日本固有の脅威に対応せよトレンドマイクロ、日本サイバーディフェンスチームの2年にわたる取り組み

地域ごとのセキュリティ要件や脅威への対処はグローバル企業にとって難しい課題です。トレンドマイクロは、この課題に対処するため、グローバルチームを中心とする中央集権型セキュリティ体制から地域別連邦型へと転換を図りました。日本では、ITインフラサービスを管理運用していたチームのミッションを拡大するかたちで、新たにログ監視や調査、インシデントレスポンスなどのセキュリティ領域への対応が求められました。日本セキュリティチームのグローバルチームとの連携、セキュリティ体制の整備や強化の取り組みを紹介します。読者の皆さまの活動のヒントになれば幸いです。

地域ごとの専任チームで、固有のセキュリティニーズに対処

地域ごとにセキュリティ要件やビジネス、そしてサイバー上の脅威が複雑化する現在、グローバルに事業を展開する企業にとって、地域横断でセキュリティレベルを統制、維持することは難しい問題です。トレンドマイクロでは、こうした状況に取り組むため、2021年地域ごとにセキュリティチームを配置する体制へと転換を図りました。

従来トレンドマイクロでは、全社のセキュリティを統括するグローバルCISOのもとで構成されたセキュリティチームが、各地域のセキュリティも管理していました。現在、引き続きグローバルCISO指揮のもと、グローバルセキュリティチームが全社的なポリシー策定などをリードし、そのうえで地域ごとに配されたセキュリティチームが、地域固有のセキュリティ要求や脅威などに対応しています（図）。また、様々な文化的背景を持つ従業員が働く環境のため、地域の従業員やビジネスを理解し、セキュリティ啓発活動やプロセス整備を行うことも、地域のセキュリティチームの重要な役割です。

セキュリティガバナンスを統括するグローバルCISOの指揮のもと、グローバル組織としてセキュリティ専任チームを構成し、セキュリティ・ポリシーなどを策定し全体に適用。そのうえで、地域ごとにCISOやセキュリティチームを配し、それぞれのセキュリティ要求や法制度、ガイドラインなどに対応。

このような背景のもと発足したのが、日本のセキュリティを担う「サイバーディフェンス＆インフラストラクチャーサービス課」です。発足以前から、日本地域のセキュリティスペシャリストを中心にインフラストラクチャーサービス課（以下、インフラサービス課）が、グローバルのセキュリティチームと協業し、セキュリティ製品の導入や管理・運用、地域特有のニーズに対応した施策の実行など日本地域のセキュリティを担っていました。さらに、この体制変更で、これまでグローバルのSOCチームだけが担当していたセキュリティログの監視や調査、インシデントレスポンスといった一部の業務について、新たにインフラサービス課でも並行して実施していくこととなりました。

サイバー攻撃の対処はスピードが勝負ともいえます。サイバー攻撃の巧妙化で、“異常”の発見が難しくなっています。サイバー攻撃を自身で発見できた組織はおよそ3割に留まるとのデータもあります^※。正規のツールを悪用したサイバー攻撃の場合、攻撃者によるものか、従業員の正常な業務か判断することは困難です。
※2023年上半期に発生したセキュリティインシデントの公表情報をもとに、トレンドマイクロが集計した結果による。

こうした事情は、トレンドマイクロでも同様でした。もちろん、グローバルセキュリティチームは、セキュリティの専門集団ですが、地域の言語やビジネス、組織の理解が壁となることもあり、従来からセキュリティアラートの調査では、グローバルセキュリティチームを日本のインフラサービス課が支援し、日本組織内や従業員のコミュニケーションの仲介や調査を行うこともあったと言います。仲介者が入れば、それだけ調査や対処スピードは落ちます。

現在、日本に専任のセキュリティチームが設置されたことで、セキュリティアラートへの対処については迅速なプロセスが確立されています。

しかし、日本でのセキュリティチーム発足当時は苦労もあったようです。サイバーディフェンス＆インフラストラクチャーサービス課のリーダーであり、日本のセキュリティチーム作りを推進した林新樹（はやしあらき）は次のように話します。

「もともと日本では、旧インフラストラクチャーサービス課が、業務の一部として日本のセキュリティを担当はしていましたが、SOC業務やインシデントレスポンスはグローバルセキュリティチームの範囲で、当該業務の経験やスキルをもつメンバーは、日本のチームに在籍していませんでした。セキュリティ高度専門人材の採用は難しく、なによりセキュリティチーム発足にあたって採用枠・予算もありませんでした。今いるメンバーで対応するしかない、このため、インフラエンジニアのメンバーのセキュリティスキル獲得が何より優先事項でした」

インフォメーションサービス本部
シニアセキュリティスペシャリスト兼
インフォメーションテクノロジー部サイバーディフェンス＆インフラストラクチャーサービス課課長
林新樹氏

インフォメーションサービス本部シニアセキュリティスペシャリスト兼
インフォメーションテクノロジー部サイバーディフェンス＆インフラストラクチャーサービス課課長
林新樹氏

インフラエンジニアをセキュリティ技術者に、その効用

日本におけるセキュリティチーム発足当時、インフラエンジニアのメンバーをセキュリティエンジニアとして育成することが急務でした。サイバーディフェンス＆インフラストラクチャーサービス課メンバーは林を含め5名、引き続きインフラ業務への対応もあります。リソースは潤沢とはいえません。

林は、急ぎメンバーに対して、資格などを通じたセキュリティ知識習得、同時に実践を日々の運用に組み込みます。具体的には、セキュリティログの監視と調査を日々の運用に組み込み実践していくことで、セキュリティエンジニアとしての知識と経験の獲得を図ります。

「資格など学習を通じて得られる知識は必須ですが、セキュリティエンジニア同士のコミュニケーションで必要な共通言語を習得したにすぎません。実践で使ってみて、そこで得た経験からスキルを獲得、広げていくことが重要です。幸いトレンドマイクロには、お客さまをご支援する高いセキュリティスキルを持つ専門人材が豊富にいます。当初は、日々のログ調査、解析をこうした社内のセキュリティの“プロ”と二人三脚で行うことで、ログを読み解くスキルを習得していきました。いわば、社内のMDRサービスのようなかたちです」（林）

こうして、約１年後には、自立的なログ監視、調査といった日々の運用の安定化を実現できたといいます。

ここで発見もありました。ログの調査や解析に、インフラエンジニアの知識と経験が活きたのです。

「組織に侵入したサイバー攻撃者は、侵入先のITインフラを悪用します。ITインフラの知識、さらに当社固有の環境への理解があるというのは、当然ですが、セキュリティ知識のみに比べ、調査、解析に利用できる情報量は圧倒的な差になります。さらに、セキュリティトラブルの再発防止策をITインフラの視点から考えられるという点も、ITインフラとセキュリティ両面の知見とスキルを持つチームならではの強みといえます」（林）

日々の監視が安定化した次にチャレンジとなったのが、サイバー攻撃への対処スキルの獲得です。

レッドチーム演習で平時の防御力も強化

セキュリティに限らず、実践で経験を積むことがスキル向上の近道です。しかし、サイバー攻撃の発生や被害を未然に抑えることが、セキュリティでは最も重要です。その意味で、セキュリティエンジニアが実践で経験を積んでいくことは、ある種矛盾した状況とも言えます。

「そこで、私たちは、お客さまを支援するセキュリティエンジニアチームと共同で、サイバー攻撃と防御の模擬演習であるレッドチーム演習を定期的に実施するスキームを日本組織内に作りました。実践を模した環境下で、サイバー攻撃への対処スキルの向上を図っていこうというものです。

サイバー攻撃者は常に手口を進化させており、知識は陳腐化しやすい。定期的に演習を行うことで、知識とスキルのアップデートと強化を図ることができます。さらに、模擬演習で発見した自社の環境や設定、運用などの課題を改善することで、恒常的なセキュリティ強化が図れます。実際のサイバー攻撃であれば惨事ですが、模擬演習であれば、失敗や課題を次に生かすことができるのです」（林）

こうした模擬演習を応用編とするならば、インシデントレスポンスにおけるベストプラクティスの習得という面では、自社が開発したインシデント調査などのトレーニングも有効だったという。トレンドマイクロ（のような専業ベンダーの）これまでの実績に基づくノウハウが体系化されたベストプラクティスは個々人の力では得難い知見といえます。

「専門家の豊富な実績からまとめられたベストプラクティスは、日本地域のセキュリティ体制のレベルを点検するという点でも有効でした。当社のお客さまである情報システムやセキュリティ部門の皆様には共感いただけると思いますが、セキュリティはどこまで対策すべきかの見極めが難しい。理想的には事業戦略からあるべきセキュリティ戦略を、ということですが、なかなか一足飛びにはできない、そこで、まずこうしたベストプラクティスを活用し、自社のセキュリティレベルを客観的に把握することで、致命的な対策の抜け漏れなどがないかセルフアセスメントを行い、リスクが高いものから対応をすすめていくのが、比較的取り組みやすい方法です。また社内へのセキュリティ方針や投資の説明にも利用しやすいと思います」（林）

人に依存しないセキュリティ体制の追求、ゼロトラスト、XDRの有効性

セキュリティアーキテクチャの点では、全社的にグローバルチームの指揮のもとゼロトラストのアプローチによるインフラ、セキュリティ整備が進んでいます。ネットワークのマイクロセグメンテーション化、またXDR機能をもつソリューションの利用などです。

「グローバルの方針に基づきセキュリティ施策を実行しつつ、日本のチームとしては、日本固有のビジネス環境やユーザの業務特性を考慮した取り組みを行います。前提として、できる限りユーザのリテラシーや人の判断に依存する規則やルールでセキュリティリスクを抑える方法は、最終手段にします。最優先で考えるのは、ソリューションやツールなどの技術を用いてリスクを下げる方法です。従業員向けでいえば、例えば、ゼロトラストの一環で、ITツールやサービスにおける二段階認証を前提とする設計の整備、拡充を進めています。ハイブリッドワークやSaaSサービス利用などが浸透するなか、従業員を複雑なルールで縛るのではなく、ソリューションでセキュアな業務環境を提供しています」（林）

人に依存しないアプローチは、セキュリティ体制も同様といいます。そうした意味で、XDR機能を持つソリューションの導入は非常に有効であったと言います。これまでセキュリティログの監視をしていたものの、アラートは膨大で、日本のセキュリティチームのリソースですべてを漏らさずに監視、処理するのは困難だったと言います。組織内のあらゆるセキュリティ製品から上がってくるイベントをXDR側で分析し、リスク度合いの高いアラートを絞り込んで示してくれることで、アラートの洪水に深刻なイベントが紛れ、取りこぼすような事態も防げていると言います。

「人のリソースやスキルに依存せず、ソリューションが対処のトリガーを引くため、リスクの高い重要なイベントの取りこぼしがないという安心感があります。今はチームで運用ノウハウを溜めている最中ですが、アラートは絞りこまれているため、殆ど除外設定はしていません。除外しなくても、現在の人員で運用が回せているということです。日本の環境、組織を理解したインフラエンジニア兼セキュリティエンジニアだから、アラートの調査もスピーディに高い精度で処理できています。まさにグローバルCISOが狙った理想に近づいていると実感しています」

例えば、特定の時刻に特定の条件で発生するとあるイベントに対しアラートがあがったとしても、そのユーザの業務特性や状況を把握している日本のセキュリティエンジニアであれば、そのイベントはリスク低のものだと判断がつくということです。

図1：トレンドマイクロで利用しているXDR機能を搭載したソリューションの管理コンソール

図2：トレンドマイクロで利用しているXDR機能を搭載したソリューションの管理コンソール — 図：トレンドマイクロで利用しているXDR機能を搭載したソリューションの管理コンソール

イベントアラートの確認から影響範囲の特定、対処まで分かりやすく表示される

XDRのアラートは、役員への報告にも活用している。四半期毎の役員定例会において、XDRで検出されたアラートの中で、特に注意が必要なものについて報告を行い、日本地域におけるセキュリティレベルやリスクの共有を始めたと言います。

「当社はセキュリティベンダーのため、全般的に社員のセキュリティ意識やリテラシーは高いものの、経営層に向けて日頃から継続的に社内の状況を報告し、共通の認識を持つことが、組織全体のセキュリティレベル維持のための重要な一歩と考えています」（林）

トレンドマイクロを様々な脅威からセキュリティで守ることは、当社の事業だけでなく、その先にいるお客さまを守ることだと、林は言います。セキュリティチーム作りはまだ道半ば、日本における技術、運用そしてセキュリティ人材の向上を継続して図っていくことで、セキュリティ体制の強化を進めます。

・サイバー攻撃者視点でチェックすることで明らかになる、組織の「ペインポイント」

・強いサイバーディフェンスチームの作り方トレーニングのサイバー人材育成への活用方法

・XDRによるインシデントの早期発見・対処とEPPによる防御を両立することで、わずか5人で約800台の業務環境に対するSOC業務を実現