Windows 10 エンタープライズ アカデミーEvent Review

セキュリティ/Breakout 1

企業の9割はすでに脅威が侵入済み!
侵入前提時代のセキュリティ対策とは?

今日のサイバー攻撃は、以前のような愉快犯的なものは少なくなり、金銭的な利益を狙う事案が多くなっている。攻撃者は実施にあたって然るべき投資まで行い、ターゲットとする企業に特化した攻撃を仕掛けてくる。こうした視点からサイバー攻撃を捉えた時に現在有効なのは、攻撃にかかる費用を上げる対策をし、これでは攻撃しても仕方がないと諦めさせることだ。

蔵本 雄一 氏 蔵本 雄一 氏 日本マイクロソフト株式会社
マイクロソフトテクノロジーセンター
セキュリティアーキテクト

「サイバーセキュリティを考える上では、『正しく怖がる』ことが重要です」。こう切り出したのは、日本マイクロソフト マイクロソフトテクノロジーセンター セキュリティアーキテクトの蔵本雄一氏。

正しく怖がる――。聞きなれない言葉に首をかしげる受講者もいる。いったいどういうことなのか。

たとえばシンクライアントは、かねてより主要なセキュリティ対策ソリューションの一つだ。クライアント側にデータを置かないことで、端末の紛失や盗難時のリスクを低減させる。

しかし注意しなければならないのは、あくまでも紛失盗難対策であって、サイバー攻撃対策にはなっていないということ。つまり「正しく怖がっていない」ことになる。

正しく怖がるには、攻撃者の現状を知ることが必要だと藤本氏は続ける。「それが分かれば、対抗手段を取ることができ、セキュリティ対策コストの削減が可能です」。

では有効なサイバー攻撃対策とは、どのようなものだろうか。まず、攻撃者の現状から見ていこう。

かつては、ハッカーが自らの技術力を誇示し、自己顕示欲を満たすことが攻撃の主たる目的だった。しかい現在では、金銭目的の攻撃が多くを占めている。

「攻撃者が何をマネタイズするのかを、知る必要があります」と蔵本氏は指摘する。第一には、当然のことながら金銭そのものだ。たとえば最近急速に脅威が高まっているランサムウェアでは、データを暗号化していわば「人質」とし、ビットコインでの「身代金」支払いを要求してくる。続いては、売買可能な機密情報。顧客情報やクレジットカード情報、企業内の機密書類など、金銭要求のネタになるものはいくらでもある。

攻撃ツールに関する「市場」も進化している。今日では、3万円もあれば多様なウイルスをネット上で購入できる。また遠隔操作ができるようにした「乗っ取った端末」もブラックマーケットでは「攻撃の踏み台用」として売買されている。

OSやアプリケーションの脆弱性に関する情報も同様だ。iOSの脆弱性など、攻撃者にとって利用価値の高いものには何千万円という高値が付くこともある。こうした情報は、売買情報サイト上で誰でも見ることが可能なのだ。

保護すべきポイントは「PC」「ID」「データ」

つまりマネタイズには多様な方法があり、攻撃者はコストをかけてツールを購入したりさらに手を加えたりすることで、特定企業にカスタマイズした標的型攻撃を仕掛けてくる。

実際、ウイルスの67%は、攻撃対象にカスタマイズされた特注品であり、既存のパターンファイルベースの対策では対応しきれない。さらに添付ファイルの拡張子偽装などの手段もある。たとえば従業員数が1000人を超えるような企業ともなれば、すべての従業員が偽装ウイルスを正しく排除できるとは限らない。どれかひとつの端末に侵入されれば、短時間で多くの端末が汚染されてしまう。

今や9割の企業には、すでになんらかの脅威が侵入済みと言われる。その検出に要する時間は、脅威侵入後平均で、なんと520日もかかっている。その間、攻撃者は企業内ネットワークの有用情報を入手することが可能となるのだ。

こうした状況下では「侵入前提の対策こそが重要」と蔵本氏は強調する。「脅威の侵入を完全に防ぐことは、すでに困難です。脅威が侵入する過程で、攻撃者にとっての費用対効果を悪くさせる――。それが、今日推奨されるセキュリティ対策なのです」。

つまり「侵入に手間がかかる」「侵入しても情報窃盗しにくい」「侵入後素早く検知され、すぐに排除される」といった手段を講じるわけだ。そのためには、これまで企業が重きを置いてきた「防御力向上」に加え、攻撃の事実を速やかに検知するための「検知分析」、攻撃の被害を小さくするための「被害軽減」、再発防止を行う「事後対応」という4つの観点が重要となる。

こうした観点に立って、典型的なサイバー攻撃プロセスを改めて検証してみよう。まず攻撃者が、標的型メールを送信する。それを開いてしまったユーザーのPCがウイルスに感染。ウイルスが他端末のID/パスワード情報を不正に取得し、LANなどを通じて組織内に感染を拡大する。最終的には、機密情報窃取などの流れとなる。

「攻撃のプロセスを踏まえることで、守るべき対象は明確化できます」と蔵本氏は説明する。具体的には、攻撃の着弾点となる「PC」、感染拡大の要因となる「ID」、そして攻撃者によって持ち出される「データ」の3つだ。これらを保護することが、効率の良いセキュリティ対策となる。

Windows 10やクラウドサービスで対策に必要なソリューションを提供

マイクロソフトでは、この3つの保護対象を適切に保護するためのソリューションを提供している。同社の強みは、OSを含めた一社提供という利点を生かし、個々の保護機能の高さだけでなく、統合的に多層防御できるという、高い効果を発揮できること。この点が、一般的なウイルス対策ソフトとは異なる点だ。

PCの保護について、Windows 10では、ウイルス対策ソフトである「Windows Defender」を標準装備。さらにホワイトリスト形式で「許可されたアプリケーションのみ」を動作可能とする「Device Guard」などの対策ツールを提供している。これによりPCへのウイルスの感染、実行を防止することができるわけだ。

攻撃メールを防ぐ仕組みとして、マイクロソフトでは、Exchange Onlineのオプションサービスに「Exchange Online Advanced Threat Protection(ATP)」を用意している。電子メールに記載されたリンク先や添付ファイル内容のチェック/無害化を、クラウド側で行う、メールフィルタリングサービスだ。ユーザーは無害化されたメールのみを受信することになるため、PCの安全性を担保できる。

IDの保護に関して、Windows 10では「Credential Guard」によって、パスワードの盗難防止を行う。さらにマイクロソフトでは、システム内での疑わしいアクティビティを特定する「Advanced Threat Analytics」という製品も用意しており、ID不正利用を迅速に検知して通知する。

データ保護については、SharePoint Onlineと「Azure Active Directory Premium」を組み合わせ、電話認証などの多要素認証により、クラウド上に格納されたデータを保護する仕組みがある。さらに、ID認証と紐付いた暗号化ファイルアクセス制御を行う「Azure Information Protection」なども提供している。

最後に藤本氏は「セキュリティ対策は、企業にとって、これまでのような“保険”ではなく、事業リスクを測る、重要なIR情報ともなっています。経営戦略的視点に立って取り組みを進めていくことが重要です」と強調した。