ULTRARED 導入事例
政府機関に求められるサイバーセキュリティ対策
その統一基準群をいかにして遵守するか
侵入シミュレーションを通じてセキュリティレベルを維持・向上
国立研究開発法人科学技術振興機構(JST)様
デジタル改革統制部
部長
黒澤 努 氏
デジタル改革統制部
企画課
主任専門員
池田 崇 氏
デジタル改革統制部
情報基盤グループ
システム担当
柳田 敏 氏
国立研究開発法人科学技術振興機構(JST)様 基本情報
| 事業内容 | 公的機関 |
|---|---|
| 本社所在地 | 〒332-0012 埼玉県川口市本町4-1-8 川口センタービル |
| 創立 | 1996年 |
| 社員数 | 1,477人(2024年4月1日) |
| URL | https://www.jst.go.jp/ |
課題
- 侵入シミュレーションの頻度が低く、効果が限定的。
- 手作業によるテストは負担が大きく、網羅性に欠ける。
導入効果
- 最新の攻撃トレンドを反映し、迅速な脆弱性検出を実現。
- リスクの深刻度に応じた優先対応で、
効率的にサイバー攻撃を防御。
ー 背景 ー
国の統一基準をベースラインとしたセキュリティ対策を実施
科学技術立国であるわが国にとって、喫緊の課題となっているのが、研究開発力のさらなる強化である。世界的な気候変動、エネルギーや資源のひっ迫、食糧難、感染症のパンデミックなど、我々の間に立ちはだかるさまざまな困難を乗り越えるための“解”を生み出すのは科学技術にほかならない。そんな科学技術・イノベーション政策推進の中核的な役割を担っているのが、国立研究開発法人科学技術振興機構(略称JST)である。
JST デジタル改革統制部 部長の黒澤 努氏は、「多様な研究開発プロジェクトへのファンディング機能、科学技術に対する社会への理解増進を深める機能、研究開発に関する調査分析などを行うシンクタンク機能が、私たちのミッションの3つの柱です」とし、「あえて民間企業に例えるならば、科学技術に関する総合商社的な役割です」と語る。
そんなJSTは、一方で常に熾烈なサイバー攻撃のリスクにさらされており、厳重な情報セキュリティ対策が欠かせない。具体的にどのような取り組みを行っているのだろうか。
「弊機構をはじめとする政府機関には、『サイバーセキュリティ対策のための統一基準群』が定められており、これをベースラインとして必要なセキュリティ対策を実施することが義務付けられています。他方、コロナ以降、生成AIを始めとして便利で新しいサービスが多数登場しています。私たちは研究成果を最大化するためにJSTの業務をいかに効率的に推進するかが最も大切なことだと考えています。セキュリティ対策は業務を止めないためにも重要なことであり、アクセルとブレーキのバランスが最も重要です」と黒澤氏は強調する。
また、統一基準そのものも最新のサイバー攻撃の動向を踏まえて定期的に見直しが行われている。例えば2023年度版では、「情報セキュリティに関するサプライチェーン対策の強化」、「クラウドサービスの利用拡大を踏まえた対策の強化」、「ソフトウェア利用時の対策の強化」、「サイバーレジリエンスの強化や脅威・技術動向を踏まえての対策の強化」、「組織横断的な情報セキュリティ対策の強化と情報システムの重要度に応じた対策の確保」といった観点で改定が行われている。
この統一基準に沿う形でJSTでは、情報セキュリティポリシーを策定し、情報システムへの対策を行い、さらにその知見を運用ルールやSOC・CSIRTなどの体制に反映する一連のプロセスからなるPDCAサイクルを回し続けている。これにより業務推進と情報セキュリティ対策のバランスが図られているのだ。
そうした中、情報システムに対して実施すべき取り組みとして示されている項目に、脆弱性診断やペネトレーションテストがある。
脆弱性診断はセキュリティホールを網羅的に洗い出し、攻撃者に悪用されるおそれなどの危険度を評価するものだ。一方のペネトレーションテストは、ランサムウェア攻撃や不正侵入などのサイバー攻撃で実際に使用されている手法を用いてシステムへの侵入を試みる “攻撃者目線”に立ったセキュリティテストの一種で、自分たちが運用または利用している情報システムやネットワークが、サイバー攻撃の脅威から適切に保護されているかどうかを検証する。これまで把握しきれていなかったアタックサーフェス(攻撃対象領域)や脆弱性を特定して修正することは特に重要な目的となる。
ー 選定経緯 ー
日々新たな脆弱性が露呈する中、侵入シミュレーションのサイクルをいかにして短縮し
外部からの攻撃のリスクを最小化するか
もっともペネトレーションテストを的確に行うのは容易なことではない。JST デジタル改革統制部 企画課 主任専門員の池田 崇氏は、このように語る。
「弊機構では統一基準群に明記される以前から、自主的に手作業での脆弱性診断およびペネトレーションテストを実施してきましたが、管理下の情報システムの数は数百に及び対象業務も多岐にわたっており、どうしても頻度にばらつきが生じます。基本的には各システムに対して順にテストを実施してきましたが、すべてを一巡するまでに2~3年を要していたのが実情です。この対策方法には限界がありました」
実際、ペネトレーションテストは頻度が下がれば下がるほど、その効果は低下していくことになる。極端な例ではあるが、世間ではペネトレーションテストを行った数日後に発見されたシステムの脆弱性を突かれたサイバー攻撃の被害も発生している。
したがって、可能な限りテストサイクルを短縮するのが重要であり、毎日でも実施することができれば理想的である。
ただし、従来のような手作業に依存した体制ではかなりの無理があり、そもそも最新の攻撃者の手法を反映することからして困難だ。何らかの支援ツールの活用は不可欠である。加えてJSTでは、開発中のシステムやテスト環境の状況をタイムリーに把握、なおかつ外部に露出している可能性があるシステムについても攻撃リスクを最小化すべく、セキュリティ対策を施したいと考えた。これもまた通常のペネトレーションテストでは対応しきれない。
続きをお読みになりたい方は、フォームに必要事項をご記入いただき、
「資料ダウンロードページへ進む」ボタンをクリックしてください。