迫るセキュリティガイドライン対応、 どこから手を付ける?自動車産業が 直面する「自工会/ 部工会・サイバー セキュリティガイドライン」対応の歩み方

3行でわかる本記事のサマリ    

  • 2020年に「自工会/ 部工会・サイバーセキュリティガイドライン」が公開され、自動車産業に関わる多くの企業が、ガイドラインに基づき自社のサイバーセキュリティの強化を図っている。
  • ランサムウェア対策においては、その攻撃手法の特徴から「複数セキュリティ製品の相関分析」「ADなどの認証系システムの監視」「インシデント調査に活用するログの保管」の3つの重点事項について検討していくことが求められている。
  • ガイドライン対応を意識しながらランサムウェア対策としての重点事項に対応するための統合的な監視運用体制の構築が必要とされる。

はじめに

2020 年に公開された、日本の基幹産業の1 つである自動車産業に対するサイバーセキュリティガイドライン。2023 年9 月にはV2.1 へと進化を遂げたこのガイドライン対応に向けて、多くの企業がその対応策を検討しています。今回は、そんなガイドラインの全体像について見ていきながら、企業規模問わず大きな被害を与えているランサムウェアへの対策含めたガイドライン対応の勘所について詳しく見ていきましょう。

目次

  1. 自動車産業向けガイドラインの実態
  2. ガイドライン対応の動きが加速する脅威動向
  3. ランサムウェアの動きとガイドラインの関係性
    ・ランサムウェアによる攻撃フェーズと対策
    ・セキュリティ監視運用における重点事項
    ・対策とガイドラインの紐づけ
    ・複数セキュリティ製品の相関分析に関連するガイドライン
    ・ADなどの認証系システムの監視に関連するガイドライン
    ・インシデント調査に活用するログの保管に関連するガイドライン
  4. 理想的な監視運用体制とは

1. 自動車産業向けガイドラインの実態

セキュリティに関連したガイドラインは、経済産業省や独立行政法人情報処理推進機構(IPA)をはじめとした多くの団体が公表しており、海外のガイドラインと合わせて業界ごとのガイドライン化が進められています。それぞれの業界ごとに対応すべきガイドラインが存在していることは、多くの方がご存じの通りでしょう。そんなガイドラインの中でも、自動車産業に関連した企業が対応に取り組んでいるガイドラインがあります。それが、一般社団法人日本自動車工業会および一般社団法人日本自動車部品工業会のサイバーセキュリティに関連した分科会が策定し、2020年に公開された「自工会/ 部工会・サイバーセキュリティガイドライン」です。

このガイドラインは、大きく「共通」「特定」「防御」「検知」「対応・復旧」と5つの分類で構成されており、目的別のラベルが存在し、レベル1 からレベル3という達成基準のレベルがそれぞれ設定されています。企業によって達成目標は異なりますが、自動車産業に関わる多くの企業が、ガイドラインに基づき自社のサイバーセキュリティの強化を図っています。

2. ガイドライン対応の動きが加速する脅威動向

このガイドライン対応の動きにあわせて、昨今の脅威動向についてもしっかり押さえる必要があります。近年ではさまざまなマルウェアが登場していますが、企業規模問わず大きな被害を及ぼしているのがランサムウェアでしょう。警視庁が2024年3月に発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について※1」によると、ランサムウェア被害の報告件数は令和2年以降被害件数が増加し、高止まり傾向にある状況が続いています。

また、被害組織の3割が製造業で、企業規模問わず被害にあっていることが明らかになっています。IPAが毎年公開している「情報セキュリティ10大脅威※2」の最新版でも、組織向けの脅威としてランサムウェアが第一となっており、なんと9年連続9 回目の選出となっているなど、企業に対して大きな猛威を振るっていることが分かります。

特に製造業では、自動車関連企業の公開されている事例だけで見ても、2023年度上半期で7件のインシデントが発生しており、業務停止など深刻な被害事例も報告されています。脅威の深刻度を考えれば、ランサムウェア対策を意識しながら、ガイドライン対応に向けた活動を進めていくことが重要になってくることは間違いありません。

■ 自動車関連企業の被害

  • 自動車関連企業だけで見ても2023年度上半期で7件のインシデントが発生
  • 情報流出やシステムの暗号化による業務停止など深刻な被害となる事例も発生

自工会部工会1.PNG

※1 警視庁『令和5年におけるサイバー空間をめぐる脅威の情勢等について』
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
※2 情報処理推進機構『情報セキュリティ10 大脅威 2024 』
https://www.ipa.go.jp/security/10threats/10threats2024.html

3. ランサムウェアの動きとガイドラインの関係性

そもそもランサムウェア対策には、どんなポイントが必要になってくるのでしょうか。ここで、ランサムウェア攻撃の流れについて見ていきましょう。

ランサムウェアによる攻撃フェーズと対策

一般的にランサムウェアは、メールやVPN 機器の脆弱性などを利用し侵入を試み、内部で侵害した端末を使って環境内を探索しながら、侵害した端末を永続的に利用できるようにします。そして、侵入範囲を広げていきながら情報を搾取し、サーバや端末の暗号化を実行するといった流れになります。

■ ランサムウェア攻撃の流れ

  • 様々な入口からの侵入を試み、ネットワークの深くまで侵入される
  • 環境内の探索を行い、よりインパクトのある、重要サーバなどが被害にあっている

自工会部工会2.PNG

この初期侵入からラテラルムーブメントと呼ばれる水平展開を行うまでの平均時間は84分ほど、人手の少ない夜間や休日帯を狙う傾向があることが明らかになっていることから、片手間での監視業務は致命傷になりかねません。専任者が24時間365日の体制で監視していき、インデント調査やその対応を迅速に行う必要があるわけで、ランサムウェア対策においてはセキュリティ監視の運用が非常に重要になってくるといえるでしょう。

セキュリティ監視運用における重点事項

そんなランサムウェア対策においては、その攻撃手法の特徴から3つの重点事項について検討していくことが求められてきます。「複数セキュリティ製品の相関分析」「ADなどの認証系システムの監視」「インシデント調査に活用するログの保管」の3点です。

ランサムウェアの各フェーズにおける攻撃手法を見てみると、それぞれ必要となるセキュリティソリューションが異なってくることがわかります。例えば侵入フェーズを見ると、RDPを用いてログインする動きを検知するには、不正侵入検知を行うIPSによる検知が必要となります。探索フェーズにおいては、散策ツールをダウンロードする動きについてはクライアントに展開するEDRが必要となり、侵入後に内部にて別の端末にログインする際にはADなど認証系システムを監視する仕組みが求められます。

■ 実際のインシデント事例 ‒ 製品毎の検知・調査範囲

  • セキュリティ製品ごとの検知・調査範囲をマッピング

自工会部工会3.PNG

EDR だけでなく、ネットワークや認証ログの相関分析が必要

実はEDRを導入すればランサムウェア対策に十分だと勘違いしている方も少なくないですが、侵入検知から目的達成を阻むためには、IPSやEDRはもちろん、AD周りのログやProxy関連のログを監視するなど各ソリューションのログを横断的に見ていきながら、相関分析できる環境が必要になってくることはしっかり理解しておく必要があります。

また、ランサムウェアに関しては、ADへの侵害脅威が相次いでおり、IPAに報告があった事例では2023年の上期だけで29件のうち16件でADの侵害が行われています。半数以上の事案に認証系が悪用されていることからも、このAD 周りの監視・検知についても、しっかりとした対策が求められてきます。

さらに、インシデント調査のためには、ログが必要になってきますが、最近では侵入経路を隠す目的で攻撃者によってログが削除されたり暗号化されたりするケースが多数存在しています。調査の段階でログが残っていないということが明らかになることもあるため、必要なログをきちんと残しておくための環境づくりにも配慮する必要があります。

■ セキュリティ監視運用における重点事項

  • セキュリティ監視運用における3点の重要事項

自工会部工会4.PNG

対策とガイドラインの紐づけ

いずれガイドラインへの対応が求められてくるなかで、前述した3つの重点事項に関しては、ガイドラインのどこにあてはまるのでしょうか。ガイドライン全体をセキュリティ製品の導入やルール作成といった観点で分類していくと、24あるラベルのなかでは「4:体制(平時)」「5:体制(事故時)」「6:事故時の手順」「14:外部への接続状況の把握」「18:認証・認可」「23:不正アクセスの検知」がそれにあたります。このラベルに関する項目について見ていくことで、ランサムウェア対策への第一歩とガイドライン対応への道が開けてくるわけです。

■ 自工会/ 部工会・サイバーセキュリティガイドライン 分類

  • ガイドラインをセキュリティ製品の導入やルール作成などの分類に分けたものは以下の通り
  • 該当するラベルについても記載(重複あり)

自工会部工会5.PNG

複数セキュリティ製品の相関分析に関連するガイドライン

重点事項の1つになる監視や相関分析に関しては、ラベルの4や14、23の達成条件として「サイバー攻撃や予兆を監視・分析」「相関分析によりサイバー攻撃の予兆の検知を可能にする」「24時間/365日」といった文言が記載されています。この点からも、ラテラルムーブメントに及ぶ攻撃スピードや狙われる時間帯などを考慮すると、24時間365日で相関分析や監視を行う必要があります。

■ 監視及び相関分析に関連するガイドライン項目

  • 監視及び相関分析に関連するガイドライン項目は以下の通り

自工会部工会6.PNG

24365での相関分析監視が必要

ただし、現実的には監視するためのスキルやリソースが情報システム部門に不足しているケースが多く、かつセキュリティ製品ごとに個別に運用するような監視サービスでは、相関分析のために自社で個別に工数を割く必要があり、そもそも運用自体が難しいと言わざるを得ません。

そのためにも、できれば1つの企業で統合的な監視が可能な環境を整備すべきでしょう。1つの企業に統合できていれば、単なる監視だけでなく相関分析によって脅威への迅速な対応も可能になるはずです。

■ 監視及び相関分析に関連するガイドラインのポイント

  • 単体監視の場合、監視している製品以外は自社で調査する必要がある
  • 複数製品をそれぞれのベンダーに監視依頼している場合、相関分析は自社で実施する必要がある
  • 統合監視サービスを利用することで、ベンダー側で相関分析を実施
  • 担当者は、ベンダーからの分析結果を受け取り、対応を行うことが可能

自工会部工会7.PNG

統合監視することで、監視能力向上、工数削減が可能

ADなどの認証系システムの監視に関連するガイドライン

2つめの認証系システムの監視に関しては、ラベル18に「認証ログのモニタリングを実施し、不審な認証を検知できること」と達成基準が記載されています。

■ AD監視に関するガイドライン項目

  • AD監視に関連するガイドライン項目は以下の通り

自工会部工会8.PNG

前述したとおり、ADを悪用した攻撃が多発しており、被害が広範囲に拡大してしまうため、しっかりとした認証系の監視が求められています。ただし、EDRでは検知することが難しいため、個別にADを監視する環境が必要です。当然ながら、社内には監視や分析のためのリソースが十分でないケースが多いため、外部に委託できる環境が望ましいです。

なおADを監視する場合は、一般的にはイベントログを転送して監視することになりますが、その場合相関分析のためにSIEMなどに大量のログを転送することになります。このログ転送や保管コストはそれなりにコストがかかってしまうだけでなく、検知ルールの作成やルールのチューニング含めた更新が必要で、どうしても手間とコストがかかってしまいます。また、グループポリシーの変更といったイベントログでは気づきにくい攻撃手法も存在しています。そんな攻撃手法にも対応できるよう、エージェント型で監視できる環境整備が最適となります。

■ AD監視に関するガイドラインのポイント

  • AD監視を行う場合、SIEMにイベントログを転送する方法とAD に専用Agent をインストールする方法がある
  • イベントログの量は膨大で、SIEM にログを転送する場合、それなりのコストが発生
  • SIEM で監視する場合には、検知ルールの作成、更新が必要
  • AD を悪用した攻撃手法には、ユーザ属性やGPOなどイベントログでは監視できない手法も存在する
  • 専用Agent 型であれば、大量のログ転送は不要で、ユーザ属性/GPO 変更の攻撃にも対応

自工会部工会9.PNG

検知ルールの更新、ログ転送の観点からAgent 型推奨

インシデント調査に活用するログの保管に関連するガイドライン

3つめのインシデント対応やログ保管に関しては、ラベル5をはじめ、6や23の達成条件に記載されています。

■ インシデント対応/ログ保管に関連するガイドライン項目

  • インシデント対応・ログ保管に関連するガイドライン項目は以下の通り

自工会部工会10.PNG

インシデント発生時の調査には必ずログが必要で、侵入経路や影響範囲の特定、現在も攻撃が継続しているかどうかを判断するためにも、一定期間のログが求められます。具体的には、ラベル23ではメールやファイアウォールなど各ログの保管が6か月と明記されています。

ここで注意すべきは、ランサムウェアの場合は保管しているログ自体を暗号化してしまったり削除してしまったりすることです。そのためにも、ログを外部に保管する環境整備が求められます。ただし、外部保管に関してはそれなりのコストがかかるため、監視すべきログと保存のみ行うログの選別を行うことが最適解でしょう。

■ インシデント対応に関連するガイドラインのポイント

  • 攻撃者による暗号化や削除から守るため、自社環境の外に保存することを推奨
  • 24365で監視すべきログとインシデント発生時に調査するために残しておくログ分けて考える

自工会部工会11.PNG

監視すべきログと保存ログは分けて考える

4. 理想的な監視運用体制とは

ガイドライン対応を意識しながらランサムウェア対策としての重点事項に対応していくことを考えると、前述したとおり日々の管理運用業務を自社で行っていくのは正直厳しいところでしょう。特に24時間365日の監視体制を社内で確保することは確実に困難なため、いずれ外部の専門組織などをうまく利用していくことが現実的な選択肢であることは間違いありません。ただし、コストも考えるとやみくもに全ての業務を外部の専門組織に任せてしまうわけにはいきません。少なくとも、平時と有事を想定し、自組織と外部の専門組織で役割をうまく分担させていくことが必要になってきます。

では、どのように自組織と外部の専門組織の役割を分ければいいのでしょうか。
続きは資料をダウンロードしてご確認ください。

5.専門組織選びでよくある失敗から学ぶ3つの選定ポイント
6.マクニカのMacnica SOCサービス

ホワイトペーパーのダウンロードはこちら3.JPG

メルマガ登録バナー(セキュリティ).jpg

ランキング