標的型攻撃が後を絶たない。これに伴い、セキュリティ関連ベンダーは繰り返し、標的型攻撃に関するセミナーを開催している。国内でも被害のニュースやベンダーの説明を聞いて、ユーザー側も改めて対策を講じる例が増えてきているという。では、表題のように実際の対策について尋ねたら、皆さんは何と答えるだろうか。

 答えとしては、出口対策、マルウエア検知・防御の強化、パッチプログラム適用の徹底、地道な対策を重ねる多層防御といったものが返ってくるだろう。今なら、この中でも、マルウエア防御システムと、出口対策を挙げる方が多いかもしれない。マルウエア防御システムは、主に仮想的な領域(サンドボックス)でファイルを開き、その後の挙動を監視してマルウエアがないかどうかをチェックする仕組みを持つもの。製品も徐々に増えてきている。出口対策は、例えば社内に入り込んだマルウエアなどが外部にデータを送り出す動作を検知し、ブロックするものである。

 もちろん、これらが役立たないなどと言うつもりはない。対策の基本は、様々な手段を組み合わせることだ。ウイルス対策やパッチ適用の徹底など従来型の入り口対策に、マルウエア防御システム、そして出口対策を併用することで、着実に防御力は高まる。

 ここでもう一つ意識したいのが、社内にある各種システムのログ分析である。侵入などの履歴を探るだけでは防止にはならないものの、攻撃者やマルウエアが侵入している痕跡をつかめれば、最終的な情報の持ち出し(外部送信)を防げる可能性がありそうだからだ。

侵入からデータ持ち出しまでのタイムラグに着目

 実は標的型攻撃では、攻撃者あるいはマルウエアが企業ネットワークに侵入して、すぐに重要な情報が持ち出されるとは限らない。フォレンジック調査を手掛ける専門家に聞くと、攻撃者がユーザーのネットワークに入り込んでから、実際に機密情報を外部に送出するまでに、何日も、もっと言えば何週間もかけているケースが少なくないのだそうだ。あるいは、長期にわたって継続的にデータを送出している場合もあるだろう。その間に不審な動きを見つけることができれば、被害を避けられる(または小規模に食い止められる)可能性がぐんと高まる。だから、侵入し、社内の奥深くに入り込もうとするなどの不審な動きを発見するためのログ分析が重要になる。

 ログ分析も目新しい考え方ではない。セキュリティ専門家やインテグレータに取材すれば、たびたび指摘される。ただ、一口にログ分析といっても、簡単な作業ではない。単純にログを収集し、眺めるだけでは不審な点は分からない。ログ収集・分析の専用ツールも製品として提供されているが、ツールを使いこなせなければ意味がない。どのシステムのログを、どのように分析すれば標的型攻撃の痕跡を見付けられるかを想定したうえで、素早く異常値を見付けられるよう備えておく必要がある。

 ここで重要になるのは、なんらかの形で「体験」することではないかと思っている。何かのイベントがきっかけで発生する事象などは、なかなか触れたり体験したりする機会がない。標的型攻撃はまさにその典型例だろう。対策は、どうしても机上の考え・議論にとどまりがち。だが、体験することで見方が変わったり、課題や問題意識をよく理解できるようになったりするはずだ。特にログ分析のように学習が必要な対策には欠かせないアプローチになる。

 ログ分析の技術面だけでなく、不審な点を見つけた後の、組織での対処についても同じことが言える。最終的にはセキュリティ専門家に調査や対策を依頼することになるのかもしれないが、そこに手間取ってはまずい。情報システムやネットワークの障害対策と同様に、いざというときに備え、予行演習などに取り組むことが望ましい。

 体験・予行演習には、それなりのシナリオが必要だし、準備の手間や時間もかかる。それでも、フォレンジック調査などを実施しているベンダーなら、過去の経験に基づいてトレーニングを請け負ってくれるはずだ。もちろん、それなりにコストはかかるが、防御のハードルがここまで上がってきている状況を考えれば、これからは対策の一つに、実践的なトレーニングを入れるべきではないだろうか。