標的型攻撃対策のファイア・アイは2015年10月29日、サイバー攻撃によってセキュリティを侵害されることは避けられないという前提の下、セキュリティ侵害に対してユーザー企業はどのように対処すればよいのかを説明した。インシデント発生時にパニックに陥らないこと、経営陣を対策の初期段階から巻き込むこと、目指すセキュリティレベルに応じて予算を組むこと――などをアドバイスした。
米ファイア・アイでバイス・プレジデント兼最高技術責任者(CTO)を務めるトニー・コール氏(写真)が説明に当たり、まずは標的型攻撃の現況をおさらいした。米ファイア・アイが買収した米マンディアントのレポートによると、サイバー攻撃は侵入から発見までに平均で205日もの時間を要する(図1)。一方で、侵入から外部へのデータ通信が行われるまでの最短時間はわずか7分である。しかも、攻撃が発見されるきっかけは、外部からの指摘が69%を占める。
日本も、好ましくない状況にある。ファイア・アイ製品を導入しているユーザーの状況を集計したデータによると、2015年上半期に標的型攻撃のターゲットになった企業の割合は5社のうち1社にのぼる。マルウエアのダウンロード数はアジアで2位、C&Cサーバー(マルウエアが通信する外部の司令塔サーバー)との通信回数もアジアで2位に付けている(いずれも1位は韓国)。
セキュリティ侵害を受けた組織が陥りやすいポイントを、コール氏は指摘する(図2)。まず、全体の状況がつかめなくなり、パニックが生じるという。サイバー攻撃者との戦いだけでなく、社内の他者とも争いが生じてしまう。例えば、セキュリティ侵害の責任の擦り付け合いが起こるほか、怒り出す社員が出てくるという。
セキュリティ侵害に対して需要なことは、事前の準備である。コール氏は、準備すべきポイントをいくつか指摘した(図3)。重要なポイントの一つは、経営陣を初期段階から巻き込むことである。こうして、目指すセキュリティレベル(どのように改善したいか)に応じて予算を組む。さらに、社外にいるインシデント対応の専門ベンダーとの間で継続的な契約を結んでおくことも大切という。セキュリティ侵害に気付いてから契約していては間に合わないからだ。
