利用できるMandiantのサービスの中には、さまざまな情報提供サービスや脅威インテリジェントサービス、教育サー ビスなどに加え、インシデント対応の体制やプロセスを卓上演習によって評価する サービスも含まれており、石川氏は「これぞまさに我が社が求めていたものだ」と直感したという。
「特に当時は、国際的スポーツイベントの開催に向けてセキュリティ脅威の増大 が懸念されていた時期でしたので、それまでにはセキュリティ上の弱点を洗い出し て補強しておきたいと考えていました。そこで、海外の重要インフラ企業に対する標 的型攻撃への対応や分析など、実績に裏付けされたMandiantの知見が反映された卓上演習を受けることが効果的だと考えました」。こうして2019年12月、同社はExpertise On Demandを契約し、2020年3月に はさっそく卓上演習を実施する計画だった。しかし、ちょうどその頃新型コロナウイルス感染が拡大し、その余波で海外のMandiantの担当コンサルタントが来日できない事態に陥ってしまう。国際的スポーツイベントが延期されたこともあり、結果的に実施のタイミングも改めて検討することとなる。
翌2021年7月、コロナ禍の終息目処がなかなか見えない中ではあったものの、卓上演習の実施に踏み切った。この時も海外の担当コンサルタントの来日が叶わなか ったため、Web会議を通じたインタビュー形式で卓上演習となった。シナリオは、海外、国内含むMandiantのコンサルタントと石川氏が共同で作成。Mandiantのインシデント・レスポンスにおける最前線の経験と知見を踏まえ、侵害の発生から封じ込めまでを現実に想定し得る具体的なシナリオに落とし込み、そのシナリオに沿 ってJTISのサイバーセキュリティグループのメンバーがコンサルタントからの質問 に答える形で進められた。丸1日かけて行われたインタビューでは、詳細な対応プロ セスを1つ1つ確認されたという。そして後日、演習当日の結果を踏まえた評価結果 と改善策について、コンサルタントからWeb会議で説明が行われた。
「全体的には高い評価をいただき、これまで自分たちがやってきたことが間違って いなかったという安心感が得られました。一方で、一部のシステムでセキュリティ対 策が若干不足しているなど、いくつかの指摘もいただきましたので、優先順位が高 いものについては即座に対応しました。改善策については優先順位を付けた上でアドバイスいただけたので、具体的な対策も取りやすかったですね」(石川氏)
演習に参加したメンバーからも、「侵害対応の最前線での実績を積むMandiant ならではの、高い視座・視点に立ったものの見方に触れることができ、自身のセキュ リティ対策への取り組みが変わった」との声が寄せられているという。JTISが取り組む人材育成の観点でも、良い成果につながっているようだ。
自社の事業環境に特化した脅威インテリジェンスレポートの作成を依頼
JTISではExpertise On Demandを通じて、卓上演習以外のセキュリティサー ビスも積極的に活用している。その背景にあるのは、「自分たちにとって本当に警戒すべき脅威は何なのか」という視点に立って対策を行うことの重要性への深い理解がある。この考えのもと、国際的スポーツイベントに向けたセキュリティ対策強化を 推進する上では、自社およびJR東海の事業に関連するテーマで独自の脅威インテリジェンスレポートを作成するなど、大いに役立ったという。
また、Expertise On Demandは、日々の業務における疑問や課題の解決、情報収集にも役立っている。例えば、国内で大規模なセキュリティインシデントが報道された際には、「自社でも同じリスクは発生し得るのか?」といった点をMandiantの 担当者にメールやチャットでたびたび質問して、貴重な知見を得ることができた。世界中のセキュリティ動向に関するレポートがMandiantより毎日メールで配信されるので、その中から重要と思われる情報をピックアップして社内で共有する取り組 みも始めた。これにより、サイバーセキュリティの重要性を社内に周知・徹底するこ とにもつながっている。今後はExpertise On Demandを通じてMandiantの教育サービスも活用し、社内のセキュリティ人材の育成をさらに推進していく計画だ。
こうしてExpertise On Demandを通じてMandiantのさまざまなサービスを併用することで、当初の目的であった卓上演習だけに留まらず、多面的な情報収集 を通じて自社のセキュリティ対策のレベルを大きく底上げすることにつながってい ると石川氏は述べる。
「サイバー攻撃は、より高度で複雑になっています。Mandiantには、これまで同 様グローバルでの経験や知見、そして意図を持って攻撃を仕掛けてくる攻撃グルー プに対する深い洞察をベースに、今後もサイバー防御力を高めていくためのアドバ イスや具体的な対策を提供してもらうことを期待しています」(石川氏)
※本お客様事例のPDFダウンロードは こちら から