富士通がセキュリティ領域の新たな基本コンセプトとしてまとめた「FUJITSU Security Initiative」は、ICTシステムの運用にインテリジェントなセキュリティ対策を組み込み、事業継続を担保しようというものだ。システムを守るというよりも、顧客の業務を守るために、危機管理能力を高める仕組みづくりに重点を置く。(本多和幸)
サイバー攻撃の高度化により、既知のぜい弱性を突いた攻撃だけでなく、未知のマルウェアやゼロデイ攻撃なども含めて対策を考えなければならない状況になっている。「一つひとつの事象への技術的な対策を重ねていくだけでは、コストの面からも、効果的な対応という面からも、有効な対処ができなくなってきた。これから必要なのは、攻撃の全体像を把握して、攻撃者が何をしてくるのか、何をしようとしているのかを理解し、その“流れ”を断ち切るという、侵入を前提とした新しいセキュリティの考え方だ」と、太田大州・グローバルマーケティンググループ統合商品戦略本部エバンジェリストは指摘する。
そのための具体的な方法論として富士通が提示するのが、従来のセキュリティ対策強化と、未知の脅威に対しての入口・出口対策に加えて、脅威情報を含めた潜在リスクを検知して影響範囲を特定し、被害を軽減する「セキュリティインテリジェンス」だ。「早期に危機を発見するという観点では、システム稼働中にいかに潜在化しているリスクを検知するか、ここに最大の注力を払うべきだと考えている」(太田エバンジェリスト)という。
これを実現するためのプロセスは、「OODAループ」で運用していく。これは、総務省・情報セキュリティアドバイザリーボードによる「総務省における情報セキュリティ政策の推進に関する提言」でも推奨されている手法。PDCAサイクルのように、計画を立てて一度実行したうえで、初めて改善フェーズに進むことができる管理手法では、現代のサイバー攻撃に十分に対応できない可能性が高いため、「監視(Observe)」「情勢判断(Orient)」「意志決定(Decide)」「行動(Act)」というプロセスを常に繰り返して、攻撃側の継続的な変化にも対応できるようにするという考え方だ。太田エバンジェリストは、「ICTが存在し続ける限り運用という業務もあり続けるわけだが、ここにOODAループを埋め込んで、危機管理能力を高めていく。さらに、それを起点に個別の技術・サービス開発や人材育成も進めていく。FUJITSU Security Initiativeは、まさにそうしたロジックを提示したもの」と、説明に力を込める。
