セキュリティ対策コストは、運用の工夫次第で抑えられるもの。初期対応や自動化などにより、余計なコストを減らせる。ANAとミクシィの取り組みは参考になる。

 最近の標的型攻撃に代表されるサイバー攻撃は、ネットワークの境界だけでは守り切れない。このような攻撃の被害を減らしつつ、セキュリティ対策コストを抑えるには、(1)初期対応を迅速化すること、(2)インシデントを減らすこと、(3)手作業を自動化すること―の3つが肝要だ。

運用コストを抑える3つの原則

 初期対応を迅速化できれば、被害の拡大を未然に防ぎ余計な対策コストを費やさずに済む。また、インシデントそのものを減らせれば、対応するセキュリティ担当者の工数を削減できる。そして、手作業の自動化は、ヒューマンエラーを防止し、セキュリティ担当者の業務を削減できる。いずれも、運用コストの削減につながる。

 ここでは、全日本空輸(ANA)とミクシィの事例から、運用コストを抑える方法を見ていこう。

12の訓練項目でロールプレイ

 「どんなにセキュリティ対策を実施しても、標的型攻撃のメールをクリックしてしまう確率は変わらない。攻撃は受けるものとして事後対応の迅速化にも注力すべき」―。こう話すのは、ANAシステムズの品質・セキュリティ管理部 阿部恭一エグゼクティブマネージャだ。

ANAグループのセキュリティ対策メンバー。列中央がANAシステムズの品質・セキュリティ管理部 阿部恭一エグゼクティブマネージャ
[画像のクリックで拡大表示]

 ANAシステムズでは、初期対応の迅速化に向け訓練を実施している。ポイントは、効果的なタイミングに頻繁に実施することと、リソースが限られている中で効果的に動けるように実際の攻撃を仮定した訓練シナリオを作成することだ。

ANAでは毎週インシデント対応訓練を行う
人的ミスを減らし、運用コストの増大を防ぐ
[画像のクリックで拡大表示]

 「セキュリティチームの人材が入れ替わる春などは一時的に対応能力が落ちる」(阿部エグゼクティブマネージャ)。このような時期は1週間ごとに訓練を実施し、セキュリティ侵害があった際に迅速に動ける人材を短期間で育成するという。

 自社の人材を育てることは、外部への丸投げ防止にもつながる。高度な分析が必要な箇所だけを外部に依頼し、インシデントへの初期対応などは社内で迅速に実施できる体制にするわけだ。丸投げよりもコストは抑えられる。

 訓練シナリオも工夫している。ANAシステムズでは、実際に攻撃される可能性が高い12の訓練シナリオを作成。大量のアクセスを送りつけてサービス停止を狙うDDoS(Distributed Denial of Service)攻撃を受けた、PCのデータを人質に取って身代金を要求するランサムウエアの侵入が発生した、といった状況を想定し、セキュリティ対策チームがインシデントを報告し、実際に対策を施すまで、決められた順番で動けるかどうかをロールプレイするわけだ。

 こうした訓練は確実に成果を上げている。「ここ数カ月で12の項目に指定した攻撃を数回受けた」(阿部エグゼクティブマネージャ)からだ。

この先は有料会員の登録が必要です。「日経SYSTEMS」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら