アングラ情報の流通で攻撃の変異は早く、固定型な防御だけでは対応し切れない。現状に対応するには、攻撃状況を早く検知し、攻撃後も考えた多層防御が常識だ。対策を完璧にしようとすれば際限がなく青天井。必要な対策を効率よく選択する。
「必要十分な対策をしていたはずの企業やWebサイトですら、セキュリティ攻撃の被害を受けている」――。セキュリティのコンサルティングや製品開発を手掛けるFFRIの鵜飼裕司氏(代表取締役社長)は、被害の現状をこう語る。
いま企業を狙う攻撃者の多くは、組織化された集団、あるいは金銭目的の犯罪者と見られている。脆弱性の情報を売買するアングラの情報流通マーケットがあり、特にゼロデイ攻撃に利用される未知の脆弱性は高額で売買される。攻撃ツールもネットで探して簡単に入手できる。個人情報、ID・パスワード、企業秘密などの売買が行われているのも確実だ。ベネッセコーポレーションの個人情報漏洩事件のように、お金目当てで内部関係者が犯罪に手を染める例もある。
攻撃者の情報収集や事前準備は綿密になっている。標的とする人物や企業を直接狙うだけでなく、その周囲の人や関連企業も狙う。いざ攻撃を実行する際には、「セキュリティ製品で検知されないかどうかを確認してからウイルスを送り付けてくる。米国では、標的の企業向けにカスタマイズしたウイルスも見つかっている」(マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー 佐々木伸彦氏)という。攻撃側はセキュリティ対策の先を進んで変異している。
入り口を守るだけでは不十分
ではどのように対策を取ればよいのか。従来は、ウイルス対策ソフトやファイアウォール、認証といった製品が主流だった。つまり、ウイルスや攻撃者を社内に侵入させないようにする「回避・抑止」「予防」「防御・緩和」を実現する対策だ(図1)。
しかし現状では、こうした社内を守る“盾”があっても、巧妙な攻撃を防ぎ切れない。そこで、ウイルスなどが社内に侵入した後の対策が常識になってきている。
中でも企業導入が増えているのが、標的型攻撃を受けた際にウイルスが実行する通信を検知し、外部への情報流出を防ぐ仕組み。製品内の仮想環境(サンドボックス)で怪しいプログラムを実行し、振る舞いを見てウイルスかどうかを判定する。シグネチャを使ったパターンマッチングではないため、未知のウイルスにも対応できる。
侵入の検知には、セキュリティ機器やサーバーなど各種ログを分析する方法が効果的だ。しかし、各種ログを見るのは大変な作業。トレンドマイクロの大田原 忠雄氏(ビジネスマーケティング本部 ソリューションマーケティング部 部長)は「企業の管理者はあまりログを見ていない。一番手薄なのが内部の通信監視」と指摘する。ベネッセコーポレーションの情報漏洩事件のような内部犯行にも気付けない。
そこで、複数のログを一元管理する「SIEM(Security Information and Event Management)」と呼ばれる製品が注目されている。SCSKの長澤俊哉氏(ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 インテグレーション第三課 マネージャ)は「今まで一つずつログを見ていた作業がSIEMで自動化され、時間が短縮できる」とメリットを語る。一方で、「SIEM単体ではアラートを出すだけで、怪しい動き自体は止めない。アラートに対処する体制が必要」と説明する。
セキュリティの事故(インシデント)を前提とするならば、インシデントに迅速に対応する体制の整備も重要だ。最近増えているのが、インシデント対応の社内専門チーム「CSIRT(シーサート/Computer Security Incident Response Team)」の設置。「一昨年くらいから政府が中央省庁でのCSIRTの設置を呼び掛けた。そこから金融機関を中心に広まり、現在はさまざまな業種に広がっている」(NTTデータ先端技術 セキュリティ事業部 セキュリティソリューションビジネスユニット セキュリティアーキテクチャグループ長 植草祐則氏)。