はじめに

ここ数ヶ月間、サイバーセキュリティ関連の相談や助言依頼の件数が増加しています。特に、発生したインシデントへの対応に関することですが、その一部に、被害組織から対処支援を求められたシステム関連会社等からの依頼もあります。

このような状況の中で、次のような「不都合な事実」がインシデントによる被害の甚大化の要因に繋がる事象が垣間見られます。

• 被害組織のCISO（Chief Information Security Officer：特に担当役員）における知識と経験の深刻な不足。特にサイバー脅威の発生メカニズムや侵害プロセスの基本的な知識、およびレスポンスフレームワークの知見が欠如。
• メーカーや保守業者におけるセキュリティ対策の実務能力が、急激に進展するサイバー脅威に対して相対的に低下。以前と比較すると対策能力は向上しているが、脅威に追いついていない。
• サイバーセキュリティ専門会社が増えているが、社内で即戦力になる人材は限られていることに加え、 得意不得意の領域が際立つ。被害組織から見ると、専門会社の技術者全てを専門家と見なしてしまう。

これらの事象を前提として、私が参画している複数のチームの現場経験で得られた教訓を2つ紹介します。

インシデントへの備えの考え方

まず、取り上げるべきは、組織内で発生する可能性のあるセキュリティインシデントへの備えの考え方です。十分な知識と経験を有する専任CISO（部長職ではなく役員）が設置され、明確な任務が与えられている組織はほんのわずかしかない印象です。CISOが設置されているという企業であっても「（事実上の）名ばかりであること」「部長職の幹部社員に任せる」「他の役職と兼務させる」などが目立ちます。そのため、インシデントへの備えの戦略が稚拙または形骸化することがしばしばです。

インシデントへの備えに関する知識体系は、二十数年前に完成しており[1]、組織や業界全体のインシデント対応のために利用されています。最近では、国家レベルでそれを採用し始めています。最近、日本政府が「サイバー安全保障」という言葉を作り出しましたが、英語のcybersecurityと同じで、新しい概念ではありません。そして、その一部機能を切り取った形で「能動的サイバー防御」などのような日本独自の考え方が生まれています。

これらの状況で見出された教訓は「インシデント対応（Incident Reponse）とインシデント対処（Incident Handling）を混同させるべきではない」ことです。ここ二十数年にわたり、さまざまな専門家の経験に基づいて積み上げられてきた知識体系において、次のように説明されています。

• インシデント対応（Incident Response）は、インシデントが発生した場合に、効果的かつ迅速に対応し、被害を最小限に抑えることを目指すものです。そのため、インシデントの検知、通知、調査、評価、対応、復旧などの段階的なプロセスを中心とした「計画的な全体戦略」を重要視します。
• インシデント対処（Incident Handling）は、インシデントに直面した場合に、手順に基づいて実際に行動を起こすことを指します。特に、具体的なインシデントの対応、情報の収集、証拠の確保、被害の抑制、影響の最小化などの行動など、「実際の現場での迅速かつ具体的な対応作業」を重要視します。

前者は、専任CISOが中心となり、全ての部門が関与し、組織的能力を高めていく持続的な努力が必要となります。後者は、CSIRT（Computer Security Incident Response Team）が中心となり、関係する社内部門や外部専門家と連携し、インシデント対応の一つのプロセスを担います。

---

[1] Handbook for Computer Security Incident Response Teams(CSIRTs)https://insights.sei.cmu.edu/documents/1606/2003_002_001_14102.pdf

サイバー脅威インテリジェンスの理解と重要性

不正侵害等により甚大な被害を受けた組織への支援において、もっとも際立っている共通性は、日常的に実施すべき「サイバー脅威インテリジェンス」の軽視です。次のような要因があります。

• 不正侵害が組織の事業活動や業務に深刻な影響を及ぼす事態に至るまで、その発生を予見し評価するための努力を怠っていた。
• サイバー脅威の事業リスクを的確に見積もるには、徹底的な状況認識が必要である。しかし、現場と経営陣とのコミュニケーションが不十分なため、リスクレベルを都合よく設定していた。
• サイバー脅威インテリジェンスの実装には、多額なコストがかかり、専門的な技能を持つ人材の確保や専門ツールの導入・運用が必要であるが、経営陣の理解が得られていなかった。
• 管理者層が、自ら経験のないサイバー脅威インテリジェンス活動への理解が乏しく、既存の業務に兼務させていた。この活動は、膨大な時間と労力を要するため、満足な結果を出せていなかった。

このような状況に基づく教訓は、「サイバー脅威インテリジェンスを、組織が保有すべき『知識』と『洞察』という二つの側面で捉えること」となります。デジタル化を進めていない組織であっても、事業活動の一部を「デジタル化を進めている他社（委託先）」に依存している場合は、その規模に関係なく、このような知識と洞察が必要です。

これをわかりやすい表現で説明すると、次のようになります。

• サイバー脅威インテリジェンスは、組織に対する「知識ある警備員」のような存在です。この警備員は、組織の周りを巡回し、様々な情報源から得た情報を分析し、潜在的な脅威や攻撃の兆候を見つけ出します。警備員は常に新しい脅威や攻撃手法に対する最新の知識を持ち、その情報を基にセキュリティ対策を強化します。
• また、サイバー脅威インテリジェンスは「分析力のある刑事」にも例えられます。刑事は犯罪のパターンや傾向を理解し、犯人の動きを予測するために証拠を集め、その情報をもとに事件の解決や未然の防止に取り組みます。

市場において、サイバーセキュリティに関する最新情報を提供するサービスを「サイバー脅威インテリジェンス」と称しているものがありますが、これは「看板に偽りあり」「中身を伴わない売り文句」となっている可能性があります。

おわりに

サイバーセキュリティは単なる技術的問題ではありません。不正侵害等のインシデントが事業活動に直接的または間接的に深刻な影響を及ぼすため、今は、組織全体で取り組むべき経営課題となっています。そのため、技術、人、プロセスを包括的に考慮したアプローチが必要となります。

ところが、組織を運営している人が行うリスク評価は、日頃の経験に基づいたものになります。これは「経験主義」として知られ、個々の人は過去の出来事や日常の観察から得た情報を使って、未来の事象や行動のリスクを予測するものです。いくつかの記事において「正常性バイアス」や「先入観」として批評されています。厄介なことに、不正侵害等のインシデントは、突然発生します。それまでの「日頃の経験」だけでは、リスクを感じることが難しく、組織的認知の獲得に至ることは稀です。

サイバー空間には、自然災害の兆候を積極的に提供してくれる気象機関や、犯罪発生を予測してパトロールしてくれる警察機関は存在しません。発生の兆候は、組織自らの多大な努力で得なければなりません。この努力が「サイバー脅威インテリジェンス」です。さらに、冒頭にお伝えした「不都合な事実」を考慮すると、その重要性は増していると言えます。

今の、日本国内の状況を眺める限り、それぞれの組織は「サイバー脅威から何を守るべきか」を考える時期にきていると思います。

※本内容の引用・転載を禁止します。