
1. 情報セキュリティのあるべき姿とSOC構築方法を考える
4月から始まる会計年度の第二四半期(2Qとも言う)の終わりは9月30日である(企業によって異なるが)。または、年度の前半6カ月を上期と言う。上期は新年度のスタートであり、目標設定や計画の立案が行われる時期でもある。10月は下期のスタートに向けて重要な月になる。
前職のNHKでは、8月には甲子園高校野球大会、9月は大相撲秋場所、11月は大相撲九州場所を放送する。夏から秋にかけては過ぎるのが早く、気づくと冬が訪れていた。12月となると紅白歌合戦、行く年来る年、箱根駅伝などの番組の放送に向けた準備で慌ただしく年末を迎え、その年を終える。NHK時代は10月から12月の3Qは、1年の中で一番忙しい時期であった。NHKを退職して5年以上も経つが、3Qの開始(10月)は「やる気」が湧いてくる。
さて、今回は情報セキュリティのあるべき姿を考えるとともに、社内でのSOC構築方法についてお話ししたい。あくまでも、僕個人の経験の話であって、こうしなければいけないというものではない。参考になれば嬉しい。
2. SOCとは、会社や組織の情報セキュリティを監視・管理する専門の部門
既にご存じの情シスは多いと思うが、改めて説明すると、「SOC」とは「Security Operations Center」の略語で、会社や組織の情報セキュリティを監視・管理する専門の部門や施設を指す。社内にSOCを構築する場合、社員が中心になる内部SOCと、ベンダーなどに外注して行う外部SOCという形がある。
内部SOCは、社内の情報資産を守るために非常に重要な役割があり、主に組織内で情報セキュリティ対策を担当する役職になる。SOCの役割についてまとめてみた。
- SOCの役割
- ►リアルタイム監視:ネットワークやシステムの異常をリアルタイムで監視し、サイバー攻撃や不正アクセスを早期に検知する。
- ►インシデント対応:セキュリティインシデントが発生した際に迅速に対応し、被害を最小限に抑えるための対策を講じ、再発防止の対応を行う。
- ►脅威分析:最新の脅威情報を収集・分析し、潜在的なリスクに対する防御策を講じる。
- ►レポート作成:セキュリティ状況やインシデントの詳細を報告し、経営層や関係者に脅威情報を提供する(定期的なエグゼクティブサマリー報告)。
SOC構築を考える場合、サイバー攻撃などの最悪のシナリオを想定し、サイバーリスクへの対策を考える必要がある。サイバーインシデントの特徴は、一瞬に来る災害(地震)や機器障害などとは違い、キルチェーンなど計算された攻撃や、ランサムウェアなどのようなもので攻撃してくるものであるため、標的を絞るというより、被害を拡大させない対策や復旧プロセス手順を整える備えを考えることが重要である。
一方、SOC運用を考える場合、社員のみで構成される内部SOC運用と、専門の外部業者に依頼する外部SOC運用がある。内部SOCの役割でポイントとなるところは、インシデントの発生から原因を突き止め、被害拡大を抑えることがメインになるが、収束させた後、再度同様のインシデントを受けないための対応について考えなければならない。外部SOCの役割については、日常の監視によるマルウェア検知と分析の業務が中心になる。SOC業務は、事故発生後から業務復旧が迅速にできるように連携し協力していくことが重要である。
3. サイバーセキュリティ対応グループの設立について
当時(2013年)、SOCを構築するにあたって、全ての業務を外部業者に依頼することを考えていた。放送局は24時間業務を止められず働いている社員がいるため、インシデント対応を考えた場合、どんな時間でも社員のみで構成するには限界があると思ったからだ。
端末に異常があった場合にネットワーク遮断については自動でできるものの、業務上の問題で、その都度、社員とのコンタクトが必要になる。そこで、完全に外部業者を利用するSOC体制ではなく、社員が直接対応する部分も考慮して、社員のみの内部SOCも同時に構築することが有効であると思い、内部SOC構築も考えるに至った。
内部SOCは新しい組織の設立になるため、経営者向けの要求計画書を提出したり、作業メンバーに対しても要員増の希望を提出した。この作業には結構な時間がかかり大変だったが、2名の増員と自分を入れて5名のSOCチームの新設を実現することができた。当時、私が使っていたノートにSOC設立に対する考え方のメモを残してあるので紹介したい。かなりラフに書いたメモなので参考程度に読んでほしい。
SOC設立の要件定義について(メモ)
►経営視点での課題とは何か- 経営層に向けた勉強会が必要(専門用語の説明など)
- 経営層と積極的に会話をする(定期的な脅威情報の報告など)
- サイバー攻撃を受けた場合のエスカレーションについて(自然災害時と同じでいいか)
- サイバー攻撃によって放送への支障が出た場合の対応方法(報告と報道会見など)
- サイバー攻撃によって個人情報漏えいが発生した場合の対応方法(報告と報道会見など)
- サイバー攻撃に関する情報共有の場を使っていくか(ISACでの連携をどうするか)
- 組織としてSOCを認めてもらい、現行の要員では足りないので増員を要求する
- SOCチームのセキュリティ対応に関するスキル向上(資格取得による人事評価UP)
- 魅力ある職場にする。転勤異動希望者が来るようにしたい
- インターネット(外部)と放送ネットワーク環境の完全分離を実現
- 設備メンテナンス時のネットワーク接続の制限と監視
- 操作、運用ログの集中管理(情報漏えい監視も含む)
- 海外拠点、グループ会社のセキュリティ対策の統合と教育
- 最新のセキュリティ機器を使い、迅速かつ自動で連携が実現できること
- 24時間365日、全社員の端末の所在がわかり、緊急の場合は不正通信を迅速に隔離、遮断を自動でできるようにする。常に社員とのコミュニケーションを行う
- 情報漏えい防止とモニタリングを行う(リスク統制管理部、人事部との連携)
- 社員へセキュリティ教育を実施(最新の脅威情報をポータルサイトで紹介)
- セキュリティ商品に対する研究・リサーチ(セミナー、講演などに参加)
- 同業他社(民間放送局)との情報共有の場に参加
シグネチャを利用する従来のセキュリティ対策ではゼロデイ攻撃やAPT攻撃など、高度なサイバー攻撃を防御が困難な部分は、AIの利用による高度な技術を取り入れたい
►サイバー攻撃を受けにくい会社にするためにマルウェアの検知から既知のシグネチャ対策でクローズして終わりではなく、攻撃内容を分析するためフォレンジックを行い分析・調査し、攻撃者の特定ができるようCSIRTを構築したい
4. SOC要員の確保と予算要求はどうやって実現できたか
当初は、全て情シスの社員がSOC運用を兼務でなんとなく行っていた。SOC運用開始時には、システム導入のようなカットオーバーはなく、導入したシステムを使って検知から遮断などの監視を続けていた。そんな状況から、外部SOCの構築、正式なSOCチームの設立、要員も増えるまでになった。どのようにしてSOCチームの存在が認められ、増員ができたのか、お話ししたい。
まず、経営層(意思決定者)には、直接会って定期的な脅威情報の報告を行った。全く攻撃が来ていない状態でも世間話をするなど、とにかくサイバーセキュリティに関する話を何度も何度も行った。
そうしているうちに経営者の方から他社で起きたインシデントについて詳しく教えてほしいなど、専門用語が普通に出てくるようになる。僕の場合、PCを使わず、ホワイトボードに手書きをして説明を繰り返し行った。また、自社に対して迷惑メールがどれだけ来ているか、毎回正確な数字を報告し、攻撃者の狙いなどについて解説した。一緒になって対応方法について話し合った記録が残っている。
放送局の業務特性もあるため、SOCが必要であることは理解してもらえた。また、要員についても個々の役割を細かく説明することで了承してもらえた。「自社に対して何も起こらなかったのに高いお金を払ってセキュリティに投資しなくても」と思う経営者が多くいるのも事実だ。何度もわかりやすく脅威情報を説明することが必要になってくる。この部分ができていないと何も始まらないことを知っておいてほしい。
5. 経営層にサイバーセキュリティの重要性を理解してもらう有効手段
確実に効果があるのは、同業他社における事故事例の説明だ。ランサムウェアなど、サイバー犯罪の被害についてメディアからの情報を伝えることが有効である。国内においては大きく報道されたインシデントの話をすることが、経営層を動かす手段だ。特に国内で起きた事故に対して、自社に起こりうる想定について説明するとよい。
僕の場合は、韓国の放送局を狙ったサイバー攻撃や、フランスの放送局を狙った攻撃などの事例を何度も何度もわかりやすく図を描いて説明した。実際のインシデントの例を挙げ、被害金額などを数値で示した。会社にとって重要な情報が何なのか、守るべき業務の優先順位を考えてもらうことが重要になる。
サイバーセキュリティに関心を持ってもらうために、情シスは想定できる損失を経営層に示せる唯一の職場である。SOCの重要性は、インシデント発生から対処するだけのチームではない。分析を行い、再度攻撃を受けないような強い組織にすることと、効果的な対策が講じられるようになることだ。同時に、セキュリティに対する社員のスキル向上が図れることだ。さらに、内部で発生していることを包み隠さず経営層にわかりやすく説明していくことが大切だ。
サイバー対策の進め方は社員が行っていくが、結果については経営層を仲間に入れて一緒に対応していく雰囲気づくりも重要になってくる。そうすることで、自社が対応すべきSOC運用について関心を持ってもらえるということになる。情シスとしても経営層と同じ視点で会話できるようになることがカギであると思っている。
6. SOC運用は、インシデントレスポンスを意識する
組織が大きければ大きいほど、縦割りと横のつながりがインシデントレスポンス(速さ)に関係してくる。SOCへの情報提供だけでなく、依頼をかける場合にも関係してくる。内部で実施するSOCは、インシデント発生時の迅速な対応など、情報システムの統制を担うべきである。
自社のセキュリティニーズに最適な形で外部SOCを活用するためにはどうすればいいのか、以下にポイントをまとめてみた。
外部SOCを選ぶ際のポイント
- ►対応時間とコミュニケーション手段について
-
- 24時間365日の対応が可能であり、その対応のレベルが変わらないこと
- 電話やメール、チャットなどのコミュニケーション手段が整っている
- 異常事態にはネットワークが使えないため、柔軟に対応できる手段があること
- ►提供される機能について
-
- 自社に必要な監視・管理機能が含まれている
- インシデント発生後の対応範囲や潜在的脅威の検出が可能
- 危険な状況での判断ができる体制であるか
- ►専門知識のある人材が揃っているか
-
- 高度なセキュリティスキルを持つ人材がいる
- 常に新しいことにチャレンジしている
- 多くの顧客対応や案件を経験している
- ►費用対効果があるか
-
- 自社内でSOCを構築するよりもコストが抑えられる
- 運営支出として扱えることができる
- ►実績と信頼性のある会社かどうか
-
- 過去の導入事例や実績が豊富である
- 他の企業からの評価やレビューがよい
外部SOCを利用する注意点について
- ►内部SOCからの依存度が強くならないようにする
- 外部SOCに完全に依存すると、自社のセキュリティ状況を把握しづらくなるため適切なバランスを保つことが重要。
- ►業界に特化したカスタマイズの要望が強すぎるとよくない
- 外部SOCのサービスは標準化されていることが多い。自社の特定のニーズに完全に対応できない場合は、どの部分で線を引くか検討する必要がある。
- ►データの取り扱いについて再委託先などの把握
- セキュリティデータの取り扱いに関して、外部委託先との信頼関係が重要。委託先のエラーにより、データ漏えいのリスクもある。外部へ委託するリスクを最小限に抑えるための対策が必要。
7. まとめ
当時は会社のパソコンのインシデント情報については、あまりオープンにすることはなく、なんとなく状況を隠すことが当たり前だったような気がする。2012年の頃は、サイバー攻撃による被害とコンピューターウイルス感染による被害は全く別物のようであった。
しかし、私が内部SOCの必要性を認識したのはITに対するサイバー攻撃の恐ろしさを知ってからである。さらに同業他社との情報共有がないと攻撃を受ける側が圧倒的に不利であると考えたからである。SOCは、守るべき範囲を定め、全社員を巻き込むことで、安心安全なIT運用ができるようになる。SOCは会社を守る組織になり、経営者としても自社に何が起きているか可視化できればセキュリティへの投資の理由が明確になるのではないだろうか。
<< 関連コラムはこちら >>
■サイバー攻撃から会社を守る ~セキュリティ対策トレーニング(訓練)のススメ~
■情シスはAIをいち早く活用して、新たなビジネスチャンスを生み出そう
■ベテラン情シスの知識・経験を会社としてどう継承すべき? ノウハウ継承の4つのアイディア
■初めてPoCを任された情シスへ伝えたい、成功のための事前準備とは?
■「報・連・相」では相談が肝心!情シス職場の風通しを良くする相談のコツ
■サイバー事故を防ぐセキュリティ研修のコツとは? 現場を巻き込むひと工夫が決め手!
■プロジェクト成功の秘訣とは? 情シスがPDCAの「Do」を意識して対応すること
■情シスは生成AIツールをどう使うべき? 失敗談から考えるビジネスへの活用法
■プレゼン資料作成スキルを上げる! 情シスの話が伝わる構成力を身につける方法
■情シスに伝えたい!IT専門用語をわかりやすく説明するには?
■気をつけたいシャドーIT! 情シスは「危険性の周知」と「管理の強化」を進めよう
■情シス不足解消策は採用のみにあらず! 組織内からできること
■ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策
■情シスはDXを考えていく上で、一体、何をすればいいのか?
■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ
■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント
■リスク事例で読む、情シスにしかできないITのリスクマネジメント
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全2話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。