厚労省　サイバーセキュリティ対策に関する報告書

こんにちは、当社のサイバーセキュリティ担当コンサルタントの後藤です。

2016年4月28日に、厚労省からサイバーセキュリティ戦略本部長宛てに報告書が提出されました。
「サイバーセキュリティ戦略本部長の勧告に対する報告書について（報告書）」

2015年6月に発覚した日本年金機構への標的型攻撃事件を受けて、サイバーセキュリティ戦略本部から厚労省に対して勧告がおこなわれ、それに対応する形で厚労省が報告をおこなっています。
標的型攻撃をはじめとしたサイバー攻撃への対策は、2020年に東京オリンピックが開催される日本政府としては、非常に重要です。

CSIRTという言葉は特に新しい言葉ではないのですが、年金機構の事件の後、セキュリティ業界において再び注目を集めるキーワードとなりました。
今回の報告書においてもCSIRTが重要な位置を占めています。

CSIRTほど「言うは易く行うは難し」のテーマはないように思います。
セキュリティに関するガバナンス手法として、「予防的統制」と「発見的統制」の二つがあります。
CSIRTが難しいのは、「発見的統制」に力点が置かれていることにあります。また、「予防的統制」についても単にセキュリティ機器を導入するという対処療法を越えた組織的な取り組みが必要になることも対応を難しくしています。

標的型攻撃に対する予防的統制として、まず浮かぶのがメール訓練です。
ダミーの標的型攻撃メールをユーザに送信して、何人が引っ掛かるか、というもの。
回数を重ねることで引っ掛かる人数は減っていきます。
ところが、引っ掛かる人はゼロにはならないのです。ゼロにしないと意味がないにも関わらず…
だから発見的統制が必要になるのです。

予防的統制が難しいという例も挙げておきます。
ネットワークを分離したり、アクセス権限を絞り込んだりなど、予防策はいろいろ打つことができます。
ところが、年金機構の事故の原因は、基幹システムで完結しないイレギュラーな業務が発生していたことだと思います。
つまり、業務のやり方の見直しから考えないと意味がないのです。
（ネットワークを分離したり、アクセス権限をガチガチに絞ったとしても、人間は必ずイレギュラーを作ってしまいます）
今回の報告書においても、「業務改革」の必要性について触れられています。

そして言わずもがな「発見的統制がなぜ難しいのか？」というお話。
まず、トリアージが難しい。年金機構の事件は典型的なトリアージの失敗です。
そして「想像力」の問題。これはBCPでも言われていることですが、コトが起こっていない段階で、それを想像して、抜かりない準備をおこなうことは難しいのです。私はコンサルタントとして、複数のインシデント対応の支援をおこないましたが、インシデントの大半は担当者の想像を超えた形で突然やってきます。想像していないことなので、体が動かない、正しく意思決定ができないのです。実際にインシデントを経験してみないとこのような想像力は身につかないのだと思います。
トリアージの基準を作ります、レポートラインを作ります、検知システムを導入します、など色々とおこなうことになるのですが、魂が抜けたもの、イザという時に役に立たないものが出来上がってしまいます。

当社でもパートナーと連携して、CSIRT構築に関する支援業務をおこなっていますが、プロの私でも「言うは易く行うは難し」を痛感する毎日です。

一覧へ