[専業コンサルタントのセキュリティ相談室]

標的型攻撃にどう対策すべきか

2013年10月25日(金)楢原 盛史

大手企業を狙ったサイバー攻撃が後を絶たない。標的型攻撃の対策ビジネスは世界的に好調だが、決定打と言えるものは登場していない。こうした状況に、企業はどう対処すべきか。その答えは、意外な人物が知っている。

 
 

 標的型攻撃の対策ビジネスが世界的に好調だ。セキュリティといえば、情報漏洩などの事故が発生した直後は注目を集めるものの、半年も過ぎるとすっかり忘れ去られるのが常だった。それにもかかわらず、このところ、人々が継続的に関心を寄せているのは、大手企業を狙ったサイバー攻撃が後を絶たないせいだろう。

 ところで、皆さんは、標的型攻撃に何らかの対策を講じただろうか。昨今の情勢を鑑みて、特別に予算を組んだ企業も少なくないようだ。一方で、「どこまでセキュリティ対策を施せばいいか分からない」といった悩みを抱える読者もいらっしゃるのではないか。標的型攻撃の脅威を煽る声は多いが、「こうすれば、標的型攻撃を防げる!」という明快な指針は、今のところ出てきていない。

 しかし、答えは意外と近くにいる人物が持っているものだ。経営層である。例えば、自社の経営層に「標的型攻撃にどう対処すべきか?」と聞いてみると良い。おそらく、彼らはシンプルにこう答えるだろう。「情報資産を漏洩から守りたい」「攻撃を受けた場合に、情報資産が奪われたかどうか把握したい」と。実は、攻撃手段が複雑に変化を遂げても、企業がなすべきことはそう変わらないのだ。

 標的型攻撃は、あくまで情報漏洩の原因の1つにすぎない。攻撃手法そのものに目を奪われることなく、情報漏洩を防ぐためにどうすべきか、攻撃が疑われるときに、情報漏洩の有無を特定するためにはどうすべきか、ITインフラを最適化したい。以下では、対策の概略を紹介しよう。

情報資産へのアクセスログを可視化すれば、情報漏洩はトレースできる

 まず、大前提として、内部犯行と外部犯行の両方を想定すべきだ。情報漏洩といえば、外部からの攻撃を思い浮かべがちだが、実際には内部犯行の割合も多い。組織の内部にいる人間が、金銭目的などで情報資産に不正に持ち出す場合もあれば、外部の犯罪者と呼応する“スパイ”が不正プログラムを実行するケースもある。情報資産を狙う人間は、社外だけでなく、社内にもいると考えよう。

 当然、セキュリティ対策を考える際も、内部犯行を視野に入れる。標的型攻撃の対策ツール製品には、外部犯行を想定したものが多いので注意が必要だ。例えば、イントラネットとインターネットの境界に関所を設ける、インターネットゲートウェイのような製品だけでは内部犯行が検知できない。

 まずは、情報資産へのアクセスを監視しよう。具体的には、情報資産を格納するPCやサーバー(エンドポイント)に、操作ログを監視するソフトを導入する。外部犯行でも内部犯行でも、攻撃者は必ず目的の情報資産にアクセスする。その履歴をチェックすれば、最低限、盗難の事実に気付くことができる。

 万が一、情報資産への不正アクセスを発見した場合、“社外に持ち出されたかどうか”を把握する必要がある。標的型攻撃の場合、ウィルスに感染した社内のPCが、犯罪者が運用するサーバーと不正通信し、データを受け渡すケースが多い。疑わしい通信がないか、データを外部に送信していないかをチェックする。

 そのための製品が、昨今、主要ベンダーが続々と市場投入する“標的型攻撃対策”製品だ。例えば、「次世代ファイアウォール」はその代表格ともいえる存在だ。誰がどんなソフトウェアを使い、どんなデータをやり取りしているかチェックできる製品である。使いこなせば、多くの標的型攻撃を可視化できる力を持つ。

 情報資産へのアクセスと、インターネットとの通信、この2つを把握すれば、ひとまず情報漏洩の有無を把握できる。情報資産に不正なアクセスを見つけたとき、情報資産がファイアウォールを抜けたどうかを特定すれば、経営層に“情報が漏れたか、漏れていないか”を即答できる。

 情報資産が流出したかどうかだけでなく、どんな経路で侵入されたか、攻撃の全容を解明するためには、社内のネットワーク、セキュリティ機器のログをつなぎ合わせて、犯人の足取りをたどる必要がある。手がかりは多い方がいい。エンドポイント、ミドルポイント、ゲートウェイなど、各ポイントでログを収集しよう。

 最近のサイバー攻撃のプロセスを踏まえると、“だれが”、“いつ”、“どこから”、“どのような権限”で情報資産にアクセスしているか、アイデンティティを識別できるようにするのが理想的だ。情報資産が、どのように流通しているか、特定できる。これは、今後、本格化が予想されるIoT(Internet of Things、Internet of Everythingとも)の世界でも、極めて重要なポイントになろう。

 もちろん、各機器から出力されるログを単純に集約するだけでは、ほしい情報は得られない。それなりのツールやノウハウが必要だ。専門家に相談してほしい。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
専業コンサルタントのセキュリティ相談室一覧へ
関連キーワード

標的型攻撃 / サイバー攻撃 / NGFW / IPS / ファイアウォール

関連記事

トピックス

[Sponsored]

標的型攻撃にどう対策すべきか大手企業を狙ったサイバー攻撃が後を絶たない。標的型攻撃の対策ビジネスは世界的に好調だが、決定打と言えるものは登場していない。こうした状況に、企業はどう対処すべきか。その答えは、意外な人物が知っている。

PAGE TOP