小山覚氏

2020年5月に検知したサイバー攻撃の対応では、お客さまや関係者の皆さまに多大なご迷惑とご心配をお掛けしました。本講演では、サイバー攻撃が残した教訓を、社内のセキュリティ対策として定着させ、東京2020に向けたセキュリティ強化に邁進した１年間を振り返りつつ、「社内に侵入する糸口を与えない、侵入者の行動を制限し何も渡さない、侵入した攻撃者の振る舞いを見つける」取り組みをご紹介します。

昨今、取引先や海外拠点、テレワーク環境など、攻撃者が悪用する「攻撃起点」が拡大し、サイバー攻撃の多様化・複雑化が進んでいます。その一方で防御側は、新型コロナウイルス対策として、リモートワーク化・三密回避をはじめとする、ともすれば不利な状況下に置かれてきました。 そうした圧迫のさなか、サイバー攻撃によってインシデントレスポンスを余儀なくされた組織では、どのように危機対応を行ったのでしょうか。検知後の初動対応における課題は？検証や封じ込めのプロセスでの問題は？どんな準備をしておけば被害を未然に防げ／極小化できる？ 本セッションでは，「インシデントレスポンスで組織やその関係機関が対応する際に注意すべき点」を整理するとともに、「今後の“ニューノーマル”における対策や組織体制に活かす取組み」について考察します。 ＜要旨＞ ・CSIRT責任者が最初になすべきこと。初動対応における想定範囲の広げ方とは。 ・お客様対応と社内調整の勘所。迅速な情報公開を妨げるものとは。 ・立場による優先順位の違い。セキュリティ対策費用はコストか投資か。 ・情報漏えい発生企業は被害者か加害者か。 ・インシデントの収束とは何か。安全宣言は出せるのか。 ・CSIRTが生まれ変わるには。 ・デジタル化の促進や働き方の変化によってインシデントレスポンスはどうなっていくのか。

2020年に不正アクセスの被害に遭い、矢継ぎ早にEDR・NDR・UEBAなどのソリューションを導入しました。攻撃者の振る舞いを検知する能力も上がりましたが、ログ分析など運用するCSIRTの負担も増加しました。そこで取り組んだのがSOARによるCSIRT業務の自動化や、サイバーハイジーンの強化、そして対策を定着させるルールづくりです。2年間の軌跡と将来の展望をご紹介します。