セキュリティ事故は本当に起こってみないと、なかなかその実態がつかみにくい。そこで実際の対応の流れや関係者の意識の変化などを具体的に伝えるために、当記事は架空の組織で起こったセキュリティ事故に立ち向かう登場人物たちの物語として描いてみた。題して「泣くな!セキュリティ対策室物語」。第1回は事故発生よりおよそ1年前、情報システム部門が新たなセキュリティ対策を進めていたところから始まる。
A社 情報システム部門 丸上泡也 編
A社について
社員数3,500名の国内中堅メーカー企業。家電や電子機器、スマートフォンなどの部品を製造し、大手メーカーに向けて販売している。また、消費者向けの家電や消耗品も製造しており、その品質の良さと低価格によってシェアを拡大し続けている。販売は自社ネットショップでも行っている。会員登録者数は5万人。今注目され始めている有望な企業であり、売上拡大とともに、ネットショップの会員数も伸ばし、社員数も年々増加している。一方で、社員数の増加に伴い業務用PCの管理や情報漏えい対策など、IT統制・セキュリティ対策が課題となっている。
登場人物
丸上泡也(27歳) A社の情報システム部門の担当。
大山室長(40歳)
入社して5年目、情報システム部門でネットワークやサーバ構築を主に担当してきた丸上は、社内で新たに発足する「セキュリティ対策室」への配属という辞令を受け取った。ただし、もともとの情報システム部門と兼務してA社のセキュリティ対策を推進するという内容だった。丸上はセキュリティについては専門雑誌を趣味で購読するなどしており、セキュリティやハッキング手法にとても興味を持っていたため、今回の異動辞令に関しては内心喜んでいた。
数日後
「セキュリティついては自信があります! よろしくお願いします!」
着任初日、丸上は軽く息を荒らげて自己紹介を行った。やらねばならないことは山ほどある。実は、丸上は配属の前日、睡眠時間を削り社内のセキュリティ対策について課題を洗い出し、小さい文字でA3用紙いっぱいになるほど課題を積み上げていた。セキュリティ対策室の室長である大山は丸上の初日の意気込みに感心し、今後の方針についてはおおむね丸上の資料に基づき決定するよう進めていった。他のメンバーもセキュリティに関しては全くの素人だったため、丸上の書いた資料に対して従うのみだった。
普段から社内のセキュリティに関して問題意識が高かった丸上は、初日から、対策室の業務としてサイバー攻撃によるリスクの洗い出しと課題整理を行うことを提案した。室長の大山は、丸上の提案を採用し、1週間で結果を出すように指示を出した。対策室の他のメンバーは室長も含めセキュリティに関しては全くの素人ぞろいだったため、丸上の進める方針に従うこととしたのである。
1週間後、対策室の全員が他業務との兼務であったにもかかわらず以下の課題を洗い出した。
丸上が作成した課題は次に挙げる通り、技術的な課題がメインとなっていた。
ウイルス対策
ウイルス対策ソフトの導入
現在のウイルス対策ソフトではパターンマッチングのみ対応で、ふるまい検知等のヒューリスティック検知技術が使われていない。標的型攻撃対策を行うためにふるまい検知機能を備えたウイルス対策ソフトの導入を検討すべき。
自社のWebサイト、Webサービスの脆弱性検査
脆弱性検査
現在当社のWebサービスを利用しているユーザーは5万人程度であるが、個人情報やクレジットカード情報などの機微な情報を取り扱っている。Webの脆弱性を突かれた個人情報漏えい事件も頻発しているため、事前に脆弱性を修正しておく必要がある。そのためには脆弱性診断業者を利用して第三者に指摘してもらう必要がある。
社内ネットワーク上のPC管理について
パッチの適用
現在の社内ネットワーク上に存在する業務使用端末は主にWindowsを使用しているが、Windows XPもまだ業務都合により利用している状況である。さらに、Windows Update等のパッチ適用についても各個人に任せられている状態のため、セキュリティパッチ未適用の端末も存在している。一刻も早く最新のOS導入、パッチ適用の強制化を行うべきである。
メールの利用方法について
メーラー
当社はお客さまとのやりとりについては主に電子メールを使用しているが、メールの運用方法については特に指示がされていない。標的型攻撃ではメールにマルウェアを添付したり、メール本文中のURLをクリックさせてマルウェアを感染させる手法が主流となっているため、メールフィルタの機能を持つ製品の検討や、怪しいメールを開かないようにする訓練を受ける必要がある。
インターネット利用方法について
インターネットのURLフィルタリング
社員のほとんどが業務に関係ないWebサイトやショッピングサイトなどを私用で利用し、私的な連絡手段としても利用しているケースがある。昨今の標的型攻撃と並び、水飲み場型攻撃といったよくアクセスされるWebサイトにマルウェアが仕込まれるケースもあるため、社員がインターネットを私的利用することによって起きるリスクを減らすために、URLフィルタリングができる製品導入を検討する必要がある。
社内のファイルサーバーの運用管理について
ファイルサーバー
全社ファイルサーバーにおけるアクセスコントロールが管理されておらず、現在は誰でもどのフォルダ/ファイルへもアクセスが可能な状態となってしまっている。次のアカウント管理と同時にファイルサーバーへのアクセス権限を見直すべきである。
社員PCのユーザー権限について
ユーザー権限
全社で利用しているPCについてはパッチ管理ができていない点も問題であるが、使用するアカウントに管理者権限が付与されている点も課題である。意図せずマルウェアをインストールしてしまう可能性がある。今後は全社員が利用するアカウントの管理を行うために、ActiveDirectory等のディレクトリサービスを構築し、適切にアクセス制御を行っていく必要がある。
私用PCや端末の社内持ち込みについて
持ち込みパソコン
一部の社員や協力会社社員が私用PCを社内に持ち込んでいるケースが散見される。私用PCはどのネットワークに接続しているか不明であり、セキュリティ対策も不明であるため、社内ネットワークへの持ち込みだけでなく、社内への持ち込みそのものも制限しておくべきである。
社内ネットワークの細分化について
ネットワーク
現在の社内ネットワークは大きな1つのネットワークになっており、全ての端末が疎通できる状態にある。仮に1台の端末がマルウェアに感染してしまった場合には、全ての端末に感染してしまう可能性が高いため、これを複数のセグメントに分割し、IPアドレスの払い出しに関しても管理していくべきである。将来的には802.1xによる認証VLANの導入まで検討したい。
(以上、丸上が作成した「当社におけるセキュリティ課題一覧」から抜粋)
これらの課題の中で、大山室長は丸上率いるチームに対して、すぐにでも着手が可能で、コストがかからない対策から推進せよと指示を出した。この指示には理由があった。まだ発足したてのセキュリティ対策室は、予算もなく何の権限も与えられていなかったからである。そこで大山は、まずは実績を作ることを目標にし、コストをかけずにすぐにでも始められる対策からスタートしようと考えたのである。
半年後
丸上は早速翌日からチームメンバーと共に先に挙げた課題について対策方法を検討し、必要なコストを見積もっていった。チームの全員が他部門との兼務であったため、対策方法の検討にはかなり時間を要し、半年をかけてようやくコストを最小限に抑えた対策案をリストアップすることができた。作成したセキュリティ対策検討結果報告書は、室長である大山から承認を得て、最終的に社長決裁によって、スタートしていくことになった……。
セキュリティ対策室発足から1年が経過したある日の朝、丸上はこれまで順調に行ってきたつもりだった各対策が役に立たなかったこと、自身の思い上がりと力不足を思い知らされることになるのだった。
(つづく)
