対策 その2：特権IDは申請制にして、その作業を「録画」する

　脅威の抑制という点では、サーバ操作で大きな権限を持つ特権IDを適切に管理することも重要である。同社では、特権ID利用に関してその都度ユーザーが申請して許可を得る仕組みにするとともに、パスワードも期限付きのものを発行している。特徴的なのは、特権ID管理ツールが操作の録画機能を有していることで、サーバ上の作業を動画として保存することができる。

　特権ID利用の流れとしては、
（1）申請
（2）承認者への申請通知
（3）承認者からの承認
（4）ユーザーへの承認通知
（5）ID・パスワードの貸出
（6）ユーザーの利用（作業の動画記録）
（7）ID・パスワードの返却（あるいは期限切れ失効）
となる。特権ID管理ツールから出力されるレポートや動画は、監査証跡としても活用可能だ。

対策 その3：罠を仕掛けて、攻撃を捕捉・可視化する

　さらに、同社が「減災」という観点で導入したのが、標的型サイバー攻撃対策だった。ここでは偽情報や偽サーバをトラップ（罠）という形で社内システム内に配置、攻撃を検知するとアラートを出す仕組みを構築した。またトラップに捕捉されると、その攻撃経路を特定したり、可視化したりすることができる。


　このトラップという概念を用いた標的型サイバー攻撃対策の導入は、大きな効果を発揮した。従来は攻撃情報の収集に多くの時間とコストを割かざるを得なかったが、そのプロセスを大幅に削減し、ただちに解析、駆除に取りかかれるようになったという。

　また、ユーザー教育も重要ということで、標的型攻撃メールの疑似体験も実施。当初、その必要性を認識するにはまずマネジメントからと、経営層や部門長を対象にテストを行ったところ、その60％が添付メールを開封してしまったそうだ。この結果を受け、今や同社では疑似体験を定期的に行っている。

「重要なのは減災。侵入されても被害を最小限に抑えられる方策を」

　そのほか同社では、クライアント端末の利用状況を把握するために、クライアント運用管理ソフトウェアを導入した。アプリケーションの利用やインターネット閲覧が業務に必要な範囲であるかモニタリングするとともに、持ち出し不可のデータをUSBにコピーするなど、特定の操作を検知すると、運用管理サーバにアラートが上がり管理者に通知がいく。

　このソフトは他にもITやソフトウェア資産管理などさまざまな機能、監査機能を有しているといい、今後少しずつ内容を確認しながら使いこなしていきたいとのことだ。

　長倉氏は図版を示しながら次のようにまとめた。


「当社ではセキュリティ対策のポイントは、防御、検知、減災の3つにあると考えています。特に今日において重要なのは減災で、侵入された後、いかに早くそれに気づいて、いかに被害を最小限に抑えるか、が知恵の絞りどころになると思います。

　また、常に新たな手口の情報収集に努めるとともに、自社だけで対応が難しいところは外部の専門機関と密な連携を図り、お互いの役割を明確にしながらセキュリティ対策を進めていくことも忘れてはならない観点です。

　セキュリティ対策に終わりはないというのが当社の結論で、全体のバランスを見ながら、個々の対策の調整をそのつど図っていく必要があると考えています」（長倉氏）