小規模な組織で始めるサイバーセキュリティ対策のポイント

blog

グローバルな企業では、サイバーセキュリティが騒がれる以前からCSIRTを作ったり、SOCを作ったりしてきています。実際に前職でもCSIRTは、2000年初期に作られていました。そして同じころにSOCサービスを含めたインタネットサービスの利用も開始しました。

CSIRTやSOCという言葉もよく見るようになりましたが、20年以上の歴史があります。大きな組織に居たのでこうしたことに関わってきましたが、少数の情シス担当ではなかなかそこまでのことをすることは簡単ではありません。

サイバー犯罪特にランサムウェア攻撃が増える中で、少ないメンバーでサイバーセキュリティ対応を具体化するには効率的な取り組みが必要になります。今回は、CSIRT、SOC、EDRという情報があふれる中でどのように進めるのが良いかという一つの方法をご紹介します。これは、企業の体制などによって異なる前提があるので先ずは、自分たちの立ち位置をしっかりと把握して進めて下さい。

ポイント1:環境管理(インベントリー管理)が出来ているか?

社内のインタネットに接続された環境をどこまで管理出来ているかは何をするにしても極めて重要になります。属人的な運用を行っている企業は特に要注意です。ハードウェア、ソフトウェアの管理表が整備&メンテナンスされているか?を先ずは確認してみてください。

グローバルな企業でCSIRTやSOCがある企業でも海外拠点までをしっかりと統制管理されているかというと拠点管理且つ属人的になっている日系企業はあります。会社が大きいからしっかりしていて小さなところはお金も人がないから出来ないということではないという事です。今は、資産管理ツールなども機能がしっかりしているので全てを手作業を行う必要はありません。もし、標準化が出来ていなければ標準化やユーザ権限などのコントールをすることも有効です。勝手にアプリケーションやコンフィグの変更を出来なくしたり、PCやサーバの基本環境を標準化することで、構成情報は、一つ管理してあとは台数の管理だけで済みます。

ポイント2:検知率の高いウィルス対策ソフトウェア(EPP)の導入出来ていますか?

今は、個人も含めて利用されているウィルス対策ソフトウェア(EPP)ですが、シグネチャータイプ(従来型)やAIを活用した数理モデルでの未知のウィルス検知までを行うというように様々なものがあります。このEPPとは別に最近耳にするのがEDRです。EDRでは、EPPで検出・防御できないウィルスやマルウェアの行動などを監視しアラートで知らせたり、プログラムを強制的に封じ込めをしたりします。従来からあるシグネチャータイプのEPPでは既知のウィルスのみ対応されています。従って未知のものに対しては無力となります。そこでEDRを使ってEPPを潜り抜けた悪意のあるプログラムを検知して対応を行います。

ここで大事なのは、EPPに依存するか、EDRに依存するかの方針を決めることです。EPPが多少高くてもシグネチャーレスで検知率が高ければEDR運用の負担を軽減できます。逆の場合は、EDR運用での多くのアラート対応で負荷が掛かることになります。

ポイント3:SOCやCSIRTに関連した外部サービスの活用を検討されていますか?

サイバーセキュリティ対策を考える中で出てくるのがSOCやCSIRTといった専門的な要員で構成された運用チームです。少数でITの運用を行っている企業ではなかなか内製化が難しいです。人材的に売り手市場が続き優秀な人材確保も厳しい状況です。その中でSOCやCSIRT業務の中で専門性の高い領域に関してサービスとして提供されています。こうしたサービスを活用することで日々のサイバーセキュリティに関する監視運用やインシデントへの対応を迅速に行うことが可能です。餅は餅屋に任せろ!がサイバーセキュリティの世界でも当たり前になりつつあります。

ポイント4:いざという時の備えは万全ですか?

最後のポイントとしては、体制整備などには時間が掛かる中で、いつサイバー攻撃を受けてしまうか分からない中でなにかあった時の社内の連絡体制、迅速な意思決定が明確で且つ実効性を確認されているかという点です。また、インシデント対応などの初動の準備なども重要です。そしてその後の対応に関して委託先が確保されているかなどがあります。是非、こうした最低限の体制と機動力を確認しるようにして下さい。

以上が、実際にインシデント対応をさせて頂く中で気づいた点になります。システムの処理能力が向上する中で業務スピードがあがると同じようにサイバー攻撃を受けて被害の拡大も時間と共に増加します。最近では2重ランサムウェアという単に恐喝だけでなく、情報を搾取して2次的な恐喝までを受ける可能性があります。

ネットにある情報を収集して検討をするには限界があると思いますので気軽にご相談下さい。それぞれの状況を確認しつつ、お客様に寄り添った確実な体制強化のご支援をさせて頂きたいと考えております。