近年、企業システムから知財情報や個人情報が漏洩するという事件が増加しています。しかも、セキュリティ対策が手薄になりがちな中小規模の企業ではなく、インターネットからの不正侵入に対するセキュリティを十分に考慮した上で、しっかりとしたセキュリティ・システムを構築しているはずの大規模組織が狙われ、いくつかの事件では実際に情報が窃取されています。
海外では「APT(Advanced Persistent Threats)」などと呼ばれるこうした攻撃を、情報処理推進機構(以下IPA)では「新しいタイプの攻撃」と呼んでいます。これらのサイバー攻撃は、特定の企業、あるいはそこに属する個人を対象として長期に渡って継続的に実施される特徴を持っています。2009年に起こった30数社を標的とする「Operation Aurora」に始まり(関連記事)、2010年ごろからは、「Stuxnet」をはじめ世界各地で新しいタイプの攻撃の例が頻繁に見られるようになりました(関連記事)。
新しいタイプの攻撃は従来のような愉快犯的サイバー攻撃とは質が異なります。セキュリティ対策が甘く攻撃しやすいサーバーを狙うのではなく、攻撃そのものがスパイ行為などのビジネスになっています。単独犯ではなく組織を背景に、ターゲットを絞って仕掛けられます。ソーシャル・エンジニアリングやゼロデイの脆弱性を突くなど、手口も巧妙化し続けています。
入口での対策だけでは防げない
これまでの企業のセキュリティは、ファイアウォールやウイルス対策ソフトによってインターネットからの侵入を防ぐ、“ウイルスを通さない、ウイルスに感染させない”という予防接種に似た考え方を主流としています。こうした入口側での対策は、新しいタイプの攻撃には効果がありません。その組織に属する個人を狙ってウイルスを配布し、その個人がノートPCやUSBメモリーを媒介に組織のネットワークにもちこんで感染が始まるからです。しかも、組織内への侵入に成功されてしまうと、入口側の対策では情報の流出を抑えることはできません。
入口対策をしておくことは大前提とした上で、新しいタイプの攻撃に対処するには“もしウイルスに感染しても情報を流出させない”という、感染を前提とした対症療法的な考え方も必要となってきます。従来の入口対策とは反対の「出口対策」です。今後のセキュリティの考え方として、入口と出口はペアで考える必要が出てきます。入口で何を遮断し、出口で何を遮断するのか。これが重要な情報を窃取され、企業に損失を与えないための、最先端セキュリティ・システム設計の考え方になります(図1-1)。
