全社訓練や漫画などセキュリティ対策を先進するfreee、全てを守ろうとする前に考えたい「積極的諦め」とフレームワーク活用のススメ：ITmedia Security Week 2025 冬

　同社 CISO（最高情報セキュリティ責任者）の茂岩氏はまず、米国国立標準技術研究所（NIST）がリリースしている包括的なサイバーセキュリティ対策のガイダンス「NIST Cyber Security Framework 2.0」（NIST CSF 2.0）を取り上げる。これは重要インフラ企業向けのガイドラインとして公開されている文書だが、「重要インフラ企業に限定せず適用されることが明記されており、業種、業態、規模にかかわらず参照できるもの」と茂岩氏は指摘する。

NIST CSF 2.0の紹介（茂岩氏の講演資料から引用）

　NIST CSFは比較的抽象度の高い記述が中心となっており、具体的な設定方法などには触れられていない。組織の戦略を作ること、ガバナンスを含めセキュリティの体制を見て、網羅的に抜け漏れがないかどうかを確認するための資料として活用できる。茂岩氏は、具体的な設定に関しては、「CIS Controls」や業界個別のガイドラインを組み合わせることを勧める。

　茂岩氏はNIST CSF 2.0の表紙にも書かれている6つの重要なセキュリティ機能のうち、「Protect」（防御）を中心に語っていく。

NIST CSFで触れられている「Protect」の要素（茂岩氏の講演資料から引用）

　Protectでは、サイバーセキュリティのリスクを軽減するための対策が記載されている。インシデントを起こさないという観点ではアンチウイルスソフトウェアやEDR（Endpoint Detection and Response）といった製品の導入が思い浮かぶかもしれないが、NIST CSFではシステムや人、情報、環境など、情報処理に関わる広範なリソースを対象とした対策を念頭に置いた記載となっている。

　Protectは、認証・認可システムの運用、権限付与を通じて想定外のアクセスを防御する「アイデンティティ管理とアクセス制御」、「人は脆弱（ぜいじゃく）」という前提に立って従業員にフォーカスする「意識向上及びトレーニング」、データ暗号化や通信保護を行う「データセキュリティ」、運用するシステムが正しく設定されてセキュアになっていることを保証する「プラットフォームセキュリティ」、ITインフラやのネットワークリスクを認識し、それに対し低減策が取られているかどうかを見る「技術インフラのレジリエンス」の5カテゴリーに細分化されている。

　NIST CSFやCIS Controlsなど、フレームワークを採用するメリットは、セキュリティ対策全般として抜け漏れを防げることにある。

　「部分的に多額を投資して高いセキュリティレベルにしたとしても、抜け漏れがあることによって全体のセキュリティレベルが下がり、投資対効果が下がる。フレームワークを使ったことはないが、ルールやポリシーを作っているのならば、一度はフレームワークを活用して点検してみるとよいのではないだろうか」（茂岩氏）

セキュリティは最も弱い部分を突かれてしまう（茂岩氏の講演資料から引用）

最初はセキュリティポリシーをベースにいろいろなものを守ろうと奔走

　茂岩氏は次に、Protectの各カテゴリーでどのような対策ができるかを考えていく。freeeで行われている大規模障害訓練も、この対策の一つとして実施されているものだ。

　しかし、セキュリティ対策として「最新ツールを導入して対策しようと考える前にやるべきことがある」と茂岩氏は指摘する。「ツールを導入し、効果的に使うためには、しっかりした準備が必要。経験を交え、今日はその話をしたい」

NIST CSFに施策をマッピングする（茂岩氏の講演資料から引用）

　まず必要なことは、守るべきものを明確にすることだと茂岩氏は指摘する。DX（デジタルトランスフォーメーション）の推進が叫ばれる中、茂岩氏自身も非常に苦労し悩んだものだという。DXが進むことで情報資産は社内にあふれ、「企業の総資産価値の9割近くが情報資産」という報告（『サイバーリスクハンドブック』日本経済団体連合会）も出てきている。「全て守ろう」とすると非常に難易度が高く、茂岩氏も最初はセキュリティポリシーをベースにいろいろなものを守ろうと奔走し、業務の自由度を失わせてしまうことに気が付いた。

　この問題に対して茂岩氏は相対的に重要度の低い情報を対象外とする「積極的諦め」を取り入れたという。情報を機密区分に分け、その中でも特に重要なものにまずは絞り込み、厳格な対策を導入していく。これにより、対策の難易度を下げることができるようになる。

「積極的諦め」を導入しよう（茂岩氏の講演資料から引用）

　次に、これら守るべき情報資産が、どのような事故に巻き込まれる可能性があるかという「ストーリー」を作り、対策とマッチングさせる。これは各企業によってストーリーが異なるので、企業にマッチしたツールを導入する流れとなる。例えばここに、情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威」などが活用できるだろう。

　10大脅威では、例年ランサムウェア（身代金要求型マルウェア）による脅威が紹介されている。つまり、自社でもその脅威が降りかかる可能性が高い。「ランサムウェアの例ならば、感染の可能性が高いエンドポイントはどこにあるのか。エンドポイントが感染したとき、そこからリーチ可能な情報資産は何か。システム全体が破壊されたとき、何ができるのかをストーリーとして考えていく」（茂岩氏）

　重要なのは、このストーリーを作るのは「中の人」の方が望ましいということだ。「外部ベンダーやパートナーだと、こういったストーリーまでは作れない。自社の状況を一番知っている中の人こそが主体となり、設計をしていく必要があるだろう」（茂岩氏）

ストーリーと対策をマッチングしていく（茂岩氏の講演資料から引用）

ランサムウェア攻撃のストーリーを作る（茂岩氏の講演資料から引用）

　ストーリーを作ったら、そのストーリーが“成立しないように”ツールをマッチングしていく。発生源を断つことができれば、攻撃は成立しない。例えば海外で運用しているVPN（仮想プライベートネットワーク）が重要なデータベースにも到達できるようならば、そのアクセスを止めることでリスクを低減できる。「対象資源の絞り込みなど、あらためて点検してみる。これにより、ライセンス費用を削減できることもあるだろう」と茂岩氏。加えて「ゼロトラストは非常に良い考え方ではあるが、信頼できるIPアドレスのみにアクセスを絞る経路制御は引き続きセキュリティレベルを高める現実的な対策だ」と付け加える。ツールの導入はそれからでもよい。

対策とツールのマッチング（茂岩氏の講演資料から引用）

　茂岩氏は、これまで運用フェーズで経験した落とし穴も紹介した。ツールの運用はその対象となる端末が数台なのか、数千台なのか、数万台なのかで大きく異なり、「その中の数十台だけがなぜか最新にならない」といったトラブルが発生する。そのため、これらを監視して、想定動作をしない端末へのアプローチを考慮しなくてはならない。それが一体誰の責任で、誰が行うのかも決めておく必要がある。

　「ツールのライセンス費用は定期的に更新が必要だが、そのたびに支払い続けるかどうかを慎重に検討すべきだ。現状のツール構成が組織に適しているかどうか、都度評価する必要がある」（茂岩氏）

ツール運用の落とし穴（茂岩氏の講演資料から引用）

中の人がセンサーになるべく、社内のルールを作る

　継続投資すべきかどうかは、経営層にも関連することだ。そのため、「ツールが自社にどのように役に立っているか」を経営層の肌感覚で分かるように、運用報告書を作成することを茂岩氏は勧める。

　「例えば半年、ツールから誤検知しか上がってこない、重要な気付きを得られないのならば、投資の見直しのサインかもしれない。ただし、その場合も他の対策が功を奏している可能性もあるので、状況によって判断は変わる。漫然と運用していると、いざインシデントが起こったときに、対策ツール群をすり抜けることもある。せっかくの投資を無駄にしないよう、定期的に評価することが大事だ」（茂岩氏）

　茂岩氏は、最新ツールのリサーチや新しい攻撃手法の確認、さらには他社の事案を自社に当てはめシミュレーションすることで、自社の“Protect”を評価することが重要だと付け加えた。

ツールの評価（茂岩氏の講演資料から引用）

　茂岩氏は、「人」の強化についても触れることを忘れない。「セキュリティの弱さはシステムと人を分けて考える必要がある。組織内の人は、セキュリティ部門が気付かないことが見えているかもしれない。中の人がセンサーになるべく、社内のルールを作る。これを最新の状況に合わせ、毎年アップデートすることが必要だ」

人の強化はシステムとは分けて考える（茂岩氏の講演資料から引用）

　茂岩氏は、最後に次のように話して講演を締めくくった。

　「最新のツールを導入するのは非常に良い前進。しかしその前に、ツールの導入効果を最大化するために、情報の絞り込みや運用、セキュリティ対策など、幾つかの視点で考えておかねばならないことがある。ツール以外の考慮点も含めてセキュリティ対策を有効に機能させるにはどうすべきか考えることで、良い対策につながる。今回の話が参考になれば幸いだ」