いま事業会社に求められるセキュリティ対策

いま事業会社に求められるセキュリティ対策

2022年6月13日に開催されたCTOmeetup。今回のテーマはずばり、「いま事業会社に求められるセキュリティ対策」です。現在各社のWebサービスセキュリティ強化は重要課題の一つですが、実際には目の前の開発や売上に追われて、後手に回ってしまうケースが少なくありません。
そこで今回は、長年企業のセキュリティ対策に向き合ってきたスペシャリストの3名にご登壇いただき、実際に彼らが経験してきたインシデントの事例やセキュリティに対する考え方などについて、たっぷり語っていただきました。

<パネラー>
●増村 洋二氏
●古見 大介氏

<モデレータ>
●渡辺 洋司氏

実際に起きたセキュリティ問題と解決事例

【事例1】ADを乗っ取られ海外のハッカー逮捕にまで至った

渡辺:皆様、本日はよろしくお願いします。まずは実際に起きたセキュリティ問題と解決事例というテーマでトークセッションに入ります。
企業にいるとセキュリティ事件はいくつか起きると思いますが、大体はメールの誤送信やノートパソコンを外に置いてきたなど、日常的な事案が多いですよね。今はオンプレミスでサーバーを使っているケースが少ないので、サーバーのインシデントも少なそうです。
そんな状況はありつつも、まずは事業会社でいろいろな経験されたであろう増村さんに、お話しいただける範囲内で大変だった事件について聞いてみたいと思います。

増村:私がここ20年セキュリティの仕事をしていて一番ひどかったのは、Active Directoryを乗っ取られた事件です。時期的にはかなり昔です。社内にところどころおかしな痕跡があったので辿っていったら、結果としてADが乗っ取られていたとわかり、大騒ぎになりました。
当時は会社の方針でセキュリティ対策を強化していましたし、不正アクセス事案は徹底的に追求するムードがあったので、この事件では最終的に国際司法の協力を仰ぎ、海外のハッカーを捕まえるに至りました。
ADはシステムの本丸と言ってもいいので、そのほかのサーバーよりも障壁は高めておくべきだと実感しましたね。

渡辺:すごい活動ですね。どんなメンバーで対応したんですか?

増村:リーガル、セキュリティ、サーバーサイドのメンバーに加えて、外部のローエンフォースメントと弁護士事務所も頼りました。また、当時たまたまお付き合いのあった当該国の弁護士を介して、現地の司法機関にまでアプローチできた形です。
通常、海外事案ではここまで上手く逮捕には至らないものなので、ラッキーでした。

【事例2】自社のフィッシングサイトが検索ワードでSEO上位を独占

増村:あとは、大規模なフィッシング事案も記憶に強く残っています。

渡辺:会社のメールアドレスにフィッシングメールが来るような事案ですか?

増村:いえ、会社として提供しているサービスサイトを完全に模倣されたパターンです。調査によって、やはり海外からの痕跡があるとわかりました。日本語を流暢に扱っており、個人情報を入力させるフィールドを用意していましたね。
テイクダウンを依頼しても別のサーバーで少しデザインを変えてまたサイトが立ち上げられて……の繰り返しで、「スーパーイタチごっこ」でしたよ。実際に個人情報を入力してしまったお客様もいて、なかなか難儀な事件でした。

渡辺:このフィッシング事案は、お客様からの声で発見に至ったのでしょうか?

増村:そうですね。キーワード検索をすると偽サイトが上位に上がってくる状態だったので、「Google検索でサービスを利用しないでください」という啓発をしました。SEO対策をされてしまい、上位10件が全て偽サイトだった瞬間もあったくらいです。

渡辺:検索上位に表示する仕込みはなかなか大変ですから、キーワードを買っていたのでしょうね。

増村:わかりませんが、一定の資金を持って活動をしているはずです。かなり組織的ですし、今も積極的なリクルーティングが行われているのではないでしょうか。
こういった攻撃に対しては、いわゆる専守防衛になります。日本は法律上、不正アクセスの防御のために能動的な攻撃はできないからです。海外の状況に比べるともどかしさはありますが、法改正をしてまでアクションを起こすべきなのかと言われると、モラル的に迷いますね。これは今後議論に上がってくるテーマだと思います。

渡辺:ヨーロッパやアメリカ、オーストラリアで攻撃者の情報がきちんと流通しているのに比べると、日本は非常に攻めやすい国で、非常に脆弱な状態ですね。これはちょっと悲しいです。

古見:セキュリティ施策や新しいソリューションに関しても、海外が圧倒的に強いですよね。日本で用いられるガバナンスや全社統制の枠組みに関しても海外依存です。例えば情報セキュリティマネジメントは多くの場合国際規格を参考にしますし、内部統制のフレームワーク自体も海外発のものが多い。そういう意味でもやはり日本は攻めではなく、守りだと感じますね。

【事例3】監査に入った企業の委託先にセキュリティの問題があった

渡辺:古見さんは、ご自身やご支援されている企業が被害に遭った経験はありますか?

古見:私は監査に入るわけですが、どちらかというとインシデントが起きた後ではなく、未然の時点でチェックをします。しかしインシデントが起きていなくても、実際に現場に見に行ってみると問題があるケースがありますね。
例えばとある金融企業の基幹システムに対して、IT統制やセキュリティマネジメントでしっかりリスク管理をしていると評価しました。ただ、実際にシステムを開発しているのは別の業者だったんです。この点について監査視点ではさまざまな議論があります。委託先がインシデントを起こしたらどうするのか、委託先が作ったシステムを企業が緩い管理をしていたら自社の内部統制が有効だとしても意味がないなど、評価・指導をする上で委託先が問題になることがあるんです。
この企業の場合は実際に開発委託先を評価するために訪問をしたら、5、6名のメンバーが都内のアパートで作業をしているような状態でした。権限管理も適当でセキュリティリスクがあったので、結局不備を指摘しました。

渡辺:大きなインシデントは起きていないけれど、管理上の不備があったということですね。特権IDを誰かが流出させたらアウトですし。

古見:最近はGitHubのソースコード流出の話などもありましたからね。クラウドの利便性は高まっていますが、それを監査・評価するのは非常に難しくなっています。開発自体もアジャイル化されていてプロダクトが毎週リリースされているので、システムに不備が出たときにどうして問題が起きたのか、原因を遡れなかったりします。

【事例4】脆弱性を突いた攻撃によるWebサイトの改ざん

渡辺:私が経験した事例も共有すると、Webサイトの改ざんをされたケースがあります。最近はJavaのApache Log4jやCMSのMovable Typeの脆弱性発表から、短期間で攻撃を受けるケースも増えていますね。
攻撃を受けるとWebサイト上に実行可能なファイルが置かれ、それを経由してディレクトリの中の状態を見られるようになったりしてしまいます。Webサイトを運営されている場合は、脆弱性をよく確認していただく必要があるかなと。
ただ実際に被害を受けると、「Webサイトの売上や会社のブランドに対してこれぐらいの損益があるから、セキュリティにこれぐらいの費用をかけよう」という施策を打ちやすいケースはありますね。

古見:私もよくセキュリティの利益効果について聞かれますが、セキュリティの投資対効果の意味は営業的なROIとは違うんですよね。
例えば10年間で30%のリスクがあるものを5%にできることにどれだけ意味があるか、なんです。そういう意味ではマネジメント層の方もガバナンスやセキュリティについて専門家任せにはせず、当事者意識を持ってもらいたいですね。

増村:「ITにかけるコスト」はどの会社にもあるわけですから、大体予算の何%をセキュリティに割けばいいのか、「安全を守れるならこれぐらい予算をかけてもいいだろう」という肌感は経営陣の皆さんに持ってもらいたいです。ここは現場サイドからのアプローチ不足かもしれません。

今だからこそ行うべきセキュリティ対策

ミクロな施策を行う前にセキュリティのルールやガバナンスを整備すべき

渡辺:では次のテーマに移ります。古見さんはいろいろなフェーズ・規模の企業を支援していると思いますが、スタート時点でセキュリティについて「まずはこれをやっておくべき」ということはありますか?

古見:私は中小規模でも上場をする、あるいは何らかの法定監査の対象になる企業のご支援が多いですね。その中でいうと、前提として50~200人規模の利益が出ているスタートアップで上場を目指している企業は、ITだけではなくガバナンスや組織体制を大きく変えなければいけません。一定守らなければならない枠組みもあります。
しかし、とりあえず上場した企業の経営者の認識は「最近ゼロトラストが流行ってるね」くらいのレベルで、ミクロな施策から入ってしまうんですよね。その場合、会社全体のITガバナンスから見るとズレが発生することがあります。
例えばパスワードポリシーを作るために、とりあえず90日で10文字のパスワードが変わるようにしたとしても、大事なのは「なぜそのルールにするのか」です。パスワード変更自体をSaaSで自動化するにしても、人力で変更するにしても、結局「何に基づいてやるか」が必要なので、ルール作りが重要です。ただ200名規模の企業は、そういう規定やルールが足りない状態なんです。

渡辺:視野が足りないことが多いんですね。

古見:ルールやガバナンスの規定自体は施策ではないのですが、とにかく情報セキュリティマネジメントをしっかり作って、何のためにセキュリティがあって、何のために委託先を管理するのかといったことを決めていくべきです。その枝葉の先に、自動化などのセキュリティ施策が出てきます。

渡辺:自社のリスクや会社が守るべきものをいざ棚卸ししようとすると、難しいんですよね。当たり前のようで、人に言われるまで忘れてしまっている内容も多い。そういうときに古見さんのような監査など第三者の視点からいろいろ指摘してもらえるといいですよね。
私もFLEXYさんご支援に入るときは、まずはISMS(情報セキュリティマネジメントシステム)の作り方を伝えることに始まり、自分たちのやるべきことの可視化もおすすめしています。私が支援したケースでいうと、まだ上場も予定していないタイミングの企業がISMSの骨子作りからスタートして、3~4年かけて認証を取得した例もあります。

日頃からセキュリティに目を向けてもらうための意識醸成が必要になる

渡辺:増村さんは社内で統制やルール決めが上手くいかなかったケースはありますか?

増村:ありますね。ただ、セキュリティ面でちょっとしたボヤが起きると、現場も経営者も一気にセキュリティを見直すんですよ。そういう意味では日頃からある程度関心を持ってもらえるように何かしらのキャンペーンやイベントを仕掛けたり、定期的に経営会議でデータを見せたりするといったアクションは必要です。私は「セキュリティカルチャー」と呼んでいるのですが、組織の大小は問わず意識醸成の作り込みは大事ですね。

渡辺:社内向けのセキュリティ意識向上キャンペーンとして、どんな施策を行うんですか?

増村:手っ取り早いのは、会社のポータルサイトにセキュリティコーナーを設けてもらうことです。そこでブログを書いたりメンバーの顔写真や趣味、仕事内容を掲載したりします。あとは全体朝礼の時間を借りて、セキュリティ教育や研修の告知などもしていましたね。研修については今でこそオンラインやeラーニングが主流になっていますが、コロナ以前はよくオフラインで座学やワークショップを実施していました。「こんな事案が起きたらあなたはどうしますか」と題材を決めたりして。
そういった取り組みを通じて「セキュリティのイベントをやったな」とインプットしていくんです。刷り込みですね。

規格認証を目指す場合は維持・更新を目的にしないことが大切

渡辺:ISMSはとりあえず取ってみようというのもありますよね。

増村:規格が悪いわけではないのですが、規格に準じることと維持・更新が目的になってしまい、年数を経るごとに現場との乖離が生じている実態もあるかと思います。

古見:事務局だけが頑張っているようなケースですね。

増村:更新や審査にばかり頭がいってしまい、実際に現場を見ると5割ぐらいしかできていないのでは、認証の意味がありません。大切なのは認証の要件に書かれている内容の解釈ではなく、自分の組織が保護すべき情報を保護できる体制を作ることです。
特に規格の取得が案件の入札条件なんかに絡んでくると、どうしても維持・更新が目的になりがちですが、規格は自分の組織を守るための手段ですからね。

渡辺:私の会社は100名規模でISMSを取得しているのですが、私は情報セキュリティ委員会のメンバーでありつつ日々セキュリティを運用する立場でもあるので、自分が辛くならないために現場と規格の乖離は生まれないようにしています。
その点でいうと、ISMSは基本的に自分たちでルールを決めて、自分たちで運用するサイクルを良しとしてくれるところがいいなと思っています。監査と更新のための業務も少なからずありますけどね。ISMSを取得しているとお客様から案件をいただくときにヒアリングシートの3分の1は答えなくてもいいので、ビジネスのスピード感がアップするメリットも感じています。

テレワーク時代はテーマに沿ったセキュリティ対策も検討できる

古見:現代はテレワークを重視したい企業も増えてきているので、今までのセキュリティとは大きく変わったとも思います。社内のネットワークやインフラだけをしっかりやっていればよかったのは、一昔前のことです。今はネットカフェやコワーキングスペースでPCを使わせないと仕事になりません。
例えばSASEのようなネットワーク単位やCASBのようなソリューション単位で通信を監視、検疫してもいいでしょう。そしてEDRでイン・アウトをきちんと見る。ID関連はIDaaSに移行していく。こういう組み合わせでコントロールしていけば、外でもある程度仕事ができます。「テレワークでセキュリティを保つ」というテーマに沿って考えるのもありかもしれません。

増村:社内・社外という考え方がテレワークによって取っ払われてしまったので、ボーダーレスな考え方で進めていくべきなんでしょうね。中からでも外からでも、IDがしっかり認証されることが一番大事です。

まとめ

セキュリティ意識の継続と浸透が事業成長の下支えとなる

渡辺:それでは最後にお二人から、それぞれメッセージをお願いします。

増村:個人的に、セキュリティには答えがないと思っています。自分たちの組織が持っている個人情報、情報資産はもちろん、セキュリティのくくりで言えば自社ビルも保護対象です。それらをどう守っていけば事業を継続・成長させられるのかという観点で優先順位を付け、振り返りながらブラッシュアップしていくことですね。事業成長の強力な下支えとしてセキュリティを使えれば、有意義だと思います。

渡辺:継続と浸透が事業を変えるということですね。素晴らしいです。古見さんからもお願いします。

古見:情報セキュリティの規定や要求事項は誰も見たがらないと思うのですが、ぜひ興味を持ってもらいたいです。ただ読むのではなく、どんなシステムを導入すればより良い統制ができるのかを考えながら見ると面白いですし、セキュリティのために必要なものが見えてくると思います。

渡辺:難しそうなものも一度読んでみると、自分の気付きや発見になりますよね。ありがとうございます。本日はお二人とも、楽しい話をありがとうございました。

FLEXYとはABOUT FLEXY

『FLEXY』はエンジニア・デザイナー・CTO・技術顧問を中心に
週2-3日 x 自社プロダクト案件を紹介するサービスです