ITpro Special
週間WEEKLY ITpro Special ITpro

「標的型攻撃への対策」  REVIEW

基調講演

第3のプラットフォーム時代のセキュリティ対策
コストではなくビジネス改革を加速するとの意識を

IDC Japan株式会社
ソフトウエア&セキュリティ
リサーチ マネージャー
登坂 恒夫

 「モバイル、ソーシャル、ビッグデータ、クラウドの普及によって、ITの世界では第3のプラットフォームの時代が始まり、多種多様なワークロードを生成するようになってきました。そのワークロードを最適に稼働できるセキュリティの必要性が高まっています」。IDC Japanの登坂恒夫氏はこう話す。

 メインフレームが中心的な役割を果たした第1のプラットフォーム、クライアントサーバーが主役になった第2のプラットフォームに次ぐ新たなIT基盤が第3のプラットフォームだ。リアルタイム、コスト低減、グローバル化、事業継続性などの特徴を持ち、企業競争力の向上に役立つ一方で、サイバー攻撃の被害を受けると、企業経営の根底を揺るがしかねない。

 IDCは毎年1月、ユーザー企業を対象にセキュリティ被害状況の調査をしている。2014年と2015年の調査を比較すると、サイバー攻撃やマルウエア感染、情報漏洩などセキュリティに関する事故(インシデント)が深刻化し、企業経営に重大な影響を及ぼす可能性が高まっていることが見て取れる。

 サイバー攻撃の被害を受けたファイルサーバー、Webアプリケーションサーバー、データベースサーバー、POSサーバーの比率が高くなっており、被害を受けるIT資産は拡大している。また、被害を発見したきっかけを見ると、社員からの報告、内部監査による報告が減り、第三者からの通報が増えており、脅威が潜在化している。さらに、被害を発見してから収束するまでの時間を見ると、24時間以内に収束した比率が下がり、長期化している。

 「サイバー攻撃は年を追うごとに巧妙化し、攻撃対象が広がり、脅威の潜在化が進んでおり、セキュリティ被害が重大化しています。サイバー攻撃に対抗するためのセキュリティ対策の強化は急務です。これまでのようなリアクティブの防御ではなく、プロアクティブの防御をするとともに、SIEM(Security Information and Event Management)とリスク管理の連携を図る体制を敷いておく必要があります」(登坂氏)。

万が一に備えて社内体制の整備は不可欠

 第3のプラットフォームで欠かせないセキュリティ対策はそれだけではない。今のところサイバー攻撃を完全に防ぐことはできない。万が一感染したときを想定し、インシデント発生後の迅速な対応を可能にする社内体制の整備は不可欠だ。具体的には、セキュリティ専門家による感染状況の把握と適切な対処、感染範囲など正確な感染状況の把握、デジタルフォレンジックによるデジタルデータの証拠保全などの体制を整備しておく。さらに、企業活動に及ぼす影響を事前に想定しておき、対外発表やサービス停止を決断する経営陣と、CISO(最高情報セキュリティ責任者)やセキュリティ担当責任者との間の情報共有を密接にしておく必要性がある。

 一方、社内全体にはセキュリティ対策の重要性が必ずしも浸透していないのが現状だ。IDCがセキュリティ対策導入の際の課題を尋ねたところ、最も大きな課題として6割を超える企業が予算を挙げ、次いで導入効果の測定が難しいと回答した企業が多かった。ファイアウォールやPCのウイルス対策などのような外部脅威対策の導入は進んでいるが、情報漏洩対策、アイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は遅れている。

「従来とは違う標的型攻撃への対策に予算を配分する必要があります。企業経営にとって重大な要素の一つになってきました。セキュリティ担当責任者と経営者とのコミュニケーションプロセスの再確認に加え、情報システム部門とビジネス部門との交流を促進しておくことも大切でしょう。情報セキュリティはコストではなくビジネスの改革を加速させるものだという認識を広める必要があります」。登坂氏はこう言って講演を終えた。

特別講演

標的型攻撃は長期間・執拗化
基本的な対策の確実な実施が重要

一般社団法人JPCERTコーディネーションセンター
(JPCERT/CC)
早期警戒グループ
マネージャー
満永 拓邦

 「近年、国内組織に対するサイバー攻撃は増加傾向にあります。そのため、各組織においてセキュリティ事故(インシデント)が発生した際に的確に対応できるように体制を整備する必要性が高まっています」。JPCERTコーディネーションセンター(JPCERT/CC)の満永拓邦氏はこう警告する。

 JPCERT/CCは経済産業省からの委託事業として、サイバー攻撃などの国際連携の対応などを行う一般社団法人。米国のUS-CERTやCERT Coordination Centerなどの海外機関との窓口の役割も果たす。サイバー攻撃やウイルス感染、情報漏洩などセキュリティに関する事故(インシデント)の情報収集、分析、発信をするほか、インシデント発生時の対応の支援なども実施する。

 JPCERT/CCは報告を受けたインシデントについてまとめている(JPCERTコーディネーションセンター「インシデント報告対応四半期レポート」 http://www.jpcert.or.jp/ir/report.html)。JPCERT/CCが受け取ったインシデント報告件数の推移を見ると、2011年は数千件にすぎなかったが、2014年には2万2255件に達している。「インシデントの件数が増加している背景には、インターネットの世界的な普及、ITが社会インフラとして幅広く使われるようになったことに加え、攻撃者の手口が巧妙化していることがあります。攻撃ツールの進歩はめざましく、攻撃集団も分業化されるようになっており、攻撃用インフラの整備が進んでいます」(満永氏)。

 攻撃者と一口に言っても、攻撃の目的、攻撃手法、技術力などは様々だ。満永氏によると、攻撃の目的に基づいて(1)政治的な主張や技術力をアピールする愉快犯・ハクティビスト、(2)金銭目的の攻撃者、(3)標的とする組織内の重要情報窃取やシステム破壊が目的の標的型攻撃の実行者、の三つに分けることができるという。このうち、最も深刻な影響を及ぼすのが標的型攻撃の実行者だ。

長期にわたり情報窃取が続く標的型攻撃

 「金銭目的の攻撃者を追い払うことは不可能ではありません。初めは米国で暗躍していましたが、米国で対策が強化されると、攻撃対象を欧州に移し、現在は日本をターゲットにしています。金銭目的の攻撃者は、攻撃によって得られる利益と攻撃のコストのバランスを重視しますので、日本でも対策を強化していけば攻撃者を追い払うことはできるでしょう」と満永氏は説明する。そして、次のように続ける。「しかし、標的型攻撃はそう簡単ではありません。特定の組織にある特定の情報を奪うという目的が達成できるまで、長期間にわたって執拗に攻撃を繰り返す傾向があります」。

 標的型攻撃はAPT(Advanced Persistent Threat)とも呼ばれる。その名の通り長期にわたって(Persistent)攻撃を仕掛けてくるのだ。組織内のネットワークに一度でも攻撃者の侵入を許すと、数カ月から数年という長期間にわたって、組織内に保管している技術文書、財務資料、経営計画、契約書など様々な情報はもちろん、メールアドレスなどの外部の連絡先を詐取する。

 こうした攻撃を防ぐには、どうしたらよいのか。今のところ標的型攻撃を完全に防ぐ方法はない。標的型攻撃を防ぐには、攻撃手法を理解するのはもちろん、自分が所属する組織の対応状況を把握することが大切になる。各機器でログは十分に取れているかどうか、侵入後に検知できる仕組みがあるかどうか、重要な情報資産を切り離しているかどうか、インシデント発生時の対応手順を明確化しているかどうか、などを把握し、それぞれに最も効果的な対策を講じることで、標的型攻撃への対応能力を向上させる必要がある。

 「基本的な対策を講じた上で、次世代ファイアウォールやSIEM(Security Information and Event Management)などの導入を検討し、対応力を一段と高めるとよいでしょう。また、JPCERT/CCとの連絡の窓口を整備していただければ幸いです」と満永氏はアドバイスする。JPCERT/CCはインシデントの被害を低減させるため、インシデントに関する報告を受け付けており、必要に応じてインシデント対応支援を実施している。