ローム×トレンドマイクロ、サイバーセキュリティ対応・調査の最前線を知る二人が語った“復旧”で見逃せないポイントとは？

2024年7月23日（東京）、8月1日（大阪）に行われたトレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」。今回は、大阪の講演より、ローム株式会社（以下、ローム）IT統括本部 ITガバナンス室室長井上正（いのうえ・ただし）氏と当社インシデントレスポンスチームプリンシパルインシデントレスポンスコンサルタント田中啓介（たなか・けいすけ）の対談、「ロームとトレンドマイクロが語るインシデント事例から見えてきた対応のポイント」の模様をレポートします。

サイバーセキュリティ対応・調査の“現場”を共にした二人

半導体メーカーとして著名なローム。そのサイバーセキュリティの責任者として同社のセキュリティ対策をリードする井上氏は、25年間OT（Operational Technology）分野を担当し、その後IT分野でサイバーセキュリティを3年以上リードしています。OT分野出身のサイバーセキュリティ責任者というユニークな経歴を持っている井上氏ですが、「ともに工場を作り上げてきたメンバーが各工場長になっており、サイバーセキュリティの話もしやすく、経験が生きている」と語ります。世界的な重要物資の1つである半導体の生産拠点を日本と海外に持つ同社では、洪水や震災などの自然災害リスクと同等にサイバーリスクをとらえています。

ロームの井上氏が考える「サイバーリスクの優先順位」付けの際に考慮しなければならないポイントは、以下の3つに集約されると言います。

・供給の確保（サプライチェーンの安定運用と在庫確保）
・生産ラインの早期復旧
・顧客の機密情報の保護

半導体という重要物資のメーカーだからこそ、製品供給力の低下や生産の停止は、同社の業績への影響はもちろんのこと、社会的な影響も大きいと言えます。そのため、いかに早期に立ち直るかは、サイバーセキュリティ戦略の中でも重要な要素です。

一方、対談相手のトレンドマイクロの田中は、トレンドマイクロ入社後、中央省庁でのセキュリティ状況監視・インシデント対応業務に従事。2019年ころから企業向けインシデント対応サービスの主管を担当し、数多くのインシデント対応ケースを支援してきました。実際にロームにおける調査も支援し、サービス利用企業とサイバーセキュリティ企業という立場から井上氏と共に不審なシステム挙動などのサイバーセキュリティにおける詳細調査、原因究明に奔走してきた間柄です。

インシデント復旧時に抑えたいポイント

トレンドマイクロの田中は、様々なインシデントの対応経験から、復旧の際、復旧宣言（安全宣言）するには根拠が必要になってくる、と言います。「多くの組織で、事業継続のための早期復旧のプレッシャーと、再発のない安全な環境かどうかを確かめる担当者の責任のせめぎあいが常に発生している」と、田中は語ります。

そのうえで「復旧宣言」を出す際の難しさにも言及し、「限られた時間」、「大量のログの整理・分析」、「脅威を根絶したことを示すデータの可視化」が、その障壁として挙げられるとしました。

また、復旧の3条件「初期侵入口の特定・対処」、「観測された攻撃手法への対処」、「再発防止のための監視」を挙げました。これらの内容は7月23日の東京の講演でも田中が説明しています。ぜひ、そちらも併せてご覧ください。

参考記事：インシデントからの復旧に必要な3つのポイントを解説

ロームの考える復旧時に外せないポイントは？

ここまで田中からは、いくつものセキュリティインシデント対応を支援しているサイバーセキュリティ企業の立場から、復旧時に必要な要素を説明しました。

これに対して、実際に自組織でサイバーセキュリティ対策やリスクコントロールを指揮する井上氏が感じる難しさはどんなものがあるのでしょうか？まず、同社でのサイバー脅威の検知について、サイバーキルチェーンの考え方に則っていると井上氏は説明しました。
サイバーキルチェーンは、攻撃者が標的を定め、目標を達成するまでの一連の行動を、7つのフェーズに分けた考え方です。ロームではこの考え方に基づき、検知したログを基に、該当の攻撃がどのプロセスで止まったのかを分析し、以後の対策改善に活用しています。

参考記事：自社システムを実際に攻撃する“レッドチーム演習”を実施するには？～サイバーキルチェーンを軸に解説～

さらに、井上氏は実際に過去に同社で不審なネットワークの挙動を検知したケースに言及する形で説明を行いました。田中も支援した詳細調査では、当初「あまりやることがないのでは？」（田中談）と感じてしまうほどの必要十分な調査がローム社内で行われていました。その上で、通信しようとしていた不審な通信先などについて、さらなる分析を行いました。「発見されたログを詳細分析し、推測される攻撃の概要や攻撃者の意図などを深掘りして伝えることができた」と田中は説明します。

「サイバーセキュリティの対策というと、映画やドラマで出てくるような何個もウインドウをモニターで開きながらひっきりなしにキーボードを操作しているハッカーとリアルタイムで戦っているイメージがあると思う。ただ、実際のサイバー攻撃では全くの逆。彼らはいかに気づかれないかに腐心しているため、“隠密行動”といったイメージ。防御側としては、予防を十分に行うことは基本だが、不審な挙動を早期に検知する対策としっかりとログを残しておく体制、これに尽きる」と井上氏は淡々と語ります。

さらに井上氏は、「ユーザ企業からすると、自身の取っている現状の対策が正しいかどうか、分からないのが最も大きな悩み。プロの目線で、現状の対策ができていることを証明してもらえるのは、本当に助かる」と応じました。

ロームの今後のチャレンジとトレンドマイクロへの期待

最後に、ロームのサイバーリスクコントロールに対する今後のチャレンジについて、話が及びました。井上氏は、即座に以下の4点を挙げました。

・不審な挙動の早期発見体制強化（いかに早く見つけるか）
・システムの早期復旧体制の整備（バックアップ等）
・ITとOTの一元的な監視体制の整備
・海外拠点も含めた人材育成などベースアップ

井上氏は上記のチャレンジを継続的に続けていくとし、そのうえでトレンドマイクロへの期待感についても語りました。

「トレンドマイクロの調査対応力には大きな信頼を寄せていて、何かあった場合に頼りになる。今後は教育トレーニングの強化にも手を貸してほしい」とした上で、「ただ、それを今やっているのがロームとトレンドマイクロという、個社と個社の関係性に過ぎない」と切り出しました。

「今日のカンファレンスでも、皆様のサイバーリスクに関する悩みは共通項が多いと感じた。業界、会社の垣根を越えて、サイバーリスクについてのコミュニケーションの場を、トレンドマイクロにぜひリードしていってほしい」と井上氏は述べました。

トレンドマイクロの田中も「企業同士では、サイバーリスクの話をいきなりするのは難しいかもしれない。当社のようなサイバーセキュリティ企業は長年にわたり様々な事例を経験している。具体的なインシデントの詳細は当然お伝え出来ないが、悩みを共有・議論する場を設けるという形でまだご支援できる分野は多いと思う」と、語りました。

最後に、井上氏は「サイバーリスクの世界は、5年先の未来は何があるかわからない時代。今回のカンファレンスでトレンドマイクロが語った生成AIの活用や防御の構想の話のように、今後もさらに1歩先を行くような技術革新を続けてほしい」と期待述べました。