<アフターレポート>
セキュリティインシデント対応力強化セミナー
~サイバー攻撃に立ち向かうためのポイント~
2023年12月6日(水)SCSK株式会社主催のオンサイトセミナー「セキュリティインシデント対応力強化セミナー サイバー攻撃に立ち向かうためのポイント」がステーションコンファレンス東京にて開催されました。
本イベントではセキュリティインシデントが発生した際の対応力を向上させるポイントとして、「組織」と「システム」の両側面から解説が行われ、各セッションにおいて実践的な事例が紹介されました。
開催概要
主催:SCSK株式会社
協賛:Splunk Services Japan合同会社
協力:サイバーリーズン合同会社 SCSKセキュリティ株式会社
日時:2023年12月6日(水) 13:00~17:30
会場:ステーションコンファレンス東京
【基調講演】
2023年においてサイバー攻撃を防ぐことが不可能になったことを証明した象徴的な事例
株式会社サイバーディフェンス研究所 専務理事・上級分析官 名和 利男 様
※会場限定講演の為、概要のみをお伝えします。
まず冒頭に紹介頂いたのは「サイバー脅威のランドスケープ」という概念でした。
<サイバー脅威ランドスケープとは?>
組織のデジタルセキュリティ姿勢を包括的に評価するため、特に組織が直面しうる潜在的なサイバー脅威を特定し、分析し、優先順位を付けるために、個人、企業、特定の産業、ユーザーグループ、ネットワーク、特定の時間枠内で影響を受け得る潜在的なサイバーセキュリティの脅威全体を指します。
講演の中では2023年のサイバー脅威のランドスケープから考えられる5つの脅威をピックアップ頂き、詳細や、実際に被害を被った事例などをご紹介頂きました。
・生成AIの影響
・地政学的要因の影響増大
・サイバー犯罪の経済規模拡大
・サイバー攻撃の洗練化
・新たな脅威の出現
これらの脅威はすでに従来型の「IT・セキュリティ部門に任せた技術的セキュリティ対策」では防ぎきることが出来ず、経営層による強いリーダーシップによる組織的セキュリティ対策が必要になってきます。
CSIRTの組織成熟度を高める方法
SCSK株式会社 クラウドサービス事業本部 セキュリティサービス部 コンサルタント 鈴木 寛明
次に「CSIRTを立ち上げたがうまく運用できていない」というお悩みに対してSCSKとしてどのようなアプローチで支援が出来るのか紹介されました。
本講演で鈴木は、立ち上げたCSRITが適切に機能しない「CSRITの形骸化」を指摘しました。
「CSRITの形骸化の要因の一つとしてセキュリティ人材の不足を挙げられます。ITツールを使って人材不足を補うことも一つの手ですが、そのツール選びが重要です。また、外部の専門家にアウトソースすることも有効ですが、それら専門家と適切なコミュニケーションをとるためにはユーザー企業側にもある程度の知識とスキルが求められますので、セキュリティ人材教育も必要になってきます。」
CSRITの形骸化を防ぐためには専門家への適切な業務委託、CSRITの全体像の見直しが重要なポイントになります。
では、CSIRTを機能させてインシデント対応を行うために必要なことはなんでしょうか?
講演内では、以下3つの要素が定義されました。
Essence1:組織
インシデント対応体制(CSIRT)を構築し、インシデントが発生した際の組織の役割や責任、大まかなインシデント対応の流れ等を明確にする。
Essence2:人
インシデント対応を行う人材に対して、セキュリティ教育や研修等を通して、役割毎に必要な知識やスキルを習得させる。
Essence3:経験
インシデント対応に関する実践的な演習等を通して、インシデント対応の経験値を上げる。
SCSKはこれらの要素を高度化するためのサポートをご提供いたします。
さらに詳しくご覧になりたい方は以下よりお問い合わせください。
※ページ下部より講演ごとの資料ダウンロード及び動画視聴が可能です。
進化する攻撃に対応するためのサイバーレジリエンス
Splunk Services Japan合同会社 Senior Security Consulting SE 山内 一洋 様
続く講演では「インシデントレスポンスをツールという側面からどのようなアプローチが出来るか」について講演されました。
まず、インシデントを完全に防ぐのはいかに難しいかという視点で、セキュリティにおける現状をご紹介します。
~セキュリティにおける現状~ (Splunk社調べのグローバルにおけるセキュリティ/ITリーダーへの調査結果)
・過去2年間でデータ漏洩の被害 52%
・ランサムウェアの被害 49%(国内では40%)
・攻撃者が組織内へ侵入した後の平均潜伏期間 2.24カ月(約9週間)
・ビジネスクリティカルなアプリケーションの予定外ダウンタイムが月に1回以上 62%
・組織で発生したダウンタイム件数 年間約22回
・ダウンタイムのコストが年間収益に占める割合 約2.7%
このような調査結果から見える「サイバーセキュリティにおけるレジリエンス*」とは何でしょうか?
~サイバーセキュリティにおけるレジリエンス*とは~
・いかに早く気づき、いかに早く対応するか
・指標はMTTD(Mean time to detect)とMTTR(Mean time to recovery)
*レジリエンスとは…ショックやけがなど、何か不快なことがあった後に人や物がすぐに回復する能力、または物質を曲げたり、伸ばしたり、押したりした後に元の計上に戻る能力。
MTTDとMTTRの短縮に貢献するプロダクトとして企業内データの大半を占めるマシンデータを一括管理、分析が可能なログ分析プラットフォーム Splunkが紹介されました。
さらに詳しくご覧になりたい方は以下よりお問い合わせください。
※ページ下部より講演ごとの資料ダウンロード及び動画視聴が可能です。
侵入されることを前提としたセキュリティ対策
~ランサムウェアと未知の脅威にどう対応すべきか~
サイバーリーズン合同会社 マーケティング本部 プロダクトマーケティングマネージャー 菊川 悠一 様
「2023年度の警察庁のまとめによるとランサムウェアの被害件数は2年で約5倍の高水準で推移しています。あわせて中小企業の被害は5%増加しており、ランサムウェアによる被害は中小企業にも及んできています。そのような被害の裏側では、犯罪者が、放置されたシステムの脆弱な部分を突いて侵入し、誰にも気づかれぬうちに情報の略取やランサムウェアへの感染を行っているということになります。」
ランサムウェアの感染経路
ランサムウェアの感染経路TOP3は1.VPN危機からの侵入(72%)、2.リモートデスクトップ(10%)、3.不審メール添付ファイル(4%)。VPN装置などに脆弱性を内在させたまま利用を続けていることによって、犯罪者に付け入るスキを与えてしまいます。またそういった脆弱性の情報やRDPで不正ログインできるIDパスワードなどはダークウェブ上で取引されています。
既存のセキュリティ対策、体制の限界
警察庁の調査によると、ランサムウェアの被害にあった企業・団体においてウイルス対策ソフトで検知できなかったのは61%に上るとのことです。また被害にあっても復旧のために頼るべきセキュリティエンジニアの支援を受けられない等、体制、人材に起因して被害が拡大してしまう問題もあります。さらに攻撃者側の分業化、ツールの高度化、汎用化等によって、その脅威は増す一方です。
菊川様は上記を踏まえ、近年のサイバー攻撃の傾向を以下のように総括されました。
・ランサムウェア被害は高止まり
・攻撃者(IAB)は人のミスによる「セキュリティの死角」を日々模索
・各脅威グループは高度に汎用化された攻撃手法、ツールを駆使
・61%がウイルス対策ソフトでは攻撃を検出できなかった
・侵入経路を特定しないとインシデント再発の恐れ
これらの脅威にCybereasonはどのように立ち向かうのか。
さらに詳しくご覧になりたい方は以下よりお問い合わせください。
※ページ下部より講演ごとの資料ダウンロード及び動画視聴が可能です。
イベントを通して
もはや防ぐことのできないセキュリティインシデントに対し、「いかに対応するか」という問題は、企業価値を守るための重要な課題です。一方、その課題における対策に正解はありません。企業は自社や自組織の特性や業界で求められるセキュリティレベル、対策にかかるコスト等、様々なことを勘案しながら対策手法を選択する必要に迫られます。
本イベントで紹介された、効果的なインシデント対応を行うためのポイントを、是非参考にして体制の強化と継続的な改善を進めて頂けますと幸いです。
※SCSK株式会社はセキュリティ専業グループ会社である「SCSKセキュリティ株式会社」を設立しました。
SCSKグループが長年培ってきたプロダクトベンダーやサービスベンダーの先進技術を活用した「プロダクト事業」と、評価、分析、構築、運用のみならず、セキュリティコンサルティングで数多くの実績を持つ「サービス事業」を組み合わせて、サイバーセキュリティ対策におけるボトルネックを解消するとともに、高度化・巧妙化するサイバー攻撃への確実な対策において様々なサポートをご提案いたします。
講演動画視聴および資料ダウンロード
CSIRTの組織成熟度を高める方法
侵入されることを前提としたセキュリティ対策
~ランサムウェアと未知の脅威にどう対応すべきか~
進化する攻撃に対応するためのサイバーレジリエンス