左から、シスメックス株式会社 リー・アルビン氏、井尻盛太氏、谷本重和氏、
NRIセキュアテクノロジーズ株式会社 岡博文、Deen de Silva
本社だけでなく、グローバルに展開する海外拠点やサプライチェーンを構成する関係会社でもセキュリティ対策の成熟度を高め、いざという時には迅速に対応できる体制を整えたい。そのために、必要な社内の人材を育成し、アウトソースにばかり頼っている状況から脱却したい——ランサムウェアをはじめとするサイバー攻撃のリスクが高まる中、そんな要望を持つ日本企業が増えているといいます。
医療用検査機器や試薬・ソフトウェアの研究開発、製造・販売サービスをグローバルに展開するヘルスケア企業、「シスメックス株式会社(以下、シスメックス)」も、長年そんな思いを抱いてきました。Sysmex-CSIRTの整備とグローバルガバナンスの確立、人材育成、さらに「マネージド脅威情報分析サービス」で提供される情報を活用したグローバル連携等、一歩ずつ課題解決に取り組んでいます。
Sysmex-CSIRTを核としたセキュリティ対策に取り組んでいるシスメックスのDX戦略推進本部デジタル企画部谷本重和氏、井尻盛太氏、リー・アルビン氏に、マネージド脅威情報分析サービスを通じてシスメックスを支援するNRIセキュアテクノロジーズのディーン、岡の二人がお話をうかがいました。
攻撃のトレンドという「風」を読みながら、終わりなき戦いに挑む
谷本:シスメックスの本社は神戸ですが、事業においてはヨーロッパやアメリカ、中国といった海外市場が大きな比重を占めています。今まさに世界情勢が大きく変化しており、これからも予期しない出来事も増えていくでしょう。
そんな中で、当社が70余年培ってきたノウハウや知的財産を守るため、名実ともにグローバル企業にふさわしい体制を整えていこうとしています。Sysmex-CSIRTを立ち上げてFIRSTに加盟し、また海外販社の担当者と合同でサイバー机上演習を実施するなど、さまざまな取り組みを進めています。
井尻:私はそのSysmex-CSIRTで、SOCから上がってくるアラートを精査し、対応する役割を担っています。シスメックスは事業会社ではありますが、セキュリティに関する知見やスキルの獲得を積極的に目指し、トレーニング受講や資格取得にもチャレンジしています。
私自身も脅威インテリジェンスに関するSANSトレーニングを受講しました。そこで得た知見も生かしながら、OSINT等で得られる脅威インテリジェンス情報をベースに、グループのセキュリティを高めていくためプロアクティブに活動していきたいと考えています。
アルビン:私は主にグローバルガバナンスの構築に携わっています。現在は、ガバナンスもなければ各リージョンの方向性もなく、シスメックスと関係各社、海外販社の間のコモンランゲージもないという状況です。これらを変えるため、徐々に統制をかけている最中です。その一環として、シスメックスヨーロッパの約3300台のエンドポイントにEDR製品を導入したところです。
シスメックスにとっての宝物は製品情報やブループリント、試薬サンプル等の情報です。もしそれらの情報が外部に漏れれば、日本はもちろん、海外販社にも大きなインパクトがあります。脅威インテリジェンスサービスを使うことで、そうした情報が果たして外部に流出してしまっていないか、漏れているならどの程度流出しているのかといった事柄が徐々に見えてきたところです。
Q:マネージド脅威情報分析サービスの導入を検討したきっかけは何でしたか?
谷本:いろいろなセキュリティ対策を進める中で「アセット」に対する関心が高まっていきました。アセットというと、ISMS的には、Excelで標準テンプレートを作って資産をチェックしていくコンプライアンス型のアプローチがイメージされると思います。
しかし、Emotet対策として導入したDMARCのレポートを見たり、ShodanやMaltegoといったOSINTツールを使ってみたりすると、新たに見つかった脆弱性が事件につながっていくといいうことが分かってきました。サイバーセキュリティフレームワークをはじめとする各種ガイドラインや監督官庁の指針を元に対策を打っていくやり方もあります。
しかし、不確実性が高まるVUCA※の時代においては、地政学的なリスクも含めた「風」、つまり時局を読みながら対策をしていく必要があると考えています。単純にツールを入れて多層防御をやって終わり、CSIRTを作って終わりというよりも、攻撃のトレンドを感じながら対策を施していく必要があるのです。そもそも、われわれの戦いには終わりはないんですから。
※VUCAとは、Volatility・Uncertainty・Complexity・Ambiguityの頭文字を取った造語で、社会やビジネスにとって、未来の予測が難しくなる状況のことを意味します。この、Volatility(変動性)・Uncertainty(不確実性)・Complexity(複雑性)・Ambiguity(曖昧性)は、時代の特性を表しています。
質の高いレポートとプロフェッショナルの存在で不安を払拭
Q:マネージド脅威情報分析サービスの導入を検討したきっかけは何でしたか?
谷本:ディーンさんのような信頼できる専門家がいたからです。これに尽きますね。
井尻:そうです。ツールよりも人ですね。
Q:具体的には何が「信頼できる」理由となったのでしょうか?
アルビン:実は、シスメックスアメリカではすでに他の脅威インテリジェンスサービスを使っていたので、PoCを通して比較を行うことができました。ダークウェブやディープウェブから質の高い情報が得られることが理由の一つとなりました。
また、マネージドサービスなので、ツールから出てきたレポートをそのまま送ってくるのではなく、「何が問題か」を細かく丁寧に説明してくれる点も評価しました。これにはわれわれだけでなく、シスメックスアメリカの担当者も満足しています。
ディーン:ファクトを正確に把握し、最新の脅威と照し合せたうえで、アクショナブルな情報を提供することに努めています。
谷本:別のサービスを試してみたこともありますが、たとえば自社に対する攻撃予告の情報が上がってきたら、CSIRTとしてはレポートをまとめ、経営層に報告しなければなりません。そのときに求められるのが「証拠」です。
しかしそのサービスでは明確なアカウンタビリティを得ることができませんでした。その後もいろいろ探してみたんですが、「もうツールには騙されたくないな」という思いがあったのは事実です。ですが、NRIセキュアと色々お話をしていく中で、ディーンさんの姿勢や提供される丁寧なレポートの質に信頼を置けるようになりました。
専門家としての正しい見識と技能、経験によって私たちの不安を払拭してくれたのが大きいですね。プロフェッショナルが介在することで、われわれが求めるサービスが提供されていると感じます。
Q:マネージド脅威情報分析サービスの効果はどのように出ていますか?
アルビン:これまで、各リージョンのリスクやインパクト等はなかなか見えてきませんでした。ですが、このサービスによって、今までわれわれが把握できていなかった情報漏洩の兆候などを掴めるようになりました。
今後はNRIセキュアから、実際の活用例もうかがいながら、緊急度や内容に応じてどのように運用し、解決していくか等をワークフローに落とし込んでいきたいと考えています。経営層にいかにわかりやすく伝え、意思決定に生かしてもらえるかも、チャレンジの一部です。
ディーン:企業によって、要件や、リスクに対する温度感は全く異なります。地域によって反応も違うんですよね。なので、それぞれに合わせて運用の仕方を考えるのは大事なポイントだと思います。
井尻:マネージド脅威情報分析サービスを採用するにあたって、将来的には私たちの手で運用し、われわれ自身でこうした脅威情報を取り扱って対応できるチームになっていきたいと考えていました。そうした思いを汲んで、NRIセキュアからは内製化に向けたプランも示していただいていますし、自分自身も徐々にステップアップを図っていきたいと考えています。
谷本:最終的には、目指せディーンさんという感じです。ただ、モノ作りや伝統工芸の文化が根強い日本企業の特性として、「人」に任せていくという傾向もあります。今の時代、数十年かけてキャリアを作っていくやり方では、デジタル技術の変化に追いついていけません。組織としての成熟度を高めるためにも、ジョブ定義を明確にするといった面での取り組みも必要だと考えています。
「情報」という新たな財を守ることで経営層の理解を得る
Q:脅威インテリジェンスに対する投資に対し、定量的な効果は確認できていますか?
谷本:経営目線で投資回収ができたかどうかは、率直に言えばわかりません。これは私たちが決めるというよりも、私たちを支えてくださるステークホルダーの方々に評価してもらうのが筋ではないかと思います。
シスメックスという会社が、こうしたサービスを活用し、上場企業が果たす責任としてリスクの最小化に取り組んでいるということを評価してもらうのです。また、海外販社という顧客に対して、顧客満足度を上げていくことができたという効果はあったかなと思います。
岡:シスメックス社の経営層の皆様もセキュリティ投資にご理解があるんですね。
谷本:そこに至るまでは、長年一人でコツコツ取り組んできた井尻さんの努力をはじめ、少しずつ培ってきた信頼関係があって、それによって提案に対する理解が得られたと思っています。
岡:経営層との間で、まだそうした信頼関係を構築中の会社はどうしたらいいでしょうか。
谷本:経営側はよく「成功事例はあるの?」「隣の会社は何を使っているの?」といったことを聞いてきますよね。それはやはり、リスクを冒して大きなお買い物をする以上はきちんと効果を得たいからです。そして、実は、私たちが脅威インテリジェンスを検討をする際にも、こういったサービスに関する成功事例はあまり見当たらなかったんです。
自分たちの情報が侵害されてお詫びのメッセージを出さなければいけない事態になったり、ランサムウェアに暗号化されて有価証券取引所の開示ができなくなったり、といった事態の例を取れば、経営層も我がことのように理解してくれます。脅威インテリジェンスを通して、ダークウェブ等でそんな予兆や裏付けを把握して説明できれば、経営層の理解も得られると思います。それがまさにインテリジェンス、諜報ということだと思います。
もう一つ、まだピンときていない方も多いのかもしれませんが、情報というのはビジネスにおいて、新たな財、第四の価値を持つ財となり得ます。けれど、ダークウェブという市場で勝手にそれが値踏みされ、売られてしまうと、本来は独占できるはずの市場での競争に勝てないわけです。だから、勝手に値が付けられる前に、我々の手で我々の情報を保護し、情報が取られていないかどうかを早めに知っておく必要があります。リスクアセスメントも同じ文脈だと思います。「うちの情報価値ってわからへんがな」と言われることもありますが、何億円、何千万円損するという話にするとわかりやすいですよね。
岡:情報が価値を生んでいるからこそですね。そう考えていくと、脅威インテリジェンスは、セキュリティ企業だけが扱えればいいツールではないということでしょうか。
谷本:脅威インテリジェンスというのは、情報リテラシー、メディアリテラシーの一環だと考えています。われわれ市民一人一人が自分たちの目で見極め、取捨選択していくための基盤として、脅威インテリジェンス、諜報というものが存在しているわけです。民間企業も、SIEMやEDRといったツールを入れて終わるのではなく、自前でそれを回していかざるを得ない時代が来ているのだと思います。
岡:脅威インテリジェンスを通じてグローバル拠点と会話する、つまり、”情報”という血を通わせ、組織全体で有機的に連携しながら守っていくのがあるべき姿ということですね。最後に、他のお客様や企業に向けたメッセージをいただけないでしょうか。
谷本:一人では何もできません。シスメックスでこうした取り組みを実現できたのは、この3人がいたからだと思います。私が統括担当で、井尻さんが現場、アルビンさんがグローバル担当ですね。井尻さんがこつこつ運用をやってきたところに、私が来て、アルビンさんが来て…それぞれの個性と強みを持つ人間が集まることで、推進できたと思います。
今はフェイクニュースが飛び交い、昔のように一側面だけで判断するのが難しく、何が正しいのか、何が真実なのかが分かりにくい時代です。その中でわれわれは、われわれ自身の目で確かめたい。それも自分一人では難しいので、ここにいる三人のような仲間を呼び、脅威インテリジェンスの力を借りて、自社のセキュリティ管理の強化進めていきます。ひいては、弊社のミッション「ヘルスケアの進化をデザインする。」のもと、医療の発展や人々の健やかな暮らしに貢献していきます。
脅威インテリジェンスで得られる情報は次の一歩に向けて踏み出すときの羅針盤のようなものです。それらの情報を積み重ねることによって、より確かな「未来」に向かうことができるんだと確信しています。