大手旅行会社も被害に…巧妙化する脅威にどう備える?
つい先日も、大手旅行会社が保持する顧客情報のうち、700万件以上の流出が疑われる事案が発生するなど、特定の企業や行政機関などを狙った「標的型攻撃」の被害拡大が止まらない。ファイアウォールやIDS/IPS、アンチウイルスツール、サンドボックス型製品などの「入口対策」を導入することは企業側にとって“当然”となっているが、現在は、それらで防げないほどに、攻撃が高度化・巧妙化しているためだ。
例えば、サンドボックス型製品を使った対策であっても、最近の標的型攻撃では、企業が導入している製品をつきとめ、その製品が対応していないマルウエアでの攻撃が試みられるようになっている。入口対策をどんなに強化しても、ゼロデイ攻撃などの問題から、脅威の侵入を100%防ぐことは不可能といわれるようになった。
そこで今、多くの企業が関心を寄せているのが、マルウエアの侵入を前提とし、それをできる限り早く検知することに主眼を置いた「内部対策」の強化だ。中でも効果的な対策として注目されているのが、各種システムやサーバー、周辺機器などのログを取得・分析し、「監査」する仕組みを確立することである。これによって、たとえマルウエアが入口対策をすり抜けて侵入してきたとしても、システム内での不正な挙動をいち早く検知し、対処できるようになるからだ。
しかし実際には課題もある。そうした仕組みを整える企業は増えているものの、その多くが被害を未然に防ぐことはできていない。その原因は、ログの取得や蓄積は行っていても、人員不足などの理由で、定期的に分析し、「監査」するという取り組みにまで手が回っていない点にある。せっかく取得したログも、あくまで「インシデント発生後の経緯の把握」にしか活用できず、本来の目的である予防につなげられていないのである。
真に効果的な内部対策を実現するには、事後活用のためのログ管理ではなく、定期的にその内容を精査する「ログ監査」を通じて、プロアクティブな対策につなげることが欠かせない。そこで、以下にその具体的なアプローチを紹介していきたい。