予測によって先回りした対応を実現
「敵を知り」「己を知る」サイバー攻撃対策

　大きく変化する環境のもと、サイバー攻撃対策の在るべき姿が問われている。検知した脅威に対処する従来型のセキュリティ運用は、いわば火災時の消火活動であり、後追いの対策に過ぎない。リスク管理の観点においては、出火前に対策を行うプロアクティブな運用へと移行することが重要だ。これについて、日本プルーフポイントの内田 浩一氏は次のように語る。

　「その際のポイントは、孫子の兵法の一節、『彼を知り己を知れば百戦殆からず』です。まず重要なのは、攻撃者の意図や動きを知り、これから起こる攻撃の変化を予測すること。その上で、自社の対策状況や体制と照らし合わせて対策を実施することが、これからのセキュリティ対策の要点といえます」

　まず、「彼を知る」にはどうすれはよいのか。方法として同社は、マーケティングにおける「イノベーター理論」を参考にして脅威動向を理解するアプローチを挙げる。

　例えば、ある攻撃者が新しい手法を開発した場合、当然ながら最初、その攻撃はサイバー攻撃市場のごく一部を占めるのみである。それが収益を上げ、ニュースになると多くの攻撃者が同様の手法を試みる。さらに攻撃が広がると、有効な対策が登場し始めるため、次第に被害は減少していく。すると攻撃者はその手法による攻撃を諦め、また別の攻撃手法を模索するようになる。

　「このような全体像を俯瞰することで攻撃のサイクルがつかめます。今ある脅威がどのフェーズにあるのかを見極めれば、次に来る脅威の変化を予測することができます」と内田氏は言う。

　また攻撃の傾向は、このサイクルの過程で手動から自動化、隠蔽へと進化していく。成功確率の高い手法はさらに洗練され、進化していく傾向があるという。

　その一例が、ある二重脅迫型ランサムウエアの事例だ。暗号化したファイルを復号するための身代金を要求すると同時に、「従わなかった場合はデータを流出させる」と脅しをかける。多くのサイバー犯罪集団がこの手法を使って企業ビジネスを脅かしてきた。

　「2020年8月に米国で発生したある事件では、捕まった犯人の供述から、『膨大な情報を窃取する為、感染端末を6~8時間放置する必要がある』ことが明らかになり、『情報を持ち出す際は、それを隠蔽するため外部からの攻撃を行ってセキュリティ担当者の目を逸らす』といった工夫がなされていたことが分かったのです」と内田氏は紹介する。

　さらに2021年になると、別の集団による同様のランサムウエア攻撃でいくつかの進化が見られた。そこでは6～8時間かかる情報窃取活動を気付かれにくくするため、監視の目がない週末を狙っていたことが確認されたという。

　「別の話では、ダークウェブで情報を探ると、FUD（Fully UnDetectable）をうたう攻撃ツールが無数に販売されています。つまり『マルウエア対策ソフトで検出不可』だと、販売者が自信を持ってアピールしているわけです。このように、攻撃の手口やツールは猛烈なスピードで進化・変化し続けており、従来の対策が今後も通用するとは言い切れません。予測して対策を打つことの重要性が、ご理解いただけると思います」と内田氏は述べる。

　積極的な情報収集によって攻撃の潮流を可視化したら、次は「己を知る」ことだ。インテリジェンスを活用して自社の現状を把握し、効果的な対処につなげる。

　「自社の現状把握に効果的なのが、継続的なリスクの可視化です。例えば、自社の社員数名が継続的なフィッシング攻撃のターゲットになっていることを可視化できれば、その人を起点にした被害予測が行えます。セキュリティ教育を実施したり、監視やメールのポリシーを強化したりすることもできるでしょう。さらに、脅威を検知する仕組みも用意し、被害を極小化する。このような運用を継続的に行うのです」（内田氏）

　プルーフポイントは、この取り組みを支援するソリューションを提供している。それがクラウド型サンドボックス「Proofpoint Targeted Attack Protection」（以下、Proofpoint TAP）だ。

　Proofpoint TAPは、悪意あるメールが受信箱に届く前に検知し、クラウド上のサンドボックスで分析、ブロックするソリューション。Webベースのダッシュボードにより、攻撃状況をリアルタイムに可視化し、素早い対応と復旧につなげる。

　例えば、潜在的な脅威の分析は、「振る舞い」「コード」「プロトコル」の検証という複数のアプローチで実施する。クラウドベースの仕組みのため、常に最新の情報に基づいた解析を行えるほか、未知の攻撃も効果的に防御できる。これにより、被害が出る前の攻撃の初期段階で脅威を検知することが可能だ。

　加えて、機械学習を応用して各脅威のパターンや振る舞い、テクニックなども観察できる。これらを活用すれば、セキュリティ運用において迅速に分析し、対応することが可能だという。

　「Proofpoint TAPで、メール経由の自社への攻撃をすべて可視化できます。また、インテリジェンス情報に基づき、同じ攻撃を受けている他社の数などの状況も可視化可能。ばらまき型攻撃か、標的型攻撃かを識別することで、危険度の高い標的型攻撃から順に、対応リソースを適正配分できるでしょう」と内田氏は説明する（図1）。 　社内の誰がどのように狙われているのかを統計的に表示しながら、組織全体のセキュリティリスク分析を実施することも可能だ（図2）。例えば、送金の権限を持つ社員に対してビジネスメール詐欺（BEC）の不正メールが届いた場合、不正送金事故が発生するのはこの社員に起因する可能性が高くなると予想できる。状況をピンポイントに絞りながら、リスクの排除や再教育も含めた次のアクションへつなげることができる。 　「『彼を知り己を知れば百戦殆からず』。これを裏返せば、見えていない状態が最も危険ということにほかなりません。Proofpoint TAPによるインテリジェンスで現状を可視化し、予測に基づく対策実施に舵を切ることをお勧めします」（内田氏）。巧妙化し続ける脅威を前に、どうしても対策は後手に回りがちだ。ビジネスの安全性を高める上で、プルーフポイントの提案は重要な示唆を含んでいる。