導入の背景
自社製品・サービスを通じて得たデータをサイバー攻撃から守っていくことはステークホルダーに対する重要ミッション
シスメックス株式会社 DX戦略推進本部 井尻 盛太 氏(CISSP, SSCP, GCTI)
シスメックスがサイバーセキュリティの専門知識をもつ人材を育成することになった背景について、井尻氏は自社のミッションや、それに基づく過去のセキュリティ対応内容や現状を交え、以下のように説明してくれました。
「被害規模の大小を問わず、病院内や検査機関におけるネットワーク停止やシステム損失は、患者に甚大な影響を及ぼす恐れがあるだけでなく、社会に与えるインパクトも大きくなっています。そんな中、シスメックス株式会社では、自社製品・サービスを通じて得たデータをサイバー攻撃から守っていくことをステークホルダーに対する重要ミッションととらえてきました。
そこで2018年より製品セキュリティに対する安全性や品質を保証するため、本社・信頼性保証部内にPSIRT(Product Security Incident Response Team)を設置し、自社製品・機器に対する脆弱性対応に取り組むとともに、製品セキュリティポリシーを整備しました。
ランサムウェアの蔓延などサイバー攻撃が頻繁に発生する今日では、社内運用もその例外ではありません。そこで2020年10月、Sysmex-CSIRTを設置し、社内外のセキュリティ監視(モニタリング)を行うSOC(Security Operation Center)と連携しながら、インシデントに対する運用面を整えてきました。現在は4人のメンバーを中心に、日常的なセキュリティ監視運用や、グローバルを視野にした情報セキュリティガバナンス確立の推進活動にも取り組んでいます。
近年では医療データの利活用が進み、5Gネットワークやクラウド環境など外部IoTサービスとつながる場面が増えてきました。ビジネスを取り巻くIT環境が大きく変化する中、ヘルスケア企業が取り扱う個人情報や、医療機器に関するデータ漏えいのサイバーセキュリティリスクをいかに低減するかがSysmex-CSIRTの活動に求められていると考え、日々対策に取り組んでいます」
導入の経緯
サイバーセキュリティ専門家が不足する事業会社においてもベースとなるコア知識は必須~セキュリティ会社でも通用するプロフェッション資格獲得を視野に
事業会社においては、情報セキュリティに関する豊富な専門知識や高度なサイバー攻撃に対応可能なインシデントハンドリング経験を持つ専門家(エキスパート)が日常的に不足しており、シスメックスも例外ではありません。そのため、迅速かつ確実にサイバーセキュリティの体系知識を習得できるトレーニングや高度な専門資格獲得は、業務遂行上必要不可欠であるととらえています。
Sysmex-CSIRTの主力メンバーである井尻盛太氏は、入社後、情報システム部門で社内サーバやネットワークを中心にインフラ運用業務を担当してきました。約5年前からはセキュリティ専任となり、社内情報セキュリティポリシー策定やEDR等のソリューション選定や展開に従事しています。
デジタルトランスフォーメーションに必要なIT基礎知識はありましたが、「サイバーセキュリティの業務には、高度かつ専門的知識と実践的なスキルが求められる」と感じた井尻氏は、手始めに市販書籍などを参考に、独学でSSCP(Systems Security Certified Practitioner)を、2015年にはCISSP (Certified Information Systems Security Professional) を取得しました。これにより「日常業務に自信を持って取り組めました」と振り返ります。
井尻氏を含めたSysmex-CSIRTのメンバーは、米国(シカゴ)、欧州(ドイツ)、中国(上海)、アジアパシフィック(シンガポール)の主要拠点と常時連携し、日頃から地域情報セキュリティ責任者との情報共有やコミュニケーションを図るとともに、インシデント発生時のコーディネーション業務を主に担当しています。2020年からはセキュリティ監視運用(SOC)をグローバル全体にも推進すべく、エバンジェリスト活動にも取り組んでいます。さらに2021年11月には、国内の医療機器メーカーとしては初めて「FIRST」にも加盟し、同コミュニティとも連携しながら、メンバーへ脅威情報の提供や注意喚起を行っています。
Sysmex-CSIRTが海外業務を遂行する上で、OSINT(Open Source Intelligence)情報の収集や「脅威インテリジェンス」も重要な社内サービスであると考えています。「アクセスコントロールやID管理といったセキュリティを構成する各分野を理解することは重要ですが、さらに、各リージョンメンバーを迅速かつ確実に支援するために、『脅威インテリジェンス』は今や業務上必須だと感じています」
導入の効果
サイバーセキュリティ専門家と対等に会話できるスキル獲得やコミュニケーションは必須
FOR 578(Cyber Threat Intelligence)
井尻氏はFOR 578を受講し、2021年にGCTI(GIAC Cyber Threat Intelligence)に合格しました。
「インシデント対応活動の要諦は、まず攻撃者が何を考え、次にどのように振る舞うかを知ることです。脅威インテリジェンスの知識を得る機会として受講しました」
FOR 578では、最初に攻撃者がどのような属性かを特定する「アトリビューション」手法について学びました。仮説を立てつつ「なぜ、その結論に至ったか」を論理的に説明するために、OSINTのソース情報(出典)の裏付けと見極めが重要だと実感したそうです。
「脅威インテリジェンスには、過去の経験で得た運用技術やCISSPで学んだ情報セキュリティ分野だけでなく、現在の世界で起きている国際関係分野や地政学リスクに関する時事情報の理解も含まれます。技術運用分野にはない、新領域に足を踏み入れた感覚を持ちました」
SANSトレーニングを通じて得た体感を生かしつつ、グローバル認定資格トレーニングにより得た知見を、日々積極的に活用しています。
FOR 508(Advanced Incident Response, Threat Hunting, and Digital Forensics)
井尻氏はさらにFOR 508を通じ、デジタルフォレンジック技術について学びました。受講内容は「率直に言って、非常に高度な技術です」と語ります。自分自身の手でフォレンジックを行うとまではいかなくとも、「インシデントレスポンスや脅威ハンティングの考え方やコツをつかみ、『フォレンジック調査ツールを使い、このような進め方が妥当である』という証拠保全の流れを理解することができました」
もし外部のセキュリティ専門企業の力を借りることになった場合、専門家と同じプロトコル(共通言語)で会話し、適切に発注を依頼し、受け取ったレポート内容を吟味できるようになります。この体感にこそ、事業会社のCSIRT担当者が、高度なトレーニングを受ける意味があると考えています。
今後の展望
各リージョンのITセキュリティ成熟度の向上を図り、さらなるサイバーセキュリティ強化を
Sysmex-CSIRTでは、海外の地域情報セキュリティ責任者とコミュニケーションを取りつつ、情報セキュリティアセスメント(自己評価)を実施しています。「各リージョンがどの程度のIT成熟度に達しており、どこに本社からの支援が必要なのかを把握し、コーポレート経営層に報告しています」
「今後は、SANSトレーニングを通じて得た理解や知識をベースに、各リージョンと良好な関係を築き、必要に応じて新たなソリューションの提案を行いつつ、シスメックス全体のIT成熟度を高めていく計画です。その結果として、今後も脅威が増すランサムウェア被害やサイバー攻撃といったサイバーセキュリティリスクから、シスメックスを守っていきたいと考えています」
同時に、個人のスキルや技能を高めるだけでなく、「本社や各営業拠点にもトレーニングを実施し、より多くの人にトレーニングを通じて得られた知見を展開し、インシデント対応体制の強化とメンバーのキャリア向上や人材育成開発につなげていければと考えています」とも述べています。
また、自分個人の業務にもトレーニングの内容を反映し、それが将来的にCSIRT全体のレベルアップにつながることを期待しています。
「以前はほぼ私一人でやっていた社内業務でしたが、昨年より強力な2人の新メンバーも加わり、ようやくチームとして形になってきました。今後私がコーチングをする立場となり、メンバーのインシデント対応能力の向上につなげることで、組織全体のITセキュリティ成熟度向上にも貢献できるのではないかと考えています」
※本文中の組織名、職名、概要図は2022年2月時点のものです。