Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

JALのセキュリティ戦略

つぶやいてみた。

最近本業で忙しく、セキュリティセミナーに参加できてない自分がいて反省しきりです。10/31に開催されたIBM Security Summit 2018のレポートが出ていました。

it.impressbm.co.jp

当時会長に就任した京セラ名誉会長 稲盛和夫氏が再建時に掲げた「JALフィロソフィ」を説明した。そしてサイバーセキュリティの心得として、孫子の兵法の一節「彼を知り、己を知れば、百戦して危うからず」を挙げた。

 福島氏によると、サイバーセキュリティとは「見えない敵との戦争」、つまり非対称戦であるという社会の公器とも称される企業は、基本的に社会に対してオープンな姿勢を取っており、攻撃者からすれば丸裸の状態と言える。翻ってサイバー攻撃者は、闇に潜み、その姿を詳らかにしない。つまり、企業は圧倒的不利な条件でサイバー攻撃と戦わなければならないということだ。

 その見えない敵と戦うための武器となるのが、福島氏曰く「イマジネーション」、つまり想像力である。イマジネーションによってもたらされたのが上述の「彼を知り、己を知れば、百戦して危うからず」だ。「彼を知る」とはすなわち「敵の狙い」(What)、「どう攻めてくる」(How)かを把握することを指す。己を知るとは「どこが狙われる」(Where)、「何が弱点か」(Which)を把握すること。そして、最大の弱点が「人」(Who)であるという。「4W1H」にも当てはまっている。

 

 福島氏が、他部署を経て2018年4月に着任したというJALのセキュリティチームだが、2014年の情報漏洩事故を機にセキュリティ戦略グループとして組織化され、DDoS攻撃対策や次世代型ファイアウォール(NGFW)、データベースファイアウォール、Webアプリケーションファイアウォール(WAF)に、IDS(侵入検知システム)、2017年12月のメール詐欺被害を受けてのメールフィルターサービス等々、その時々に必要なもの、流行りのものを積極的に取り入れていった。

(IT Leaders記事より引用)

 

◆キタきつねの所感

JALの講演内容はエッセンスを記事で見ても興味深い内容でした。孫子の引用はたまに私も自分のセミナー資料で使っていたりしますが、この有名な一節・・・やはり皆さん使いますよね。

ですが、この続きがあるのをご存知でしょうか?

知彼知己 百戰不殆

(敵と味方をよく知るなら、どんな戦いにもほとんど破れる心配はないだろう)
不知彼而知己 一勝一負

(敵の実情を知らなくても勝てることはあるが、負けることもある)
不知彼不知己 毎戰必殆

(敵のことも味方のことも知らないなら、何度戦っても必ず危険に晒されるだろう)

Trans.BIZより引用)

意外と3つ目の状況に陥っている日本企業が多いな、というのがセキュリティインシデントをウォッチしている私の実感です。

 

圧倒的に攻撃側(ハッカー)が有利であり、防衛側(企業)が不利なのがサイバーの世界。その中で、ちゃんと自社の弱点を把握し、ハッカーの攻め口、狙っている資産を把握する、孫子の時代からサイバーの時代まで普遍的な真理であるようです。

去年のビジネスメール詐欺(BEC)被害を受けての対策の部分は、メールフィルターという所も興味深い部分でした。IPアドレスなどで判定をする感じでしょうか。

 

記事の後半部分も引用しますと、

セキュリティ投資の3つの考え方

 次に、福島氏はJALのセキュリティ戦略グループで定めた、限られた予算で有効なセキュリティ対策を施すための「セキュリティ投資の3つの考え方」をそれぞれ説明した。

 1つ目の考え方は「見えない敵も足跡は残る」=見える化。攻撃者は、姿かたちは見えないとはいえ、何らかの証跡は残しているものだ。その限られた証跡から敵の行動を知ることは「IBMほか、多くのベンダーが提供している見える化ソリューションで可能」だ。

 2つ目の考え方は「点と点をつなぐ」=「全体を見る」。適所適所で導入されていた部分最適のシステムを連携することで、全体を見渡すことができるようになる。「機械だけでなく、人とルールも忘れずに」ということだ。

 3つ目の考え方は「機械にまかせる」=「自動化とAI化」。攻撃者は日々進化している。亜種を自動的に作りだすソフトがあることはよく知られたことだが、守る側がいつまでも「人がアラートを見つけて対処する」といったアナログな対応では、すでに守り切れなくなっている。「できることは機械にまかせる」と割り切ることが大切だという。

(IT Leaders記事より引用)

 

どれも共感できる考え方です。最近のセキュリティツールの機能は、ダッシュボード等での俯瞰できる情報(見える化)が必須ですし、セキュリティ機器の情報を連携しないと全体把握ができないのも、これだけ攻撃脅威が増してきている中では、機器連携がある事によって見えてくる潜在的脅威も含めて大切だと思います。最後は人ではなくツールやAI。最後の判断は人に戻ってきてしまいますが省力化を図らないと守れないのも現在の企業課題を的確に表している気がします。

とは言え、日本航空の規模だから(そして昨年大きな事件が起きているので)こうした全体設計、セキュリティ・グランドデザインが出来るのであって、予算が無い一般企業は、優先順位を立てて足りない部分に対して、新たなシステムを導入していく事はあっても、なかなか自動化、AI化までは進めないのが現状かも知れません。

しかし、JALのセキュリティ戦略をよく見ると、見える化」は自社のリスクアセスメントや、ログ分析である程度カバーできると思いますし、「点と点をつなぐ」のは、人のセキュリティ(例えばウィルスを踏んだらLAN線を抜いてIT部門に報告する等々の居行く)や規定・ルーリングでもカバーできる範疇です。

最後の「自動化」、すなわち人手・専門家不足についてはどうしても費用がかかるものと思いますが、JALのこうしたセキュリティデザインを参考に、自社の予算を獲得していく事も(多少は)有効だと思います。

それでも、予算をつけてくれない経営層の方がいたら、ビジネス本として経営層の方にも馴染みが深い、孫子本を買って、

 

不知彼不知己 毎戰必殆

(敵のことも味方のことも知らないなら、何度戦っても必ず危険に晒されるだろう)

 

にでも付箋を貼ってみたら・・・少しは効果があるかも知れません。

 

 

鶴と亀のイラスト「縁起物」

 

更新履歴

  • 2018年11月3日AM(予約投稿)