本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。

 セキュリティ関連で、いま企業からの問い合わせが最も多いのは、標的型攻撃に関するものです。そこで今回は、標的型攻撃への備えについて解説します。

 標的型攻撃とは、特定の企業や社員など明確に狙いを定め、ウイルスを仕込んだメールなどによってウイルス感染させ、情報を盗み出す手口を指します。対策となる製品・サービスも出てきていますが、まだ標的型攻撃に対して具体的にどのような対策をしたらよいか分からない方も多数いると思います。

通信を調べ標的にされていないか確認

 標的型攻撃対策の進め方はいくつかありますが、例えば専用の装置を使って実態を調査する方法があります。通信を監視する「モニタリング装置」などと呼ばれる機器を、社内のPCとインターネットの間などに設置します。そして、PCからインターネットへの通信を一定期間モニタリングします。標的型攻撃が行われている際に多く見られる不正な通信が行われていないかを確かめるのです。

 標的型攻撃では、ターゲットにしたPCに遠隔操作用のウイルスを感染させて、そこへインターネット上にある「C&Cサーバー(C&Cはコマンド・アンド・コントロールの略)」から指令を送り情報を盗み出します。多くの場合、その通信にはパターンが見られます。モニタリングの結果C&Cサーバーからの指令とみられる通信が見つかったどうかで、標的型攻撃が行われた可能性の有無が分かります。

 モニタリング装置を使わずにC&Cサーバーからの指令を見つけるのは困難だと思います。PCに侵入したウイルスがC&Cサーバーに個人情報や機密情報といった重要なデータを送る通信は、一般的なWebの通信と同じです。ユーザーはPCでWebアクセスをしている感覚でしかないため、見つけづらいのです。

 標的型攻撃があったかどうかのモニタリング時には、ネットワーク装置やセキュリティ装置のログを分析することもあります。

高度な攻撃には防御の層を厚くする

 標的型攻撃対策は難しく、「対策装置を導入すれば終わり」ではありません。前回セキュリティアセスメントのときに説明した技術・人・組織の3つの要素が全部そろっていないとできません。技術面の対策から見ていきましょう。

 この数年、「多層防御」という手法が注目されるようになりました。多層防御とは、侵入させない対策や重要な情報を出さない対策を2重、3重に張り巡らせる方法です。多くの企業は不正侵入を防ぐべくインターネットから社内ネットへの入口にファイアウオールやUTM(Unified Threat Management:統合脅威管理)装置を置き、ウイルス感染を防ぐためPCにセキュリティソフトを導入しています。つまり2重の構えができていることが多いのですが、それらで標的型攻撃を防げないことがあります。標的型攻撃において、一番避けたいのは情報の流出です。そこでさらに社内からの情報流出を防ぐための技術を導入して、防御の層を厚くするのです。

 PCに入り込んだウイルスとC&Cサーバーとの通信を止めるには、「サンドボックス」と呼ばれる装置が有効です。サンドボックスは、攻撃をチェックするための「実環境から隔離された仮想的なPC環境」を、UTMやファイアウオールと同じ場所(インターネットと社内ネットワークへの境界です)で稼働させるものだと考えてください。ここでウイルスの疑いがあるファイルを動作させてみて、怪しい動作をしないかをチェックします。

 サンドボックスを使わない場合、PCに対策用のソフトウエアを導入する方法もあります。これは一種のセキュリティソフトですが、パターンファイルを使わない点で従来のウイルス対策ソフトとは異なります。PC上で動作するプログラムの“振る舞い”を監視して、不審なものを見つけるとその通信を止めて警告を出します。一般的に次世代ファイアウオールと呼ばれる機器を導入するケースもあります。次世代ファイアウオールは、従来のファイアウオールよりもWebの通信を詳細にチェックすることができます。

 最近は、従業員100~200名規模の企業が、従来のファイアウオールを次世代ファイアウオールに置き換えたり、サンドボックスを導入したりするケースもあります。サンドボックスは比較的高価な投資となることもありますが、情報流出が起こったときの損害を見積もって、高くても導入すべきと判断されたのだと思います。

 一方、すべての対策を同時に実行するのがコスト面で難しい企業もあるはずです。その場合は、前回説明したリスクアセスメントを行って、優先順位を決めるべきだと思います。“重要な情報資産であるにも関わらずセキュリティの危険度が高い”ところから着手するのです。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。