- 「金融業界における新しいセキュリティオペレーションの形」パロアルトネットワークス株式会社 染谷 征良 氏
- 「SOCトランスフォーメーションによる、セキュリティオペレーションの改革」パロアルトネットワークス株式会社 露木 正樹 氏
- 「アタックサーフェース管理の新潮流 — Cortex Xpanseが提供する攻撃対象領域の管理方法」パロアルトネットワークス株式会社 野口 みどり 氏
「金融業界における新しいセキュリティオペレーションの形」
- 【講演者】
- パロアルトネットワークス株式会社
チーフサイバーセキュリティストラテジスト
染谷 征良 氏
<ビジネスニーズの多様化に伴うIT環境の変化と複雑化/深刻化するサイバーリスク>
昨今、業務アプリケーションのクラウド移行やテレワークなどの働き方改革、DXによる抜本的なビジネスモデル変革、サプライチェーンとのデータ統合によるビジネスプロセスの高度化など、多様化するビジネスニーズに対しITが重要な役割を果たしている。一方でIT環境が複雑に変化すると同時にセキュリティリスクも多様化することで、監視対象が増加するなどセキュリティオペレーション業務は複雑化している。
自組織だけでなく様々なステークホルダーにまで影響が及ぶインシデントが国内外で頻発するなど、サイバーリスクのビジネスインパクトは甚大になっている。弊社が年商300億円以上の民間企業の経営層1300名を対象にした調査結果によると、約96%の企業が過去1年間にセキュリティインシデントを経験し、それらによる事業継続の停滞を経験したのは約33%に上った。日本企業に限れば事業継続への影響があった企業は約23%だが、知的財産の漏洩が約41%と世界的にも多い結果となった。さらにインシデント1件あたりの復旧に要するコストは約3億円に上り、年々増加している。
<サイバーリスクの最新トレンド>
また、近年では業務委託先や取引先などのサプライチェーンにおけるセキュリティの不備が、サイバーリスクを深刻化させる1つの要因となっており、金融機関においては約63%がサプライチェーンに起因したインシデントを経験している。また、デジタル化に伴う傾向として、様々な所で確認されている攻撃対象領域のうちの約91%はオンプレミス環境ではなくクラウド環境である事も明らかとなった。その他、ビジネスメール詐欺やランサムウェアによる攻撃、機密情報の窃取や暴露等の被害も多発している。
企業のセキュリティ施策を一層複雑化させる原因が2つ存在する。
1つ目はデータ活用の活発化を背景とした個人情報関連の法規制の厳格化である。個人情報を守るためのセキュリティ対策が不十分だった場合には、その過失に対する罰則が厳しくなっている点などが挙げられる。
2つ目は、「防衛産業サイバーセキュリティ基準」や「重要インフラのサイバーセキュリティに係わる行動計画」等のセキュリティ政策である。従来のように脅威を特定し防御するだけでなく、早期にインシデントを検知し対応、復旧できる体制の整備が必要となり、ここでもセキュリティ対策が不十分な場合にビジネスリスクをはらんでいる点が共通している。つまり説明責任が果たせるセキュリティの整備がポイントになる。
これらを踏まえ、サプライチェーンを含めた安全性の確保と対応体制の整備が重要インフラ分野を超えて経営課題になっているのである。
<セキュリティオペレーションの高度化・効率化を妨げる課題>
組織において説明責任を果たせるセキュリティを確保する為に、セキュリティオペレーションの責任の範囲や対応領域はセキュリティ組織運営からインシデント対応、内部統制や外部組織との連携等多岐にわたっている。弊社がセキュリティ責任者に対して実施した調査によると、これらのセキュリティオペレーションの対応領域を網羅的に整備出来ていて、セキュリティオペレーションの成熟度が高いと自己評価したのは日本国内ではわずか8%だった。
セキュリティオペレーションの高度化においてはセキュリティ人材の不足や、アラート疲れ、多数の製品・サービス導入による煩雑な管理や運用、企業のインフラ全体での可視性の欠如、技術の複雑化などが課題となっている。つまり、サイバーリスクは複雑かつ深刻化する一方で、個別最適やサイロ化が実効性のあるセキュリティ実現の妨げになっているのである。
<金融業界で進むゼロトラストと必要となるセキュリティオペレーション>
コロナ禍で最も話題になったセキュリティに関するキーワードが「ゼロトラスト」である。昨今のIT環境、ビジネスニーズ、サイバーリスクの変化などを総合的に鑑みるとゼロトラストは極めて重要なセキュリティ戦略の1つであり、最も積極的に取り組んでいる業種の1つが金融業界である。
弊社独自の調査によると金融業界の約35%の企業が、今後3年間のセキュリティの最重要施策は「ゼロトラスト」と回答した。しかしながら様々な業種を見ると、ゼロトラストはインフラ全体で取り組むべきものであるが、個別の新しいツールを導入することに注力しているケースが多く、インフラ全体でのデータを活用したアナリティクスや、インシデント発生時の対応の自動化、攻撃対象領域の特定などの施策が進んでいないのが現状である。これらの施策は如何に脅威を早期に検知し、対応、復旧に結びつけるかに直結するものであり、リスクを如何にして削減し被害を最小化させるという点において押さえていただきたい施策になる。
<セキュリティオペレーションの成熟はゴール達成に寄与する>
前述の調査においてセキュリティオペレーションが成熟していると回答した企業の場合、インシデント発生時に組織として適切な対応ができ、また組織への深刻な被害を防ぐことができると回答している傾向が特に強い。これらの企業はセキュリティデータの有効活用、インシデント対応の自動化、スキルのあるエンジニアによるスレットハンティングといった能動的かつ技術的な取り組み等の施策に取り組んでいることがわかった。
金融業界においては、メガバンク以外はセキュリティオペレーションを外部委託しているケースが多く、セキュリティオペレーションを高めるには内製化は1つのテーマになってくるだろう。
<まとめ>
金融業界に限らず、セキュリティの人材不足やスキル不足が深刻な問題になっているなかで、セキュリティオペレーションを高度化させるには次の3点が重要となる。1つ目に、いかにしてエンドポイントから認証基盤までセキュリティデータを統合し、AIで分析をして脅威やリスクを迅速に特定していく、AIドリブンでのセキュリティデータの活用が必要である。2つ目はテクノロジーを活用した定型的・反復的なインシデント対応の自動化・自律化による対応速度の向上と効率化である。最後に、セキュリティ人材の活用方法や責任範囲の再定義である。テクノロジーを活用し定型業務を自動化した分、優秀なエンジニアの技術力を活かし、向上できる取り組みにリソースを充てることで被害を未遂にする組織を実現させる事が重要である。
従来は人が中心だったセキュリティオペレーションを、既存の投資も活かしながら、データ/テクノロジー中心のものに変えていくことで、インシデントが発生した場合でも適切に対応し、深刻な被害を発生させないようにすることに繋がっていくと考えている。このような新しいセキュリティオペレーションの考え方、発想の転換を是非検討いただきたい。
