Exabeam/KPMG共催特別セッション アフターレポート 製造業界 CISO ラウンドテーブル

2021年10月20日、Exabeam/KPMG共催特別セッション「製造業界 CISO ラウンドテーブル〜「防ぐ」から「⾒つける」へ。セキュリティ監視の今とこれから〜」が、オンラインで開催。セキュリティインシデントのトレンドや、セキュリティ監視に関する参加企業の取組み・悩みの共有、今後の展望について活発なディスカッションが行われた。

今回はセミナー中に行われたプレゼンテーションと、ディスカッションの模様をお伝えする。

プレゼンテーションは、KPMGコンサルティング株式会社シニアマネジャーの杉本夏子氏、Exabeam Japan株式会社セールスエンジニアの梅原鉄己氏が担当。ディスカッションには、グローバルにビジネス展開する製造業７社のCISOが参加。

近年、増加・多様化するサイバー攻撃に対して、どのようにセキュリティ監視を強化し、どのような視点で対策が必要か。ディスカッションでは、課題と向き合いながら現場で奮闘する、CISOの「ナマの声」が次々と上がった。

オープニング：「最近のセキュリティインシデントのトレンド」

初めに今回のセミナーコンセプトについて、KPMGコンサルティングのパートナー澤⽥智輝氏が説明。「昨今のセキュリティトレンドを我々から紹介しつつ、セキュリティの今後の在り方、特に『監視』について、CISOの皆さまとカジュアルにディスカッションしたい。皆さまがどのような関心があり、他の会社がどのような取組みをしているか、活発に意見交換する場にできれば」と述べた。

最初のプレゼンテーションは、KPMGコンサルティング杉本氏が「最近のセキュリティインシデントのトレンド」を紹介。

近年のサイバー攻撃は、システムの脆弱性、社員の心理を誘導した攻撃等、手口がますます高度化・巧妙化している。昨今のトレンドとして「海外のセキュリティインシデント被害」が止まらないという。サプライチェーン攻撃では、ターゲット企業に直接攻撃をしかけず、セキュリティの弱い取引先や子会社を踏み台とし、目的地に到達させる手法が使われている。

また、ビジネス詐欺やランサムウェアの被害が拡大しており、二重脅迫、三重脅迫などランサムウェアでマネタイズに向け、巧妙な攻撃を仕掛けてきている。

コロナ禍の影響で広がった「リモートワークの定常化」も、新たなセキュリティ課題を生み出している。どこでも仕事ができるリモートワーク環境下では、従来の「社内にあるものをしっかり守る」から、社外環境への攻撃や従業員の不正など、全方位に対策を見直す必要性に迫られている。

上記に述べたセキュリティインシデントのトレンドを踏まえ、杉本氏は対応すべき課題として「セキュリティ監視すべき範囲の拡大」「最新のサイバー攻撃を検知できない」「攻撃者のスピードについていけない」の3つを挙げる。

サーバー攻撃の高度化・巧妙化、クラウドサービスの利用促進など、システム利用環境の変化に対し、各企業で「セキュリティ監視が追いつかない」現状が浮き彫りになっている。サイバー攻撃は日々進化しており、正常・異常通信の判別が難しい攻撃や、セキュリティパッチが発行される前の攻撃など、セキュリティ監視や体制が「攻撃の進化・スピードに対応しきれない」ケースが多くみられる。

これら課題に対して杉本氏は、「いま求められるセキュリティ監視要件として『デバイス監視・クラウド監視の拡大』『人工知能を利用した検知の導入』『インシデントレスポンスの自動化』が必要」と述べる。

「これまでネットワーク、インターネット中心だった監視体制をデバイスやクラウドサービスまで広げる必要がある。また、AIや機械学習を利用した『精度の高い予兆検知』や『SOARなどを組み合わせた自動化』の仕組み作りが必要である」と見解を示した。

ディスカッション：「セキュリティ監視に関する各参加企業様の取組み（現状）」

脅威が拡大するサイバー攻撃に対し、企業はどのように自社を守っていくのか。ディスカッションでは各社の取組み状況に加え、「取組みの課題・悩み」について次々と回答が上がった。

「監視はEDRを導入し、社内および社外のSOC機能を使い取組んでいる。しかし、内部不正絡みの常時ログモニタリングはできておらず、手がついていない。対応の自動化も未着手。ハイアラートで検知する事象も毎回異なるため、一つ一つユーザーにヒアリングし対応している（大手総合建設）」

「直近でEDR導入を拡大中で、アラートが徐々に上がり始めている。アラート内容が解析しづらく、CSIRTの立場として『利用者に対し、どのように対応すればよいか』分かりづらい部分がある。またSOCからはハイアラート、クリティカルなものしか落ちてこない。それ以下の挙動不審なファイルの対応方法が明確化できておらず、対処に苦しんでいる（大手総合化学メーカー）」

「監視は、ここ２～3年でEDRをグローバルに展開している。一番の悩みは各国の法規制対応。データ移管に対する法規制が厳しくなり、センターで監視するためのさまざまな契約手続き、弁護士との調整等に時間が掛かっている。各国の法規制対応に対し、グローバルでの監視はどうあるべきか悩んでいる（大手電機メーカー）」

各企業でEDR導入が進む状況が明らかとなる中、悩みの共有をきっかけに、議題は「グローバルの監視の在り方」に移った。ここでKPMGコンサルティング澤⽥氏が、事例を基にグローバルの監視について見解を述べる。

「グローバルの1拠点にセンターを集約し、24時間のセキュリティ統合監視を行っている事例がある。EDRはログの収集に際してGDPR(一般データ保護規制)の話が絡んでくるため、IT部門だけで進めるのは難しい。現地法人と調整しながら対応を進めている。今後、米国では3つ目の州法が施行され、シンガポール・ブラジル・タイでも個人情報のレギュレーションが出来上がりつつある。また、中国サイバーセキュリティ法への対応も喫緊の課題である。これらに配慮した、グローバル監視体制が必要と考えている。」と回答。

続けて澤⽥氏は、グローバルの監視体制について各社にヒアリング。各社からは「集中監視」「Office365のSOCと統合」「外部サービスのMSSを利用」など、それぞれ異なる監視体制の回答が上がった。

またCSIRT体制について意見交換を行ったところ、体制は各社で異なるが、共通するのは「限られた少人数」で運用を廻している状況。グローバル国内外の拠点、グループ会社、協力会社と連携し、企業規模に対し少ない人数で対応している。各社ともにセキュリティ運用の自動化、効率化の必要性が伺えた。

プレゼンテーション：「Exabeam ユースケースご紹介＆デモ」

続いて、Exabeam Japan株式会社の梅原氏が「Exabeamのユースケース」をプレゼン。冒頭に梅原氏は、IPAが2020年に調査した「セキュリティ対策推進の課題」を紹介する。調査の中で、各企業のCISOが挙げた課題として「リスクの見える化が困難/不十分」「インシデント発生に備えた準備が不十分」「担当者の専門知識が不足」の３つが上位を占める。これら課題は「Exabeamのソリューションで解決できるポイントとマッチしている」という。

梅原氏は「ログを使い事象を俯瞰で可視化できるようにする、予めタイムラインやプレイブックを作りインシデント発生に備える、SOC運用を自動化し専門化でなくても対応可能とするといった点が、Exabeamの大きなコンセプト」と述べる。

Exabeamは次世代SIEMと呼ばれているが、単なるログ分析・検知ツールではなく、高度なセキュリティ運用に発展させるベースライン、フレームワークとして活用することがベストなソリューションだ。

梅原氏は「ネットワーク監視からデバイス監視にトレンドが変化する中で、今後はユーザーに起因するログ、アプリケーションに出来るだけ近いログを収集し、実行の前後関係を記録・保管・分析することが『次世代セキュリティ運用に必要なSIEM』」と見解を示した。

昨今の環境変化によるログ監視の課題として、梅原氏は「ログの収集が困難」「脅威を検知できても予兆に気づくことが難しい」「SIEMのクエリを使いこなせる人が限定的」と、収集・検知・調査に起こる共通課題を挙げる。これら課題を解決するソリューションがExabeamだ。

梅原氏は「Exabeamはユースケースを実現するために必要なログを明確にし、ログを収集するコネクタやパーサーを豊富に用意している。ログの収集に、リソースや時間を掛ける必要がないことが大きなメリット。検知に関しては、集めたログを分析する『機械学習モデル』『検知ルール』が予めユースケースに合わせ組み込まれており、メンテナンスの負荷から解放される。調査段階では、専門的なクエリを一切使わなくても、予めタイムラインが自動的に生成される。ユーザーやマシンの行動を瞬時に特定し、調査に掛かる時間を大幅削減できる」とメリットを述べた。

この後、Exabeamソリューションのデモを挟み、「アウトソースによるセキュリティ運用」について昨今のユーザー事例を交え紹介。梅原氏は「SOC運用を実施する上で、人のリソース・体制の問題で外部にアウトソースするケースが多い。しかし、アウトソースのデメリットが見過ごされがち」と注意を促す。

Exabeam社が感じるアウトソースのデメリットとして、「アラートの15％は組織の関与が必要で、組織のリソースを完全にリプレイスできない」「組織内でハンドリングするエンジニアが育たない」「予兆を積極的に調査、ハンディングしてもらえない」といった課題を挙げた。梅原氏は「このような相談がExabeam社に多数寄せられている。セキュリティ運用のアウトソースに関して、ぜひ参加者の皆さまとディスカッションしたい」の言葉でプレゼンを終えた。

プレゼンテーション：「セキュリティ監視高度化のポイント」

最後のプレゼンテーションは、KPMGコンサルティングの杉本氏が「セキュリティ監視高度化のポイント」を紹介。サイバーセキュリティ対策の変遷として、これまでは「定義型のセキュリティ対策」が多くの企業で導入されてきた。今後のサイバーセキュリティ対策は、AIやビッグデータを用いた予測的対策の導入による「検知の高度化」「対策の高度化」が求められるという。

特に米国ではAI、機械学習を用いた「監視の高度化」がトレンドだ。コスト削減、人件費削減や、セキュリティ人材不足に対応しつつ高度な監視を進める手法として、注目を集めている。

また、監視高度化の重要なポイントとして「セキュリティ監視オペレーションの高度化、効率化に向け様々なツールやテクノロジーが輩出されているが、『組織体制』『プロセス』『テクノロジー』の観点から総合的に取組む必要がある」と杉本氏は強調する。

「セキュリティ人材不足に対する人材教育、検知した後のインシデント対応体制の確立、

アラートに対する分析プロセス構築など、運用する上での『統合的な環境作り』が重要」と見解を示した。

ディスカッション：「セキュリティ監視に関する各参加企業様のお悩みと今後の展望」

最後のセッションでは、前述のプレゼンテーションを踏まえ「今後のセキュリティ監視高度化の取組み」「SOC組織の内製化/アウトソースの展望」についてディスカッション。各社の取組みや今後の展望について、下記の回答が上がった。

「2021年10月からExabeamの本番稼働が始まり、既存SIEMと平行稼働している。既存SIEMは全社ファイルサーバーのアカウント不正アラートなど、『静的な監視』に利用。今後を考えた時に、社内ネットワークの監視だけでは不十分。監視対象がインターネット側に広がり、アラートが複数上がることを想定すると、自分達でルールを書いて対応するには限界がある。いくつかの対応を自動化し、残った部分を人手で行うなどの取組みが必要（大手総合化学メーカー）」

「セキュリティ監視は、対応スピードを増すため内製化に切り替えている。内製化により、スピード感の享受ができている。内部不正に関しては、外部にデータを持ち出す人をいかに見つけ出すか、アルゴリズムを改良しながら検知をかけている。まだまだ誤検知も多いが、このような取組みを自分達で進められるのが、内製化の良いところ。世の中のSIEM製品もかなり良くなってきており、SIEMを上手く活用し内製化を進めるのが良いと考えている（大手電機メーカー）」

「SOC体制は、今後も社内・社外のハイブリット体制を考えている。社内でしかできないことは社内で行い、社外に任せられる部分はなるべく社外へ依頼。社外に依頼すると対応スピードが落ちるため、リスクヘッジとして社外依頼分も社内対応できる体制は取っている。社内外を使い分け、適材適所のハイブリット体制が望ましいと考えている（大手総合建設）」

監視対象が広がることへの対応や、インシデント対応スピードや柔軟性を増すため、各社から、自動化や内製化に期待する声が多く上がった。

クロージング：まとめ 

セミナーの最後に、Exabeam Japan株式会社セールスディレクター清水泰幸氏が参加者に謝辞を述べる。「Exabeamを使ったグローバルの利用事例、内部不正の活用など、エンドユーザー様のお声を引き続き頂戴したい。セキュリティ監視について、今後も皆様と情報共有しながら、継続的にディスカッションできればと思います」の言葉でセミナーを締めくくった。

ディスカッションを通じて、各社の抱えるセキュリティ監視課題や取組みが明らかとなる中、Exabeamソリューションが多くの解決策になり得ることを示した。AI、機械学習を活用した次世代SIEMプラットフォームExabeamが活躍する場は、今後ますます増えそうだ。