2017.1  第 6 号 特集記事-3

Guillermo氏

進化するサイバー攻撃から安全を守るためのシスコの取り組み
~ Cisco Security Day の 2 つのセッションから~

サイバー攻撃は近年ますます進化し、洗練の度合いを高めています。世界を騒がせたランサムウェア「 WannaCry 」も、まだ記憶に新しいはず。当然ながらシスコも、このような攻撃を日々受けています。それではシスコは、どのようにしてサイバー攻撃から自らを守っているのでしょうか。その概要をお伝えするため、 2017 年 6 月 6 日に東京ミッドタウンで開催された「 Cisco Security Day 」から、 2 つのセッションを紹介します。

デジタルビジネス時代到来でさらに重要になるセキュリティの確保

1 つ目のセッションはシスコ情報システム部門 シニア バイス プレジデント 兼 最高情報責任者である Guillermo Diaz Jr 氏の「セキュアなデジタルビジネスの加速化 テクノロジーと文化を通して」です。 Diaz 氏はその冒頭で「デジタルビジネスの時代にはどの業界でも技術が基盤になります」と述べた上で、それを文化と一体化することの重要性を指摘。リオオリンピックでもシスコはチームとしてインフラを提供し、セキュリティを確保してきたと言います。そして大切なのは「チームで取り組むこと」であり、これは東京オリンピックでのインフラ提供にも引き継がれていくと説明します。
それではリオオリンピックでは、シスコの IT インフラはどのような貢献を果たしたのでしょか。シスコのデバイスは 7500 台に上り、接続されたユーザ数は 12 万人、伝送したトラフィック量は 2.6PB に及びました。そしてその中で、阻止したセキュリティイベントの数も 800 万件に上っていたと、Diaz 氏は振り返ります。

cisco insight シスコがどのように貢献したか

さらに、 IoT を活用したデジタルビジネスの時代には、コミュニケーションの定義そのものが変化するとも指摘。例えば 2020 年には、自律走行車によって生成されるデータだけでも 2PB に達するようになり、セキュリティの重要性はさらに高まると言います。「人の命に直結する医療現場でも、IT が重要な役割をはたすようになります。例えば私の母は最近ガンになりましたが、ドクターとロボットの協力による手術を受け回復しました。そこでセキュリティが確保できなければ、人命が失われる危険性があるのです」。

cisco insight コミュニケーションの定義が変わりつつあります

まずマーケティングオートメーションは、徹底的なデータ連携とキャンペーンの自動実行によって、一人で年間千以上の施策実行を可能にすると東氏。もし戦術として「手動で」「月に一度」「全員に同じ文面」のメール配信を行っているのであれば、マーケティングオートメーションを駆使した競合他社の戦術には太刀打ちできないと言います。

「効果的なダイレクトマーケティングを実現するには、あらゆる顧客のシチュエーションに応じたシナリオを用意し、適切なものを適切なタイミングで実施しなければなりません。シナリオのタイプとしては、売り手都合でのプッシュ型である『 Proactive 』タイプと、買い手に合わせたプル型の『 Reactive 』タイプがあり、後者をきちんと行うと前者の 4 倍の効果があると言われています。このような『顧客の動きに合わせたキャンペーン』の実行はかなり複雑になる上、数多くのキャンペーンを同時に実行する必要もあるため、人手で行うことは困難です。また顧客から嫌がられないよう、メール数の上限設定等で過度なメール配信を防止するプレッシャー管理も必要です。これらを適切に実施するには自動化が不可欠なのです」。

CIO と CISO が緊密に連携しながら 1 つのチームとして活動

セキュリティの脅威は「必ず起こり得ること」であり、それへの備えが必要だと Diaz 氏。シスコもこの前提に基づき、マネジメント、チーム、プロセス、カルチャーを構築しており、これによって実際に発生したセキュリティイベントに対し、迅速に対応しています。シスコでは CIO と CISO (最高セキュリティ責任者)が個別に存在していますが、両者は緊密に連携しており、お互いに補完し合いながら 1 つのチームとして活動していると言います。

cisco insight cioとcisco補完し合う役割

従業員を啓蒙するためのセキュリティ教育キャンペーンも展開しています。セキュリティ脅威は外部からだけ来るものではなく、組織内部での不用意な行動が脅威につながることも少なくないからです。その代表例がフィッシングです。たった 1 回だけフィッシングに引っかかることで、組織全体がリスクにさらされる危険性があるのです。

cisco insight セキュリティ教員キャンペーン フィッシング

セキュリティを維持するには、そのためのフレームワークも重要になると Diaz 氏は語ります。シスコではそのために、アカウンタビリティ フレームワークを確立。「セキュリティ第一」の考え方を、 IT サービスに組み込んでいます。また統合セキュリティ指標を定め、継続的な効果測定も実施。その結果脆弱性は 64% 減少し、時間内対応は 86% まで増加したと言います。

cisco insight アカウンタビリティ フレームワーク

cisco insight 機能のバランス vs 運用の有効性

このようなフレームワークを作り上げるには、スキルを持つ人材の確保も必要です。そこでシスコでは「セキュリティ ニンジャ プログラム」を用意し、人材育成を推進しています。

cisco insight セキュリティ ニンジャ プログラム

また社内だけではなく社外に対しても「グローバル シスコ サイバーセキュリティ スカラシップ」を提供。セキュリティスキルを備えた人材の育成に貢献しています。

cisco insight グローバル シスコ サイバーセキュリティ スカラシップ

「セキュリティを確保するには技術だけではなく、プロセスも考えながら問題解決できるようにする必要があります」と Diaz 氏。そのためには文化によるドライブが必要であり、これこそが「セキュア デジタル ビジネス」実現の要になると言います。

CSIRT を成功させるには多様なスキルを持つ人材が不可欠

このような取り組みをより具体的に説明したのが、 Diaz 氏の次に行われた「 PROTECTING CISCO 」というセッションです。セキュリティ確保で中心的な役割を果たしている CSIRT (Computer Security Incident Response Team)でマネージャーを務める、 Jeff Bollinger 氏と Matt Valites 氏が登壇。「シスコにおける CSIRT の役割は、セキュリティ インシデントを調査し、必要な部署の協力を得ながら脅威緩和の計画を立案し、脅威分析と対応を通じて防御することです」と述べた上で、「成功するプログラムにはマネジメント、人、テクノロジー、プロセスが必要です」と語ります。

cisco insight PROTECTING CISCO

ここでまず取り上げられたのが「人」です。シスコの CSIRT ではセキュリティの知識を持つ人だけではなく、多様な人材を求めているのだと言います。何らかの技術的バックグラウンドを持っていることは必須条件であり、さらに環境を理解できること、テクノロジーやビジネス、人、プロセスの間に存在するギャップを認識できること、変化をリードできること、他のチームとのパートナーシップを築けること等も求められるのです。
「シニアメンバーのうち、データベース等のバックグラウンドを持つ人はいますが、セキュリティのバックグラウンドを持つ人は一人もいません。セキュリティ以外の様々な経験こそが、セキュリティに役立つと考えているからです。現在のチーム構成はこの図のようになっていますが、 2003 年にチームが生まれた時には人員数も少なく、一人ひとりのメンバーが全ての仕事をこなしていました。小さく始めてここまで成長させていったのです」。

cisco insight CSIRT GLOBAL STAFF

現在の CSIRT チームが守っているものは、多岐にわたります。保護対象となるユーザ数は14万人近く、デバイス数も 20 万近くに上っています。またシスコと接続されているパートナーの外部ネットワークや CSP(クラウド事業者)も、保護対象になっていると言います。

cisco insight PROTECTING CISCO

またアーキテクチャは 4 つの柱で構成されていると説明。デバイス、ネットワーク、アイデンティティ、アプリケーションを保護することが「トラステッド エンタープライズ」の維持に必要だと言います。さらに 2018 年に向けて次世代モデルの開発も進めており、次世代モニタリングによってデバイスベースから脅威ベースへのシフトを進めていく計画だと語ります。

cisco insight Architecture

シスコの CSIRT は社外の人材育成にも、積極的な貢献を果たしています。セキュリティに関するフリーソフトの提供や、セキュリティモニタリング等の出版物の執筆等を通じて、 14 年間にわたって蓄積してきたノウハウを発信しているのです。「これらの情報は CSIRT チームを作る時の助けになるはずです。まずは原則を理解した上で、自らの環境に当てはめて欲しいと考えています」。

cisco insight Architecture

ソリューションで 95% の脅威を防御、残り 5% は人間によって発見

次に両氏が取り上げたのは「マネジメント」。ここでは、セキュリティ脅威のインパクトを理解し積極的な投資を行うこと、組織を通じた変革の必要性を理解すること、セキュリティポリシーの立案に上層部が関与することが重要だと語ります。
また取り組みが成果を挙げているか否かを判断するには、評価指標(メトリクス)も不可欠だと指摘。シスコでは「 Time to Detect (発見までの時間)」と「 Time to Contain (阻止までの時間)」を重視しており、これは他の業界でも共通するはずだと言います。

cisco insight

「テクノロジー」に関しては、シスコが活用している防御ソリューションと、それらによって管理されているインシデントについて説明。この四半期で 240 万を超える脅威をブロックしたと言います。「しかしこれは全体の 95% に過ぎません。システムでブロックできなかった残りの 5% は、人が発見して対応する必要があります。だからこそチームが必要なのです」。

cisco insight

インシデントを検知するには、データ収集も重要になります。シスコではシスログだけで 1 日あたり 40TB のデータを収集しており、他にも様々な情報源からデータを集めています。これらのデータが利用可能になることで、はじめて包括的な対応が可能になるのです。

効果的な対応を行うにはプロセスを事前に決めることも重要

そして「プロセス」については、シスコ CSIRT の「インシデント レスポンス プロセス」の全体像を紹介。まずはデータを収集し、それらに対して CSIRT チームで対応を行った上で、その後のプロセスを進めていくのだと説明します。

cisco insight

「ここで重要なことは、アクション可能なプロセスを事前に決めておき、インシデントが再発した時には自動的に対処できるようにしておくことです。また机上のプロセス立案だけではなく、演習を行っておく必要もあります。テストシナリオを事前に実行し、事前に計画とのギャップを見つけておくことで、はじめて効果的な対応が可能になります」。
事前に定めたプロセスを想定通りに進めるには、どのような人がそこに参画しても問題がないように、他の人が理解できるように文書化しておくことも重要になります。そのためにシスコ CSIRT チームでは、パターン化したメソッドを「 Playbook 」として集約。 100 パターン以上のメソッドをまとめた「 Crafting the InfoSec Playbook 」も出版しています。

cisco insight

この Playbook は 4 つの基本的な質問で構成されています。それは「何を守るのか」「どのような脅威があるのか」「それをどう検知するのか」そして「どのように対応すべきか」です。

cisco insight

シスコではこれに加え、さらに詳細な要件リストを明確化。これによって、収集したデータを意味のあるコンテキスト情報に変換して関係者に伝えた上で、対策のプロセスにつなげています。
まずインシデント発見のフェーズでは以下のように、セキュリティシステムのインジケータからの情報収集、外部の人からの情報入手、ログ分析による異常検知という、3 つのメソッドを明確化しています。

cisco insight

インシデントデータの収集はセキュリティ対応の第一歩ですが、その情報量が膨大になると、絞り込みも必要になります。そこで行うべきなのがレポート作成です。これに関しては以下のようなフローを定義。レポート内容を振り返って改善し、次のインシデントに備えるというプロセスも含まれています。また誤検出を抽出、認識し、これをフィルタリングすることで、アラートを抑制するという取り組みも行われています。

cisco insight

世界を騒がせた「 WannaCry 」へのシスコの対応

最後に、最近世界を騒がせたランサムウェア「 WannaCry 」に対して、シスコがどのような対応を行ったかについても紹介。「これは過去最大のランサムウェア攻撃であり、病院を中心に大きなインパクトを与えました」と両氏。「メディアは 40 万を超えるシステムに感染したと発表しましたが、実際の感染件数はこの 2~3 倍に上っていたと想定しています」。

cisco insight

シスコは 2014 年 4 月の「 Heartbleed 」の発覚を受け、 CSIRT 、 VM(Vulnerability Management :脆弱性管理)チーム、IT チームが連携する「 EVMP(Emergency Vulnerability Management Process:緊急脆弱性管理プロセス)」を確立。チーム間で情報共有を行い、どこで何が起きているのかを関係者が把握し、即座に対応できる体制を、事前に整えていたと言います。 WannaCry が発見された時も、このプロセスがすぐに走り始めたのです。

cisco insight

「 WannaCry で使われているツールキットが公開されたのは 2017 年 4 月 14 日ですが、この時点で脅威に関する分析に着手しています。そして WannaCry による大規模攻撃が始まった日には即座に対応を開始、 CSIRT が TAR (Threat Assessment Report:脅威アセスメントレポート)を作成し、 WannaCry の不正侵入検知へのメソッドも立案しています。さらに NetFlow を活用してトラフィックパターンを分析した上で SMB ポート( Windows がファイル共有で使用するポート)を遮断。 5 月 15 日には WannaCry の活動を停止できるキルスイッチドメインも用意しました。これによって攻撃から 2 日後には、感染率を0%に押さえ込むことができました」。

cisco insight

最後に両氏は将来に向けたビジョンについて言及。 IoT によってセキュリティの重要性が高まるのはもちろんのこと、アドウェアやランサムウェアの高度化や、クラウドサービス活用拡大への対応も、大きな課題になると指摘します。
このようなトレンドも視野に入れながら、適切な仕組みづくりを進めていくこと。これによってはじめて、将来にわたるセキュリティの確保が可能になるのだといえるでしょう。