サイバーセキュリティーへの取組み

サイバーセキュリティーへの取組み
原田 融 濱田 恒生
サイバー攻撃の高度化・巧妙化により、企業や団体
命した情報漏洩対策責任者を通して、同一施策(体制、
からの情報流出事故が続発し、被害が拡大する中、企
ツール、教育など)をグループ全体へ展開してきた。こ
業はウイルスなどのマルウェア(以降はウイルスと記
の推進体制により、情報セキュリティーの均一化と対策
述する)対策などの従来型の情報セキュリティーから、
の強化を図り、サイバー攻撃などの脅威に備えている。
サイバー攻撃に対応する「サイバーセキュリティー」へ
OKIの3つの柱の具体的な対策内容を以下に述べ、情報
の転換と整備に関する責任を求められている。本稿で
は企業の重要な経営課題の一つである、サイバーセキュ
リティーに関するOKIの取組みと社内ノウハウに基づき
提供するセキュリティーソリューションを紹介する。
セキュリティーにおける基本方針の概念を 図 1に示す。
(1)見える仕組みとは
・情報資産の利用や情報セキュリティー対策の実施
状況を把握して、情報セキュリティー対策の改善
につなげる
・ITサービスの利用状態を監視して、違反行為を検
企業を取り巻くセキュリティーリスクへの対応
知、防止する
サイバー攻撃の増加、被害の拡大に対して、企業は
(2)支える仕組みとは
社会的信用の失墜やブランドイメージの毀損、最終的
・重要な秘密情報を集中管理して、適切なアクセス
には業績の悪影響へつながる情報セキュリティー事故
権限やアクセスログの記録により、情報を保護する
の与える影響に対して、重要な事業リスクと捉え、サ
イバーセキュリティーの強化・整備に乗り出している。
経済産業省は独立行政法人 情報処理推進機構ととも
に、
「サイバーセキュリティ経営ガイドライン」を制定し
・情報流出経路をブロックし、情報の流出を防止する
(3)守らせる仕組みとは
・秘密情報を定義し、具体的な管理プロセスの規則
を定めて周知する
(2015年12月)、企業がサイバーセキュリティーに取り
・全従業員への情報セキュリティー教育や情報セキュ
組む指針を示した。本ガイドラインでは、サイバー攻撃
リティー一斉点検などの啓蒙活動を定期的に実施する
から企業を守るために、経営がリスクを認識し、経営の
リーダーシップのもとで、サイバーセキュリティーを推
進するための3原則、及び経営から情報セキュリティー
責任者へ指示すべき重要10項目がまとめられている。
サイバー攻撃に備えて、経営の意思を反映した情報
セキュリティー推進体制を整備することが、セキュリ
ティーリスクへの対応のスタートであり、企業の重要
な課題でもある。
OKIの情報セキュリティー推進体制
図 1 OKI グループ情報セキュリティ基本方針
OKIは「情報セキュリティー委員会(委員長:情報責
34
任者)」を中心とした体制のもとで、見える仕組み、支
また、情報セキュリティーを推進するためには、仕
える仕組み、守らせる仕組みの3つの柱で、セキュリ
組みや体制の整備に加えて、日々発生する標的型やば
ティ ー 機 関 の ガイ ド ラ イ ン に 適 合 し た 情 報 セ キ ュ リ
らまき型のメール攻撃、ランサムウェア(パソコンや
ティー対策を推進し、各事業部と各グループ会社に任
ファイルサーバーのファイルを暗号化して身代金を要
OKI テクニカルレビュー
2016 年 12 月/第 228 号 Vol.83 No.2
求する)や外部からの脆弱性スキャンなどのサイバー
・IDS(Intrusion Detection System)/IPS(Intrusion
攻 撃 の リ ス ク を 分 析 する こ と 、 世 の 中 で 発 生 する セ
Prevention system):社内からの不正なアクセス
キュリティー事故やセキュリティー機関から入手した
脆弱性情報、及びセキュリティーガイドライン改正な
どの外部環境の変化を捉えること、その結果から、情
報セキュリティー対策を改善・強化するためにPDCA
管理サイクルを確立し、運用することが重要である。
(ウイルスの通信など)を検知、遮断する
・Webフィルター:ウイルスなどによる社内からの
不正なサーバーへのアクセスを遮断する
(3)不正防止対策
・ネットワーク接続制御:802.1x認証により、不正
な端末のネットワーク接続を遮断する
・統合認証:Active Directoryの認証により、なりす
サイバー攻撃への対策
サイバーセキュリティーで重要なことは、情報を守る
ためにネットワークとサーバーやパソコンへ適切な対策
を講じた上で、IT全体の監視を行い、問題の発生を素早
ましを防止する
・DLP(Data Loss Prevention): 可搬記憶媒体の使用
制限、重要情報の保護により、情報流出を防止する
・DB監視:DBに対する不正なアクセス(管理者権限
く発見し、原因を分析し、迅速な対策を取ることである。
の不正利用、未許可の操作など)を監視し、情報
サイバーセキュリティーへの対策を適切に講じるた
流出を防止する
めには、サイバー攻撃による不正侵入やウイルスのダ
(4)その他の対策
ウンロードを遮断するための「入口対策」、サーバーや
・ウイルス対策:ウイルスを検知し、削除する
パソコンがウイルスに感染しても外部への情報流出を
・脆弱性診断:サーバーのOSやミドルウエア、及び
遮断するための「出口対策」、お客様からお預かりした
Webアプリケーションに潜在的な脆弱性の存在有
重要な情報の不正な持出しを防止するためのファイル
無を診断する
やデータベースのアクセスログ監視などの「不正防止
対策」を効果的、かつ多層に配置することが重要であ
・セキュリティー事故への対策:事故発生に備え体
制を整備し訓練を実施する
る。対策を多層に配置する理由は、たとえば「入口対
策」が破られて未知のウイルスが社内ネットワークへ
侵入し、パソコンが感染しても、「出口対策」で活動を
開始したウイルスの不正サーバーとのアクセスを遮断
して、更なるウイルスの侵入や情報の流出を防ぐこと
が可能になるからである。
O K I が 導 入 して い る 代 表 的 な 入 口 対 策 、 出 口 対 策 、
不正防止対策の仕組みを以下に述べ、サイバーセキュ
リティー対策の概要を 図 2に示す。
䜨䝷䝃䞀䝑䝇䝌㻃
䚼ථཾᑊ➿䚽
௺ᴏ䛴䝑䝇䝌䝳䞀䜳㻃
䝙䜥䜨䜦䜪䜭䞀䝯
౴ථ᳠▩㻒㜭ᚒ
㻃
ᣲ⯑䛊ᆵ᳠▩㻒㜭ᚒ
㻃
䜨䝷䝃䞀䝑䝇䝌䝂䞀䝷
ථཾᑊ➿㻃
䚼䜹䞀䝔䞀ᑊ➿䚽
䜪䜨䝯䜽វ᯹ᑊ➿
䜹䞀䝔䞀ᑊ➿㻃
ฝཾᑊ➿㻃
⬜ᘽᛮタ᩷
୘ḿ㜭Ḿ㻃
䚼୘ḿ㜭Ḿ䚽
䚼ฝཾᑊ➿䚽
䝙䜥䜨䜦䜪䜭䞀䝯
䜨䝷䝌䝭䝂䞀䝷㻃
㻺㼈㼅䝙䜧䝯䝃䞀
୘ḿ㜭Ḿ㻃
䚼㻳㻦ᑊ➿䚽
≁ᶊ㻬㻧䛴㐲ว䛰⟮⌦
㻳㻦ᑊ➿䟺䜹䞀䝔䞀ᑊ➿䟻㻃
㐲ว䛰䜦䜳䜿䜽ᶊ㝀
䚼䜿䜱䝩䝮䝊䜧䞀஥ᨶ䛾䛴ᑊ➿䚽
䚼୘ḿ㜭Ḿ䚽
䜪䜨䝯䜽វ᯹ᑊ➿
䝑䝇䝌䝳䞀䜳᥃⤾โᚒ
㻧㻯㻳䟺㻳㻦᧧షโᚒ䟻
஥ᨶᑊᚺ䛴మโᩒങィ⦆
㻒
ᬧྒ໩䟺䝙䜥䜨䝯㻏㻫㻧㻧䟻
⤣ྙヾチ
㻧㻥┐ち
㻦㻶㻬㻵㻷䛴シ⨠
図 2 サイバーセキュリティー概念
(1)入口対策
・ファイアウォール:外部からの不正侵入とDoS攻
撃を遮断する
セキュリティー事故発生への備え
・侵入検知/防御:外部からの不正なアクセス(ス
企業はセキュリティー事故の発生に備え、被害拡大
キャン活動など)を検知し、外部からの不正な侵
の防止と抑制に向けて、コンピュータやネットワーク
入を遮断する
(特にインターネット)上でセキュリティーの問題が
・メールフィルター:マルウェアやSPAMなどの危険
な添付ファイルを除去する
・振舞い型検知:ウイルス対策ソフトでは検知でき
発 生 し た 場 合 に 対 応 す る 企 業 内 C S I R T( C o m p u t e r
Security Incident Response Team)などの体制を整備
しなければならない。
ない未知のウイルスをサンドボックスで動かして
具体的には、社内、及び外部機関との連携を含めた緊
その挙動からウイルスを検知、遮断する
急体制の整備、緊急体制を発動する基準、被害拡大を防
(2)出口対策
・ファイアウォール:社内からの不正な通信(ウイ
ルスの通信など)を遮断する
止するための緊急回避策(たとえばインターネットを停
止する基準や方法の準備)、セキュリティー事故を開示
する手順や開示すべき内容を定めておくことである。
O K I テクニカルレビュー
2016 年 12 月/第 228 号 Vol.83 No.2
35
OKIは2008年に企業内CSIRT「OKI-CSIRT」を構築し、
日本シーサート協議会へ加盟している。その目的は、
主なサービスの内容を以下に示す。
・コンサルティング
セキュリティー事故が発生した際に 「迅速に対応可能
ガ バ ナ ンス 計 画 や セ キ ュ リ ティ ー 強 化 の ロ ー ド
な体制の整備」とセキュリティー機関や他企業CSIRTと
マップ策定支援、セキュリティー認証取得や体制
の 「情報共有と連携強化」 による、インシデント対応
構築/改善を支援する。
力の向上である。
・脆弱性診断
OKI-CSIRTを構築してから8年間の活動の中で、イン
シデント対応の基本となる情報セキュリティー監視の
強化(侵入検知、ウイルス感染、未知のウイルス侵入、
SNSへの情報流出など)と監視結果からインシデント
の発生を見える化するなどの仕組みを整備して、多様
化するセキュリティーリスクへ対応してきた。
Web診断、ネットワーク診断、モバイル・ワイヤ
レス環境診断により脆弱性の現状を分析する
・CSIRT 構築・運営
CSIRTのセキュリティー専門組織の構想立案から運
用設計までを支援する
・教育サービス
また、インシデント予防活動として、ソフトウェア
やネットワーク機器などの脆弱性情報の社内共有や社
員への教育・啓蒙活動にも取り組んでいる。
情報セキュリティーの最新動向や事故事例・対策、社
内ルールなど、ニーズに合わせて人材育成を支援する
・SOC アウトソーシング
これら、OKI-CSIRT活動の全体イメージを 図 3に示す。
セキュリティー監視センタからのリモート監視に
より、異常トラフィックやログの解析業務に対応
䜨䝷䝃䞀䝑䝇䝌㻃
አ㒂䛑䜏䛴ᨯᦹ㻃 㻃
᝗ሒ⁻὜䝿䜪䜨䝯䜽វ᯹䝿㻃 ୘ḿ䜦䜳䜿䜽㻃㻃 ᨯᦹ⩽㻃㻃㻃
୘ḿ䜦䜳䜿䜽⿍ᐐ䛴ᒀฝ㻃
㻃䜪䜨䝯䜽㻃㻃
䜿䜱䝩䝮䝊䜧䞀ᶭ㛭䠌IPA,JPCERT/CC,㆑ᐳᖿ
௙௺ᴏCSIRT
᝗ሒ཭㞗䝿ᥞ౩㻃 㻃
ㄢᰕ䝿ᑊ➿ᐁ᪃㻃
OKI㞗୯┐ち䜿䝷䝃䞀
ᨯᦹ᝗ሒ䛴཭㞗 ᨯᦹ䛴┐ち䝿ฦᯊ
᝗ሒ䛴཭
⬜ᘽᛮ᝗ሒ䛴཭㞗
ཬ䛴┐ち
㐢ཬ䛴┐ち䝿ฦᯊ
᝗ሒᒈ㛜㻒㏻ᦘ
㏻ᦘ㻃㻃
改善支援を行う
㐘⏕┐ち
㻃 㻃 㻃 㻃 㻃 㻃 㻃 㻃
䝱䜴㻃
IT㐘⏕
OKI-CSIRT
♣හ஥ᴏ㒂㛓㻃
する。また、セキュリティー運用業務の高度化や
හ㒂୘ḿ㻃㻃㻃
ฺ⏕㐢ཬ㻃㻃䜪䜧䝯䜽᳠▩㻃㻃
䜪䜧䝯䜽᳠▩㻃㻃
♣හ䡺䡡䡶䢎䡢䡪㻃
情報セキュリティー支援サービスの
提供ステップ
本サービスは、以下の3段階のステップによりお客
図 3 OKI-CSIRT 活動の全体
様に提供する。
①コンサルティング / アセスメント
OKIが提供する
セキュリティーソリューション
OKIは、社内で培ったノウハウを活かしたソリュー
お客様の現状を調査/分析し、課題抽出、脆弱性ポイ
ントの洗い出しなど、お客様の現状課題を可視化
②設計 / 構築
ションとして、情報セキュリティー支援サービスを提
分析結果に基づき、体制やアーキテクチャーの見直
供している。その範囲は、 図 4に示すように「コンサ
しなど課題対策を検討、設計/構築を支援
ルティング」
「脆弱性診断」から「CSIRT構築・運営」
③保守 / 運用
「教育サービス」
「SOC(Security Operation Center)
日常の監視・分析、インシデント発生時の調査・対
アウトソーシング」などを視野に入れたトータルサー
処検討を遠隔、または常駐にて支援
ビスである。
䡮䡯䡵䢃䡬䢏䡭䢋䡵䡚䢏䡪䢐䝿ᵋ⠇㻃
䠘䠻䡄䠷䠩䠳䠾䠾
⤊ႜ⩽
౴ථ᳠▩
ᣲ⯑䛊ᆵ୘ḿ᳠▩
㻦㻶㻬㻵㻷ᵋ⠇䝿㐘ႜᨥᥴ
㻶㻲㻦㐘⏕ᨥᥴ
䡤䢏䡮䡵䢐䢏䡶ᑊᚺ㻃
䜷䝢䝷䝄䞀
ᩅ⫩䡭䡢䡽䢐䡯
䡣䡰䡯䢄䢏䡶
CSIRT
㻶㻲㻦
EndPointᑊ➿
サポートサイクルによる
セキュリティー強化
サイバ ー 攻 撃 は 多 種 多 様 に 日 々 進 化 し 、 セ キ ュ リ
ティーリスクを最小限に維持するために、 図 5に示す
情報セキュリティーのサポートサイクルを回し続ける
こ と が 重 要 と な る 。 O K I の 情 報 セ キ ュ リ ティ ー 支 援
㻶㻲㻦䡣䡥䡶䡱䡢䡮䢏䡪䢐
ಕᏬ㒂㛓㻃
⬜ᘽᛮタ᩷
で、あらゆるフェーズへのサービスを提供することで、
図 4 情報セキュリティー支援サービス
36
サービスは、コンサルティングから構築、運用支援ま
OKI テクニカルレビュー
2016 年 12 月/第 228 号 Vol.83 No.2
継続的なセキュリティー強化を実現する。
䕹
䕹
ಕᏬ㻒㐘⏕
䜷䝷䜹䝯䝊䜧䝷䜴㻒
䜦䜿䜽䝥䝷䝌
䝿C
䝿CSIRTᵋ⠇ᨥᥴ
CS
㻃㻃㻃䝿⬜ᘽᛮタ᩷
䝿⬜
㻃㻃㻃㻃㻃䝿ᩅ⫩ィ⦆
䝿┐ち㻒䝱䜴ฦᯊ
䝿䜨䝷䜻䝋䝷䝌ᑊᚺᨥᥴ
OKI䛴᝗ሒ䜿䜱䝩䝮䝊䜧䞀
䛴᝗ሒ䜿䜱䝩䝮䝊䜧䞀
䜹䝡䞀䝌䜹䜨䜳䝯
䕹
シ゛㻒ᵋ⠇
ることが可能となる
・セキュリティー向上
一元管理しているイベントログを常時監視するこ
とで不正アクセス、異常な操作などのインシデン
トを早期発見、迅速に対処可能となる
䝿ථཾᑊ➿㻃㻃䝿ฝཾᑊ➿
䝿හ㒂ᑊ➿㻃㻃䝿⤣ྙ㻬㻧⟮⌦
䝿SIEM
・運用工数、コスト削減
図 5 情報セキュリティーのサポートサイクル
イベントログに対して常に可視化、相関分析を実
施しているので、解析完了までの時間、工数を削
減することが可能となる
効率的なサポートサイクルの実現
日 々 進 化 する 脅 威 に 対 抗 する に は 、 情 報 セ キ ュ リ
ティーのサポートサイクルをより効率的に回し続ける
IoTセキュリティーへの対応
ことが求められる。その方法として、社内のシステム
今後、IoTが普及するとあらゆるもの(デバイス)が
に散在するログを分析することで、情報セキュティに
インターネットへ接続されることになる。それらのデ
おける改善点を見出すことが有効である。このログ分
バイスは当然ながらサイバー攻撃などの対象となる。
析をどのように実現するかが、効率的なサポートサイ
IoTの普及による新たな脅威に対して、総務省と経済産
クルの実現につながるものと考えているが、そのため
業 省 は「 I o T セ キ ュ リ テ ィ ガ イ ド ラ イ ン 」を 策 定 し
のソリューションとしてSIEM(Security Information
(2016年7月)、IoT機器やシステム、サービスの提供
and Event Management)と呼ばれる統合ログ管理シ
にあたってのセキュリティーの指針を示した。
ステムがある。情報セキュリティー支援サービスでは、
OKIはIoTセキュリティーを重要な課題と捉え、ネッ
SIEMの導入を推奨しており、ここに紹介する。
トワークへ接続するデバイスの増加に伴う膨大なログ
SIEMは、複数のセキュリティーデバイス、データ
の効率的な分析や工場の製造機器やセンサーなどの多
ベース、アプリケーションのログ、イベントを収集し
種多様なデバイスの安全なネットワークへの接続を実
一元管理することで、イベントログの可視化、横断的
現するための技術や製品となる、AI、エッジ、IoT、次
な相関分析、脅威の早期発見、対処を可能とする。
世代エンドポイントセキュリティーなどの評価・導入
SIEMの導入前後の導入効果を 図 6に示す。
検討を進めている。
ᑙථ๑㻃
䜿䜱䝩䝮䝊䜧䞀䝋䝔䜨䜽
おわりに
㻶㼜㼖㼏㼒㼊䜹䞀䝔䞀㻃
本稿ではOKIのサイバーセキュリティーの社内の取
㻰㻶㻃㻶㻴㻯
組みと提供するセキュリティーソリューションを紹介
㻺㼌㼑㼇㼒㼚㼖䜹䞀䝔䞀
྘䝋䝔䜨䜽䛑䜏ฝ䛛䜒䛥䜨䝝䝷䝌
䝱䜴䛵䚮 䝙䜥䜨䝯䛴䝙䜭䞀䝢䝇䝌䛒⤣
ୌ䛛䜒䛬䛊䛰䛊䛥䜇䚮 ゆᯊ䜄䛭䛱⭶
ኬ䛰᫤㛣䛮ᕝᩐ䛒᤻䛑䛩䛬䛝䜄䛌䚯
した。OKIは社内で培ったノウハウを活かしたソ
リューションである情報セキュリティー支援サービス
を市場に展開していき、今後普及するIoTへの対応を含
ᑙථᚃ㻃
䜿䜱䝩䝮䝊䜧䞀䝋䝔䜨䜽㻃
㻶㼜㼖㼏㼒㼊䜹䞀䝔䞀㻃
㻰㻶㻃㻶㻴㻯
㻺㼌㼑㼇㼒㼚㼖䜹䞀䝔䞀
めて、お客様が情報通信システムを安心・安全に利用
⤣ྙ䝱䜴
⟮⌦
可能なように、これからも挑戦を続ける。 ◆◆
䟺䝱䜴཭㞗䚮
ḿぜ໩䟻㻃
྘䝋䝔䜨䜽䛴䜨䝝䝷䝌䝱䜴䜘
㞗⣑䛝䚮 ḿぜ໩䛟䜑䛙䛮䛭䚮
ཤ↯䚮ゆᯊ䛒ᐖ᪾䛱䛰䜑䚯㻃
図 6 SIEM の導入効果
原田融:Toru Harada. 情報・技術本部 情報企画部
濱田恒生:Tsuneo Hamada. 情報通信事業本部 新規事
SIEM導入後のメリットを、以下にまとめる。
業開発室
・利便性の向上
複数デバイスのイベントログを集約して正規化を
行うことで、管理者が容易に参照、解析を実施す
O K I テクニカルレビュー
2016 年 12 月/第 228 号 Vol.83 No.2
37