2010年以降に活発となっている特定組織を狙い撃ちした新しいタイプの攻撃は、メールやUSBメモリーなどを媒介に、従業員など人の手を介して組織の内部に侵入します。それから内部拡散し、本来はたどりつけるはずのない重要な情報を外部の攻撃者(C&C:コマンド&コントロール)に流出していきます。
ポイントを3つに絞って検討しよう
従来の入口対策では防ぎきれない、新しいタイプの攻撃に対して、組織としてどのように対策を準備していけばいいのでしょうか? 効果的な対策を立てるために、今までとは考え方を変えていく必要があります。ポイントは3つあります。
- ポイント1:組織への重大な被害を回避するための対策を考える
- ポイント2:重点を出口に置いた対策を考える
- ポイント3:システム設計者とセキュリティ対策担当が連携し対策を考える
「出口対策」で被害を最小限に抑える
順に説明していきます。まずポイント1です。新しいタイプの攻撃で最初に目に見える事象は、“組織内部にウイルスが侵入した”という部分です。ですが、侵入そのものを問題視するのではなく、ウイルスの侵入、感染の結果として「重要な情報が窃取されること」や「重要なシステムの稼働に障害を与えられること」を最重要視する必要があります。組織としての被害の本質は“機密情報の流出”だからです。
こうした視点から、前回の記事で説明した4つの共通攻撃手法を再度確認してみましょう。すると、ウイルスは侵入後に、(1)感染の拡大、(2)バックドアによる外部との通信、(3)ウイルス機能の増強や変異、(4)システム深奥部への侵攻あるいは情報窃取やシステム破壊--といった4つの行動を起こしていることがわかります。
このフローを寸断できれば、被害は最小限に抑えられます。外部からの直接攻撃を極力抑止することも確かに重要ですが、もし侵入を抑止できなかった場合には、(2)のウイルスが外部に向けて行う通信を遮断することがポイントになります。つまり前回も説明した「出口対策」です(図2-1)。