ローム×トレンドマイクロ、サイバーセキュリティ対応?调査の最前线を知る二人が语った“復旧”で见逃せないポイントとは?
日本、ひいては世界の半导体业界を支えるローム。そのサイバーセキュリティ责任者が、トレンドマイクロのインシデント対応チームの责任者と语った、復旧时に外せないポイントとは?
Save to Folio
2024年7月23日(东京)、8月1日(大阪)に行われたトレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」。今回は、大阪の講演より、ローム株式会社(以下、ローム)IT統括本部 ITガバナンス室 室長 井上 正(いのうえ?ただし)氏と当社インシデントレスポンスチームプリンシパル インシデントレスポンス コンサルタント田中 啓介(たなか?けいすけ)の対談、「ロームとトレンドマイクロが語るインシデント事例から見えてきた対応のポイント」の模様をレポートします。
サイバーセキュリティ対応?调査の“现场”を共にした二人
半導体メーカーとして著名なローム。そのサイバーセキュリティの責任者として同社のセキュリティ対策をリードする井上氏は、25年間OT(Operational Technology)分野を担当し、その後IT分野でサイバーセキュリティを3年以上リードしています。OT分野出身のサイバーセキュリティ責任者というユニークな経歴を持っている井上氏ですが、「ともに工場を作り上げてきたメンバーが各工場長になっており、サイバーセキュリティの話もしやすく、経験が生きている」と語ります。世界的な重要物資の1つである半導体の生産拠点を日本と海外に持つ同社では、洪水や震災などの自然災害リスクと同等にサイバーリスクをとらえています。
ロームの井上氏が考える「サイバーリスクの优先顺位」付けの际に考虑しなければならないポイントは、以下の3つに集约されると言います。
?供给の确保(サプライチェーンの安定运用と在库确保)
?生产ラインの早期復旧
?顾客の机密情报の保护
半导体という重要物资のメーカーだからこそ、製品供给力の低下や生产の停止は、同社の业绩への影响はもちろんのこと、社会的な影响も大きいと言えます。そのため、いかに早期に立ち直るかは、サイバーセキュリティ戦略の中でも重要な要素です。
一方、対谈相手のトレンドマイクロの田中は、トレンドマイクロ入社后、中央省庁でのセキュリティ状况监视?インシデント対応业务に従事。2019年ころから公司向けインシデント対応サービスの主管を担当し、数多くのインシデント対応ケースを支援してきました。実际にロームにおける调査も支援し、サービス利用公司とサイバーセキュリティ公司という立场から井上氏と共に不审なシステム挙动などのサイバーセキュリティにおける详细调査、原因究明に奔走してきた间柄です。
そのうえで「復旧宣言」を出す际の难しさにも言及し、「限られた时间」、「大量のログの整理?分析」、「胁威を根絶したことを示すデータの可视化」が、その障壁として挙げられるとしました。
また、復旧の3条件「初期侵入口の特定?対処」、「観测された攻撃手法への対処」、「再発防止のための监视」を挙げました。これらの内容は7月23日の东京の讲演でも田中が説明しています。ぜひ、そちらも併せてご覧ください。
参考记事:インシデントからの復旧に必要な3つのポイントを解説
ロームの考える復旧时に外せないポイントは?
ここまで田中からは、いくつものセキュリティインシデント対応を支援しているサイバーセキュリティ公司の立场から、復旧时に必要な要素を説明しました。
これに対して、実际に自组织でサイバーセキュリティ対策やリスクコントロールを指挥する井上氏が感じる难しさはどんなものがあるのでしょうか?まず、同社でのサイバー胁威の検知について、サイバーキルチェーンの考え方に则っていると井上氏は説明しました。
サイバーキルチェーンは、攻撃者が标的を定め、目标を达成するまでの一连の行动を、7つのフェーズに分けた考え方です。ロームではこの考え方に基づき、検知したログを基に、该当の攻撃がどのプロセスで止まったのかを分析し、以后の対策改善に活用しています。
参考记事:自社システムを実際に攻撃する“レッドチーム演習”を実施するには? ~サイバーキルチェーンを軸に解説~
さらに、井上氏は実际に过去に同社で不审なネットワークの挙动を検知したケースに言及する形で説明を行いました。田中も支援した详细调査では、当初「あまりやることがないのでは?」(田中谈)と感じてしまうほどの必要十分な调査がローム社内で行われていました。その上で、通信しようとしていた不审な通信先などについて、さらなる分析を行いました。「発见されたログを详细分析し、推测される攻撃の概要や攻撃者の意図などを深掘りして伝えることができた」と田中は説明します。
「サイバーセキュリティの対策というと、映画やドラマで出てくるような何个もウインドウをモニターで开きながらひっきりなしにキーボードを操作しているハッカーとリアルタイムで戦っているイメージがあると思う。ただ、実际のサイバー攻撃では全くの逆。彼らはいかに気づかれないかに腐心しているため、“隠密行动”といったイメージ。防御侧としては、予防を十分に行うことは基本だが、不审な挙动を早期に検知する対策としっかりとログを残しておく体制、これに尽きる」と井上氏は淡々と语ります。
さらに井上氏は、「ユーザ公司からすると、自身の取っている现状の対策が正しいかどうか、分からないのが最も大きな悩み。プロの目线で、现状の対策ができていることを証明してもらえるのは、本当に助かる」と応じました。
ロームの今后のチャレンジとトレンドマイクロへの期待
最后に、ロームのサイバーリスクコントロールに対する今后のチャレンジについて、话が及びました。井上氏は、即座に以下の4点を挙げました。
?不审な挙动の早期発见体制强化(いかに早く见つけるか)
?システムの早期復旧体制の整备(バックアップ等)
?滨罢と翱罢の一元的な监视体制の整备
?海外拠点も含めた人材育成などベースアップ
井上氏は上记のチャレンジを継続的に続けていくとし、そのうえでトレンドマイクロへの期待感についても语りました。
「トレンドマイクロの调査対応力には大きな信頼を寄せていて、何かあった场合に頼りになる。今后は教育トレーニングの强化にも手を贷してほしい」とした上で、「ただ、それを今やっているのがロームとトレンドマイクロという、个社と个社の関係性に过ぎない」と切り出しました。
「今日のカンファレンスでも、皆様のサイバーリスクに関する悩みは共通项が多いと感じた。业界、会社の垣根を越えて、サイバーリスクについてのコミュニケーションの场を、トレンドマイクロにぜひリードしていってほしい」と井上氏は述べました。
トレンドマイクロの田中も「公司同士では、サイバーリスクの话をいきなりするのは难しいかもしれない。当社のようなサイバーセキュリティ公司は长年にわたり様々な事例を経験している。具体的なインシデントの详细は当然お伝え出来ないが、悩みを共有?议论する场を设けるという形でまだご支援できる分野は多いと思う」と、语りました。
最后に、井上氏は「サイバーリスクの世界は、5年先の未来は何があるかわからない时代。今回のカンファレンスでトレンドマイクロが语った生成础滨の活用や防御の构想の话のように、今后もさらに1歩先を行くような技术革新を続けてほしい」と期待述べました。
田中はこれに応じて、「サイバーセキュリティ公司としては、今后もできる限りインシデントの现场を経験し、监视?分析を継続していく。地道ではあるが、この活动こそが、サイバー攻撃の手法が変化している、あるいはしていないという倾向など有益な情报を皆さんに伝えること、ひいてはソリューション开発など攻撃検知能力の向上への寄与になる」と改めて决意を语りました。
<関连记事>
?2024 Risk to Resilience World Tour Japanを一気に振り返る
?2024 Risk to Resilience World Tour Japan基調講演 開催レポート
?トレンドマイクロ AI×セキュリティ戦略を発表
?进化を続けるパナソニックグループのサイバーリスクコントロール戦略とは~ベストオブブリードからセキュリティプラットフォームへのシフトを推进~
?汉方薬のツムラがたどり着いた「现実を正しく见据えた」復旧策とは
?“安全”に里打ちされた“安心”を~コープデリのサイバーリスクマネジメントの现在地~
?神戸製鋼所のサイバーリスクコントロール戦略 ~ベストオブブリードからサイバーセキュリティの統合へ~
