海外でのサイバーセキュリティ対応の最前線
〜脆弱性管理からインシデント対応まで〜

＜SECのサイバーリスク管理とインシデント開示義務への対応＞

SECは米国の証券取引所に関する新しい法律だ。今回は、サイバーセキュリティの観点から見たときにSECのレギュレーションがどう影響するかについてお話しする。SECの目的は投資家の保護であり、インシデント情報が企業の株価に影響する可能性があるため、投資家の判断に役立てるために整備されたものだ。サイバー攻撃が報告されず、情報開示が正確でないため、透明性が欠如しているのが現状だ。ランサムウェアに関するSEC提出書類を見ると、金銭的被害が6,300万ドル、1億8,900万ドルなどに及ぶケースもあり、ビジネスに大きな影響を与えるようになっている。

SECはサイバーセキュリティで初めてというわけではなく、これまでもCIRCIAやGDPRなどの規制や協定が作られてきた。SECの新ルールでは、株価に影響を及ぼすようなインシデントがあった場合、4営業日以内に報告を義務付けている。より早い情報開示の義務付けであり、インシデントの根本原因やリカバリー対策等も記述する必要がある。SECの対象は米国企業だけでなく、例えばニューヨーク証券取引所に上場している日本企業等も含まれるのが特徴だ。

＜SECへの対応＞

SECに対応するには、インシデントの追跡方法、判断するプロセス、監査の実施方法、攻撃への対策等がポイントとなる。対応の鍵は準備することであり、リスクとセキュリティを意識した企業文化を醸成し、適切な計画の策定が必要だ。当社の製品は、お客さまのビジネスやお仕事の内容をワークフローによって自動化することをテーマとしており、SECの対応にも活用いただける。当社の製品を組み合わせることにより、リスクの予想・プロテクト・応答・適応の各ライフサイクル管理が可能だ。

＜これから考えるべきこと＞

これまでサイバーセキュリティでは、どう防ぐかに焦点が当てられていた。しかしSECのような法律が作られてくると、これからはどう報告するかも重要となる。多数の部署がそれぞれ連携をしながら1つのボードを作っていく必要がある。運用を自動化し、日々の運用を可視化できる運用ツールが必要だ。

＜真に求められる脆弱性管理とは＞

昨今のセキュリティ状況で特に大きな脅威となっているのは、ランサムウェア、内部不正、サプライチェーン・セキュリティ、脆弱性をついた攻撃、巧妙化するメールによる侵入だ。これら全てを人の手で対処するのは無理で、機械によって自動化しなくてはならない。

当社の製品はこのような人間のワークロードを自動化によってできるだけ減らし、人間は判断をすることにフォーカスするためのものだ。主に4種類に分かれ、社内IT業務を楽にするTechnology Workflow、社外顧客対応業務を楽にするCustomer Workflow、社内人事業務を楽にするEmployee Workflow、アプリを簡単に開発するCreator Workflowだ。SECについてはTechnology Workflowの1つである「Security Operations(SecOps)」で対応しており、IT運用を自動化する「IT Operations Management(ITOM)」やリスク管理を行う「Integrated Risk Management(IRM)」といった他のソリューションとコラボしながら機能する。

＜サイバー・レジリエンスの4つの段階＞

当社の製品は「予想する」「プロテクト」「応答する」「適応する」の4段階に合わせて機能していく。「予想する」において当社のITオペレーションマネジメントは、守るべきものがどこにあるかを可視化できる。ビジネスインパクト分析を実施してリスクを判断し、対処の優先順位を付けることも可能だ。

「プロテクト」ではインフラ、アプリケーション、コンテナ、OTスタックにわたる領域の脆弱性のトリアージ・割り当て・修復ワークフローを自動化する。SBOMやソフトウェア曝露評価ワークフローにより曝露を制限し、ダッシュボードのような形で一覧管理できる。また、脅威インテリジェンス等との統合により、要因・テクニック・脆弱性を分析する。

「応答する」では当社のSecOpsのセキュリティ・インシデント・レスポンスが対応する。インシデントに自動的に優先順位を付け、回答の選択肢を検討し、選択する。実際に作業をして、修復の自動化も行う。情報連携をする機能もあり、脅威等について知らせるべき全ての関係者にシームレスに伝えることができる。多種多言語に対応することも可能だ。

「適応する」において意外と重要なのがレポートだ。起きたインシデントを記憶してパターンを分析し、当時どのように対応したのかを証跡・ナレッジとして残すのは大きなステップとなる。ServiceNowのダッシュボードを通じてSOCのパフォーマンスの把握、リスク評価、検知と対応のプロセス・ワークフローの策定等ができる。

＜ServiceNow Platformによる資産情報の統合＞

脆弱性管理が困難な理由として、組織の壁の厚さ、機能保管のためのツールの増加、情報収集のタイミングがバラバラ、情報をシステムに自動統合できないこと等がある。現在の脆弱性管理では、対象アイテムの特定から作業内容指示の平均時間は3.5日、対処完了までの平均時間は7.5日、レポート作成で丸1日を費やしてしまう。

これに対して当社のプラットフォームで資産情報を統合することにより、脆弱性管理の課題の全ての解決に繋がる。情報共有、自動連携、タイミングの統一、自動統合等が可能になり、脆弱性管理にかかる日数も大幅に削減できる。

＜ヒトに頼りすぎないセキュリティインシデント対応計画の実施方法＞

一般的なSOCチームのワークフローでは様々な作業があるが、当社のSecOpsを活用することで、かなりの部分を自動化できる。具体的な範囲は、トリアージ、インシデント検知・受付、初動対応・対処、解析、対策、復旧対応、報告・情報公開に及ぶ。2024年2月には、Threat Intelligenceの有効活用の機能である「TISC」を公開した。TISCでは脅威情報の整理・統合、対策の必要があった場合の証跡の作成、アクションの経緯のレポート・可視化が可能だ。

＜ServiceNow Security Operationsのエコ・システム＞

当社のセキュリティ製品は、あくまでもプラットフォームの製品だ。ただし、お客様が既にご利用中の製品をそのまま利用することが大きなポイントとなる。日本だけで展開する製品等は除くためカバー率は100%ではないが、基本的にはAPIで連携可能だ。

ServiceNow StoreというWeb上で公開された場所にAPIのコネクタが格納されており、そのほとんどが無償でご利用いただける。当社のプラットフォームは6カ月に1回アップデートされ、それに合わせて格納されたコネクタも各企業様の責任でメンテナンスされてバージョンアップされる。お客様は手間をかけることなくシームレスに連携させることができ、セキュリティ・オペレーションを構築していけるのが当社の強みだ。

当社のプラットフォームを使ってみたいけれど、予算や人手が潤沢ではないという企業様も多いだろう。当社製品を利用し、セキュリティ対応を月額サービスとして展開されているパートナー企業様もいる。月額料金だけで簡単にサービスを受けられるようになるため、試しにご利用いただくのも良いだろう。

＜最後に＞

当社製品のコンセプトは、作業はシステムにて自動化し、人間は判断に時間と能力を使うことにフォーカスすることだ。セキュリティ製品も同様のコンセプトで作られており、もしセキュリティに課題をお持ちの方がいらっしゃれば、当社にお問い合わせいただければ幸いだ。

◆講演企業情報
ServiceNow Japan合同会社：https://www.servicenow.com/jp/