拡大するサイバー攻撃への対策として求められるセキュリティの重要性 ―GRCS 徳永氏インタビュー

企業:

昨今、IoT化やDXが加速する中、あらゆるものがインターネットにつながり、効率化や新たな価値創出といったメリットを享受している一方、サイバー攻撃によるリスクも大きくなっている。

サイバー攻撃の対象はサーバ機器に加え、組込機器やIoT機器にも広がり、脆弱性を狙って攻撃してくる。

そうした中GRCSは、日本市場のエンタープライズ環境で利用されているコンピュータのOSやソフトウェアの脆弱性情報の配信と、脆弱性への対応状況やインシデント発生時の対応状況の管理および見える化を行うクラウドサービスの提供を行っている。

そこで本稿では、セキュリティの重要性やGRCSが提供しているサービス概要、今後の展望などについて、株式会社GRCS 執行役員 徳永拓氏に、お話を伺った。(聞き手: IoTNEWS小泉耕二)

セキュリティ対応を支援する「脆弱性TODAY」と「CSIRT MT.mss」

企業が製品を開発して販売するには、サードパーティやベンダー、パートナー企業といった、様々なサプライチェーンが関与している。

同様に、アプリケーションやクラウドサービス、自社を管理・運用するためのソフトウェア、IoT機器などにおいても、Platform as a Service(PaaS)やオープンソースソフトウェア(OSS)を活用して開発されるケースは多い。

これには、開発コストの削減や開発時間の短縮などのメリットがある一方、メンテナンスやセキュリティに関して、全てを自社でコントロールできないというデメリットもある。そのため、ソフトウェアのサプライチェーンとよばれる構成要素や依存関係の把握が必要となる。

特にOSSに関しては深刻な脆弱性が発見されたケースもあり、利用するソフトウェア等にOSSが活用されている場合は、適切なバージョン更新やセキュリティパッチ(追加のプログラム)を、都度適用する必要がある。

そのため企業では、セキュリティ上の問題の検知や調査、それに対する対応を行うCSIRT(Computer Security Incident Response Team:セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応するチーム)やSOC(Security Operation Center)という組織を結成し、対応しているケースもあるが、日々更新される様々な情報を追跡するには、大幅な時間と労力が必要となる。

そこでGRCSは、そうした組織の判断材料として、国内外の様々なベンダーが発表する脆弱性に関する情報、OSSコミュニティの情報などを、当日に担当者にメールにて配信するサービス「脆弱性TODAY」を提供している。

拡大するサイバー攻撃への対策として求められるセキュリティの重要性 ―GRCS 徳永氏インタビュー
「脆弱性TODAY」のサービス概要図

テキストデータに加え、CSV形式での提供も行っており、自社のツール組み込みや表計算ソフトなどへの取り込み・加工が容易な形式の提供も行っている。

また、「脆弱性TODAY」によって配信される脆弱性情報と、事前に登録した自社のIT資産をマッチさせて脆弱性を管理することができる「CSIRT MT.mss」というサービスも提供している。

これは、自社のIT資産に関するシステム構成情報、検知されたセキュリティ上の問題や脆弱性、「脆弱性TODAY」からの最新の情報などの様々な情報をクラウド上で管理し、入手した脆弱性と登録済のIT資産情報をマッチングしチケットとして発行、それに対する対応策の進捗などを管理することができるクラウドアプリケーションだ。

拡大するサイバー攻撃への対策として求められるセキュリティの重要性 ―GRCS 徳永氏インタビュー
「CSIRT MT.mss」の概要図

IT・OT垣根のないセキュリティ被害に対応するSBOM管理

このように、企業のセキュリティ対策に関する支援を行う「脆弱性TODAY」や「CSIRT MT.mss」の提供を行なってきたGRCSだが、これらのサービスを活用する製造業の企業から、新たなニーズが生まれているのだと徳永氏は語る。

前章で説明したソフトウェアサービスや自社のソフトウェアといったITを軸にしたセキュリティ管理に加え、「モノ」をつくる製造業において、セキュリティの問題はさらに複雑かつ深刻性が増すのだという。

例えば、昨年起きたコロニアルパイプライン社の事件を例に挙げる。

ガソリンなどの燃料を輸送する米国最大のパイプラインを運用するコロニアル・パイプライン社が、ランサムウェア攻撃を受けたのだ。身代金の要求によりパイプライン操業を一時停止し、ガソリンのパニック買いが発生するなど、サイバー攻撃が企業や社会に与える脅威が顕在化している。

こうしたランサムウェア被害は相次いでおり、米国では昨年5月にサイバーセキュリティ強化を目的とした大統領令が発行されている。

この大統領令は7つの側面からセキュリティ基準が示されており、その中でも注目されているのが、SBOM(Software Bill Of Materials:ソフトウェア部品表)を活用した脆弱性管理だ。

SBOMとは、製品に含まれるプロプライエタリソフトウェア(非公開ソフトウェア)やOS、ライセンスや依存関係を一覧化したもので、品質に関するリスクを可視化することができる。

特に工場やプラント、ビルなどを制御するOT(Operational Technology)を、OSSを活用して構築している場合、最新の情報をチェックし、都度アップデートや脆弱性に対する対策を講じる必要がある。

そうした中、「脆弱性TODAY」と「CSIRT MT.mss」において、グローバルに展開する大手製造業やOSSを活用している企業などからSBOMに対応することが求められ、新たなバージョンアップが行われたのだ。

旧バージョンにおいても、製品名とバージョン名でのマッチングや、OSなどの最上位でのマッチングは行えていたが、ライブラリなど個々のコンポーネントのマッチングを、階層化の表現で行うことができなかった。

つまり、ライブラリの脆弱性による影響範囲の特定が困難だったのだ。

そこで、「CSIRT MT.mss」にてSBOMをツリー形式で登録できるようにし、特定の製品の脆弱性が含まれるシステムや製品の範囲の特定を行えるようにした。

拡大するサイバー攻撃への対策として求められるセキュリティの重要性 ―GRCS 徳永氏インタビュー
「CSIRT MT.mss」の画面イメージ

また、「脆弱性TODAY SBOM対応版」では、システムを構成するハードウェアやソフトウェアなどを識別するユニークなIDであるCPE(Common Platform Enumeration)情報を配信内容に追加している。

これにより、「CSIRT MT.mss」上でSBOMと脆弱性情報のマッチングを行うことができるようになった。

徳永氏は、「今後あらゆる業種がインターネットを活用してサービス展開をしていく中で、セキュリティは無視できません。

セキュリティを品質管理の一部としてKPIに組み込み、しっかりと評価をしていくためにも、まずはリスクの可視化をして、必要な対応策や、それを実現する組織体制を整えることが重要です。

また、日々の管理を把握し可視化することで、セキュリティ対応が属人化するのを防ぎます。

今後は、CPE情報をSBOMに登録することで、CPEによるマッチングまでをサポートしていく予定です。」と、セキュリティの重要性と、今後の展望について語った。