保険業界におけるサイバー攻撃監視態勢のあるべき姿 ブックマークが追加されました
ナレッジ
保険業界におけるサイバー攻撃監視態勢のあるべき姿
サイバー攻撃監視で実施すべき業務とは?
「保険業界におけるサイバー攻撃監視態勢のあるべき姿~サイバー攻撃監視で実施すべき業務とは?~」と題し、デロイト トーマツ リスクサービス シニアマネジャー 高橋 宏之が、サイバー攻撃に関する情報を速やかに収集・分析し、エスカレーションし、各部署と連携しながら対応を進める際のコツを紹介した。
コトが起こることを前提としたリスク管理の仕組みとは
高橋はまず、なぜサイバー攻撃監視態勢が求められているかという背景から説明した。「サイバー攻撃の目的が変化し、かつてのような不特定多数を対象とした場当たり的な攻撃から、特定の組織の情報や金銭を目的に、入念に準備してくる攻撃が増えている。しかもそのターゲットは官公庁だけでなく、金融機関も標的となっている。もはや金融機関にとっても対岸の火事ではなく、重要な経営課題になりつつある」(高橋)。
難しいのは、こうした攻撃は、ファイアウォールやウイルス対策ソフトといった「予防」に力点を置いたソリューションで防止するのは困難であることだ。研修や訓練も大事だが、それでも人間のやることに100%はあり得ない。従って「攻撃を受けるという前提の下で迅速に見つける仕組み、すなわち『発見的統制』が大事になる。発見的統制とは言い換えれば『コトが起こることを前提としたリスクマネジメント』だ。そのためには、早期発見し、適切に対処するための監視の仕組みが必要だ」(高橋)。
組織論で語るのではなく「業務」に着目を
その仕組みこそCSIRTやセキュリティオペレーションセンター(SOC)、あるいはインシデントレスポンスチーム(IRT)ということになるが、「組織論先行で取り組むとうまくいかない」と高橋は釘を刺した。
高橋によると、最近、「自社内にSOCを作りたい」「うちもCSIRTを立ち上げたい」と相談を受けることが増えているそうだ。だが、その議論を進める過程で話が噛み合わなくなることも少なくない。人によって、組織や企業によって、期待する組織像が異なるからだ。
「組織を手段として考えると議論が錯綜するし、この組織の仕事はこういうものだという先入観があると、包括的なセキュリティ監視の中で抜け落ちる部分が出てきてしまう。組織は重要ではあるが、まずは『業務』に目を向け、その業務を明確にした上で取り組まなければならない」(高橋)。
受け付け時のポイント
その上で高橋は、監視態勢に求められるキーワードとして「受付」「即時対応」「恒久対応」の3つを挙げ、各ステップに必要な事柄を紹介した。
まず受付のフェーズでは「とにかくスピードが重要になる」(高橋)。不審な情報を「認知し、受け付けて、切り分けて、連携していく」ことになるのだが、ここで問題になるのは「不審な情報が本当にインシデントかどうかは分からないということ。一時的な変動だったり、明らかな誤検知だったりしないかどうか、あらかじめ定めた一次切り分けのルールに従って切り分け、次につなげていく」(高橋)。
高橋はここで、救急・救命の世界で利用される「トリアージ」の考え方が、サイバーセキュリティの世界でも参考になるとした。例えば、「ブラックリスト上のIPアドレスに合致した通信は『黒』」という具合に色分けして分類することで、迅速かつシンプルに事態を判断できる上、上層部への報告もやりやすくなる」そうだ。問題は黒とも白ともつかない「グレー」の疑わしさをどう判断するかだが、CVEやCVSS、あるいはCAPECといった体系化されたインテリジェンスの属性を判断基準として利用できるという。
こうして切り分けた情報を関連部署や監督官庁との連携・共有にてつないでいくことになるが、「これもまた、何を誰に報告するのか、細かな兆候レベルでも逐一報告するのかなど、報告基準については社内で議論していくべき」(高橋)。
2022年5月公開
※所属や役職などの情報は公開日時点のものです