2010年以降、特定の企業や組織をピンポイントで攻撃するサイバー犯罪「標的型攻撃」が急増し、企業にとってセキュリティ上の大きな脅威となっている。その目的も、金銭搾取からシステム破壊など多岐にわたる。企業にとって、標的型攻撃への対策は、最重要課題と言っても過言ではない。
そこでITpro Activeでは、ITPro Active製品選択支援セミナー「標的型攻撃への対策~脅威への対策製品の特長と製品選択のポイント~」を、2013年1月31日に東京で開催した。この分野に詳しいアイ・ティ・アールのシニア・アナリスト舘野 真人氏が対策の要点を解説したほか、主要ベンダーが標的型対策製品の特徴や戦略を紹介。最後に『日経コンピュータ』誌の玄記者が、最近のセキュリティ重大事件の特徴について解説した。
基調講演
標的型攻撃の最新トレンドと対策の要点
標的型攻撃に対して、IT部門はどのような対策をとればいいのか。基調講演では、アイ・ティ・アールのシニア・アナリスト舘野 真人氏が、標的型攻撃への対策の要点を解説した。
シニア・アナリスト
舘野 真人氏
館野氏はまず、標的型攻撃が注目を集めていることと、一般的な脅威になっていることを、各種の調査結果を基に示した。例えば、日本ネットワークセキュリティ協会(JNSA)の「JNSA 2012セキュリティ十大ニュース」では、5位に「広がる標的型攻撃」がランクインする。標的型攻撃が、身近な話題になっていることが分かる。
また、日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アールが2013年1月に実施した最新の調査結果によると、46.7%の企業が標的型攻撃を「優先度の高いセキュリティ課題」と認識しているという。「他のセキュリティ課題と同程度」に重視している回答も含めれば、その割合は8割を上回る(調査対象は従業員数50人以上の企業に勤務し、IT戦略ならびにセキュリティ管理に携わる役職者、回答数=642)。同調査によると、「2012年に発生したセキュリティにまつわるインシデント」として「標的型のサイバー攻撃」を挙げた割合も、8.3%に及ぶ。
攻撃目的が多様化する標的型攻撃
館野氏によれば、最近の標的型攻撃は、目的が多様化している、という。攻撃の目的は、業務停止(Webサイトの停止やシステムダウンによる業務停止)や金銭搾取(Webサイトの改ざんによる詐欺やシステムを“人質”にとった金銭の要求)、スパイ活動(知的財産の搾取、機密情報の流出)、破壊活動(システムの機能不全化)、政治活動(政治的主張の実現)など、非常に多岐にわたっている。
また、「侵入後すぐに行動を起こすのではなく、攻撃のための基盤作りを優先すること」も、標的型攻撃の特徴という。多くのケースでは、周到な準備をして取り掛かり、気づかれないように潜伏・拡散し、ターゲットのシステムを内部から調査したうえで、最終目的(情報の搾取や破壊)を遂行する。「空き巣があらかじめ合鍵を作っておくのと一緒なので、なかなか気づれない」(館野氏)。
従来型のセキュリティは通用しない
この標的型攻撃を検知・防御するためには、「従来型のセキュリティで通用していた各種の神話を見直す必要がある」と、舘野氏は強調する。例えば、「サイバー攻撃手法はパターン化しており十分防御が可能」という神話は通用しない。攻撃手法は年々高度化、複雑化しており、完全な防御は不可能だからだ。「重要データは社内で管理することが安全なはず」という神話も正しくない。境界線を突破されればむしろ危険だ。「社員個々のリテラシーを高めれば、人為ミスによる被害は減るはず」という神話も、リテラシーの高い人さえだまされる巧妙な標的型攻撃の手段の前では無力である。
標的型攻撃の現実を前にすると、ゴール設定やアプローチを見直す必要があるだろう、と館野氏は言う。従来の目指すべきゴールは、「脅威を侵入させない」ことだったが、標的型攻撃に対しては、侵入されることを前提に、「侵入されても被害を最小限にくい止める」ことが目指すべきゴールとなる。「できるだけ早く攻撃に気付いたり、データのバックアップ/リカバリーのように、攻撃を受けても素早く復旧できる手段を用意することが大切だ」(館野氏)。
IT部門に求められる「捜査機関」としての能力
標的型攻撃に対する具体的な対策として舘野氏は、次の3つを挙げた。
1つは、「ネットワーク・トラフィックの可視化」。統合ログ管理やフォレンジクス、次世代ファイアウォール製品がこれに当たる。2つめは、「振る舞い検知と全件チェック」。仮想実行エンジン(サンドボックス)型マルウエア対策製品が相当する。そして3つめが「エンドポイント対策の強化」である。ルートキット(ウイルスなどの不正なプログラムを、ユーザーやセキュリティ対策ソフトから見えないようにするプログラム)の検知などだ。この中では、特にネットワークトラフィックの可視化が非常に重要、と館野氏は指摘する。ネットワークの平時の状態を知っておかなければ、有事に気付くことができないからだ。
標的型攻撃対策に有効な製品の出荷金額も伸びているという。例えば、ネットワークの境界部に設置するゲートウェイ型セキュリティ製品は、2016年までに年率2ケタの成長が見込まれる。「ファイアウォール機器を、UTM(統合脅威管理)機器や、アプリケーションの種類まで把握可能な次世代ファイアウォールにリプレースするユーザーが増えている」(館野氏)。ログ管理製品の出荷金額も伸びている。「従来のコンプライアンス用途から新たにセキュリティ用途での導入が拡大している。ログは、今起こっていることの調査に必要な情報基盤となる」(同)。
館野氏は、標的型攻撃への対策に有効な「多層防御」の考え方も紹介した。様々な防御策を多層的に用いるというものだ。この多層防御を行う際は、オーストラリア国防省のサイバー攻撃対策「Top 35 Mitigation Strategies」(35の緩和策)が参考になるという。
最後に館野氏は、「今後IT部門は『捜査機関』としての能力を求められるようになる」と、強調した。具体的には、(1)情報収集力の強化(ネットワークトラフィックの可視化、脅威情報の取得)、(2)検知・分析の強化(アプリケーションレベルでの脅威検知技術の採用、ログ分析環境の整備)、(3)社内マーケティング(広報力)の強化(セキュリティポリシーの見直し、サイバー攻撃を想定した訓練・教育の実施)が求められるという。