特集の第1回において、標的型攻撃に対処するためには従来のセキュリティ対策とはゴール設定を変更する必要があると述べた。「脅威を侵入させなければそれでよし」とする考え方はうまく機能している間はよいが、想定を超えた脅威に対しては無力である。
先の東日本大震災において、強力な防潮堤を備える地区で住民の避難が遅れ、かえって多くの犠牲者を出したことは記憶に新しい。昨今の標的型攻撃はまさにこの「想定外」が現実のものになっていると考えるべきである。したがって、これからのサイバー攻撃対策には「万一侵入されても実害を抑える」というリスクベースの現実的なアプローチが求められる。
ただし、セキュリティ・リスクの捉え方は企業によってもさまざまであり、現状の対策レベルにも差があるため、対策には単一の正解は存在しない。今回は、「技術トレンド」「出口対策」「多重防御」「啓発」という4つの視点で、標的型攻撃対策として考えられる処方箋を考えたい。
標的型対策の技術トレンド
まずは、今日、“標的型攻撃対策”としてどのような製品・技術が提供されているのかについて見てみることにしよう。すでに企業のセキュリティ関係者の下には、さまざまなベンダーから“対策製品”の売り込みがかけられているはずである。それらを適切に評価するためには、各製品がどのような特徴を有するのかを精査する必要がある。
昨今の標的型対策製品において、技術面でのキーワードとなっているのは「可視化」「全件チェック」「未知マルウエア検知」の3つである。いずれも「実害をいかに抑えるか」というリスクベースのセキュリティ対策への転換を求められていることを踏まえたものである。
【トラフィック監視による可視化支援】
社内ネットワークと外部のインターネットとの境界部であるゲートウエイ層において、近年注目を集めているのが「次世代ファイアウォール」と呼ばれる製品である。これは、従来型のポートベース制御のファイアウォールとは異なり、通信パケットのユーザー情報やアプリケーション情報を識別し、通信許可されたポート(80や443など)であっても、不適切な通信を遮断できる機能をもつファイアウォール製品である。代表的なベンダーとしては、米パロアルトネットワークス、米ソニックウォール、イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズなどが知られている。
また、可視化を支援する製品としては、統合ログ管理製品も挙げられる。ネットワークの通信ログを取得・保管しているという会社はあっても、実際にそのデータを活用してリスクの洗い出しを行っているというところは少ないはずだ。統合ログ管理製品は、サーバーやPC、ネットワーク機器、セキュリティ機器などから出力されるログを一元的に管理し、分析やレポーティングを行うことを可能にする製品である。監査証跡を容易にするとしてJ-SOX対応で一時導入が進んだが、今後はサイバー攻撃対策としても改めて注目されることになろう。この種の製品を提供しているベンダーとしては、米EMC(旧RSAセキュリティ)、インフォサイエンスなどがある。
