DIGITAL T-SOUL

Vol.25 社会インフラシステムのデジタルトランスフォーションを支える 東芝のインダストリアルIoTセキュリティ

このページを印刷する

#03 サイバー攻撃の脅威から自社を守り、お客さまと社会を守る サイバーセキュリティの社内実践 東芝デジタルソリューションズ株式会社 技術統括部 情報セキュリティ部 部長 中村 宏

東芝デジタルソリューションズは、東芝グループにおけるIoT*やAI*技術を活用したデジタルソリューション事業を担う企業として、いち早く情報セキュリティマネジメントシステムの枠組みを確立。情報資産の信頼性を高い水準で維持し、情報セキュリティの厳格な管理と業務効率化の両立に努めてきました。現在は、東芝グループが一体となって取り組むサイバーセキュリティ施策の下、サイバー攻撃への対応はもちろん、未知のマルウェアへの感染や不正なアクセス、情報漏えいなどの防止を総合的に推進。中でも最新のセキュリティ技術の社内実践に力を入れており、そこで得た知見やノウハウを日々高度化するセキュリティの脅威に対抗するソリューションへと適用しています。ここでは、当社がこれまでに進めてきた情報セキュリティへの取り組みと、社内で実践している最新の事例をご紹介します。

* IoT:Internet of Things(モノのインターネット),AI:Artificial Intelligence(人工知能)

「重大事故ゼロ」の実績と継続的な対策強化

東芝デジタルソリューションズにおける情報セキュリティへの全社的な取り組みは、今から13年前にさかのぼります。情報セキュリティマネジメントシステム(ISMS*)の標準的な国際規格であるISO27001を、2005年に会社全体で取得しました。

*ISMS:Information Security Management System(情報セキュリティマネジメントシステム)

当社のISMS基本方針では、お客さまの機密情報や、お客さまおよび社員の個人情報の管理を徹底することにより、社会的責任を果たし、事業運営が永続的に継続できるセキュリティ管理システムを構築すると宣言しています。

この方針に基づき、組織が保護すべき情報資産について、パソコンやUSBメモリといった記憶媒体の持ち出し管理や、メールの誤送信対策などに関して、運用ルールの徹底や注意喚起による啓発など、セキュリティを確保するために必要な事項を厳密に規定し、運用しています。当社はこのISMSをPDCA*サイクルで運用することで、長きにわたり全社で一体となって情報資産の保護に取り組み、今日まで「重大事故ゼロ」という大きな成果を上げています(図1)。

*PDCA:Plan(計画)-Do(実行)-Check(評価)-Action(改善)

図1 情報セキュリティのPDCAサイクル

しかしながら、昨今では標的型攻撃などの新たな脅威が発生し続けており、絶えずセキュリティ対策の見直しや強化が必要な状況です。 この新たな脅威に有効なセキュリティ対策を具現化する上で大きな力になったのが、社内のネットワークへの入口に加え、その内部、そして出口に至るまで幾重にも対策を施す「多層防御」の考え方です。そして「セキュリティの脅威は常に変化し、時間が経つほどに増大する」という考えに基づき、多層防御によるセキュリティ対策のPDCAを実施することで、定期的にセキュリティの脅威を見直し、対策状況の過不足も検証しながら、継続的な対策の強化に取り組んできたことが、今日までの「重大事故ゼロ」という成果に他ならないと自負しています。

また、ソフトウェア開発が主な業務でもある当社は、当然のことながら、外部の委託会社を含む開発エリアの厳格な管理を行ってきました。また当社の製品やサービスとなる開発成果物に対しても、セキュリティリスクの低減を早くから推進。東芝の「サイバーセキュリティセンター」の発足とともに整備されたPSIRT*機能の先駆けとなる製品セキュリティの確立に早くから取り組んできました。

*PSIRT:Product Security Incident Response Team

このページのトップへ

先進のサイバーセキュリティ対策と業務効率化の両立

東芝で急務となっているグループ全体のサイバーセキュリティ対策は、サイバーセキュリティセンターが主導し、東芝の研究開発センターと当社が連携して、先進の取り組みを進めています。

いついかなる時に襲ってくるかわからないサイバー攻撃の脅威に対しては、24時間365日、常に社内のネットワークにつながれたサーバーやパソコンといったエンドポイントの監視を実施。ファイアーウォールの制御ログや、サーバーやストレージの利用ログの監視と分析、また特定のプロジェクトに関してはパソコンの操作ログなどを元に不正な通信やUSBメモリをはじめとする記憶媒体の不正な使用を洗い出すなど、さまざまなセキュリティリスクを常に監視することで、セキュリティインシデントの発生を未然に防ぐ仕組みを整えています。

このような情報機器や記憶媒体利用の監視によるランサムウェア*や未知のマルウェアへの対策、不正アクセスなどの発見に加え、サイバーセキュリティセンターのPSIRTと連携して、製品出荷時の品質維持や、世の中の脆弱性(ぜいじゃくせい)に関する情報を素早く社内に展開する環境の構築にも取り組んでいます。

*ランサムウェア:ここ数年流行し始めたマルウェアの一種で、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラム。

もちろん強固なセキュリティを追求するあまり、働く社員の生産性を阻害してしまえば、結果的にお客さまへのサービス低下につながりかねません。これに対して当社では、ソフトウェアやデータなどのリソースをサーバー側で集中的に管理し、社員が使うクライアント端末の機能は最低限に絞り込むシンクライアント環境を全社レベルで展開。サイバー攻撃への対策と生産性の確保を高度に両立する職場を実現しました。現在、当社で働く3,500人を超える社員が、時間と場所を選ばず、セキュアに効率よく業務を行っています。

このページのトップへ

社内実践1 AIの力で未知の脅威を事前に検知

当社の情報セキュリティに対する取り組みは、お客さまの事業継続や企業価値の向上を支援するソリューションを開発するために、まず社内で実践するという使命も帯びています。それは東芝に対しても同様で、当社は東芝グループ内に展開するための先行事例の役割も担い、社内でさまざまな実践を続けているのです。

当社自らが率先して新しい技術を活用し、その機能や利便性を見極めた上で、その知見やノウハウに基づき各種製品やサービスと組み合わせ、お客さまのニーズに合致したカタチでお届けしていく。これにより、お客さまは効果が検証された信頼性の高いセキュリティを安心して導入できるようになると考えています。これまで多くのセキュリティ製品やサービス、ソリューションが当社内での実践を通じて生み出され、お客さまの事業活動を守り、支えてきたのです。

中村 宏

現在も当社では、高度化するサイバー攻撃に対抗するために、最新のセキュリティソリューションを社内で実践しています。その中で力を入れている2つの取り組みについてご紹介します。

1つ目は、AI技術を活用した次世代マルウェア対策ソフトウェア「Cylance(サイランス)」を活用した、未知の脅威への対応の強化です。Cylanceの最大の特長は、これまでに存在を確認できてない未知のマルウェアによる脅威を、過去の脅威との類似性を分析することで検出し、エンドポイントデバイス上で実行される前にブロックすることが可能な点です。当社は大きな注目を集めるこのCylanceを、2016年6月の段階で自社内に導入し、現在15,000台を超える規模で運用。機密情報を扱う政府機関などでの運用にも耐え得るノウハウの習得を目指し、高い検知能力の実証とより有効な運用方法の検証を行っています。例えば、2017年に猛威を振るった身代金要求型のランサムウェア「WannaCry(ワナクライ)」に対しても有効に動作し「感染ゼロ」という成果を上げました。 このように圧倒的な検知性能で未知のマルウェアへの対策として大きな効果が期待できます。しかし、期待通りの効果を発揮させるには、単にツ-ルを導入するだけでは不十分であり、特に次の点が重要だと考えています。

それは、運用開始前の事前チュ-ニングと運用開始後の日々のチューニングです。Cylanceは、過去の脅威との類似性を判断していますので、例えば、企業などで使われることが多いリモートデスクトップソフトウェアは検知しブロックされます。なぜなら遠隔操作型のマルウェアと同じ動きをするからです。このように企業で使用することを許可しているソフトウェアに対しても、検知しブロックする可能性があります。これらを過剰検知と呼んでいますが、事前に過剰検知を極力減らしておくことが、運用をスムーズにするポイントです。

さらに運用開始後に検出されたソフトウェアが、本当のマルウェアなのか、過剰に検知されたものなのかを迅速に判断できる仕組みと体制の構築も重要です。例えば、初めてプログラミングツールを使用する際に、過去のマルウェアと似たような動きをするものは検知しブロックされます。そのままではプログラミング業務に影響が出てしまう可能性があります。つまり、検知しブロックされたものが、過剰検知なのか、本当の脅威なのかをすぐに判断できることが、日常のセキュリティ監視・運用業務に求められます。当社ではセキュリティ監視チームが日々のノウハウを蓄積した独自の脅威データベースを活用し、日常のセキュリティ監視・運用の一環として、数分以内に判断できる運用をしています。

このページのトップへ

社内実践2 統合ログ管理でヒューマンリスクとITリスクをひも付ける

2つ目は、社内で長い間取り組んでいる24時間365日のセキュリティ監視(エンドポイント監視)をさらに一歩先に進めるために始めた「Splunk(スプランク)」の活用です。Splunkは、サーバーやアプリケーション、ネットワーク機器などから生み出されるログやパケットデータ、コマンドの実行結果といった多様なデータをリアルタイムに収集して蓄積します。IT管理に必要な複雑な検索や分析に柔軟に対応でき、最近ではセキュリティ用途の機能追加が行われています。当社では、Cylanceの過剰検知への対応にも活用していますが、その他にも、作業エリアへの入退室やファイルへのアクセス、無線LANの利用、各種メディアへの書き込み、メールの送信、多機能プリンターの利用など、人の行動に着目し、そのデータを日々Splunkに蓄積しています。これを脅威情報の管理をする脅威データベースと連携させて相関分析し、ヒューマンリスクとITリスクの関係性を見極める取り組みを始めました。そこに論理的な相関関係を見いだせれば、特定の行動や振る舞いの後に発生する、これまで見えていなかったリスクが明らかになり、外的および内的な脅威に対する事前対策の実現に結びつけることができると考えています。現在、PDCAサイクルを回しながら、ヒューマンリスクとITリスクの論理式をいかに生成するか、実践を繰り返しているところです(図2)。

図2 人の行動に着目したリスク検証の社内実践

このようにお客さまへのご提供に向けて着々と実績と運用ノウハウを積み重ねています。

業種を問わず、情報システム部門の方々は、高度化するサイバー攻撃の対策に大いに頭を悩まされていることと思います。当社の情報セキュリティ部門である私たちも、それは全く同じです。東芝デジタルソリューションズではこれからも自らの経営と事業を守るために、全社で一丸となって先進のセキュリティ対策を実践していきます。そして、情報セキュリティにおける課題解決に向けた地道な活動と喫緊の対策から得た数々のノウハウを、同じ悩みを持つお客さまに提供し、お客さまの事業と経営、そして社会の安心と安全を守り抜いていくつもりです。

※この記事に掲載の、社名、部署名、役職名などは、2018年4月現在のものです。

関連記事Vol.25:社会インフラシステムのデジタルトランスフォーションを支える 東芝のインダストリアルIoTセキュリティ

このページのトップへ