[市場動向]

ネットワークセキュリティを守る基本は、あくまで「先手を打って攻撃者を捉えること」~アーバーネットワークスのASERTアドバイザー

2016年9月12日(月)笹田 仁(IT Leaders編集部)

アーバーネットワークスは2016年9月6日、セキュリティ問題の調査研究を専門とするチーム「ASERT」の日本における拠点「ASERT Japan」を開設した。ASERT Japanの名誉アドバイザーに就任した名和利男氏は、日本企業のCSIRTを、攻撃を受ける前に攻撃者を捉えて駆逐するものにしていきたいと語った。

 アーバーネットワークスが今回開設した「ASERT Japan」は、米本社が開設している「ASERT(Arbor Security Engineering & Response Team)」の日本における拠点。米国外にASERTを設置するのは、これが初めてのことになる。ASERTは、セキュリティ問題に関する調査研究を専門とするチームで、研究成果を自社のサービス改善に活用したり、啓蒙活動としてブログで情報を公開するなどの活動を展開している。ASERT Japanは、世界のセキュリティ脅威の動向を調査しながら、日本独特の事象や傾向について研究する。

写真 ASERT Japanの名誉アドバイザーに就任した名和利男氏

 アーバーネットワークスはASERT Japan開設に当たり、名誉アドバイザーとして名和利男氏(写真)を招いた。名和氏は航空自衛隊で暗号・通信業務や防空指揮システムなどのセキュリティ対策を担当していた人物で、自衛隊退官後はJPCERTコーディネーションセンターなどで活動し、現在はサイバーディフェンス研究所の専務理事上級分析官を務めている。

 最近では、攻撃者が高度な技術を駆使し「標的型」をはじめとして手口がどんどん巧妙になっているのは周知の通り。常に“攻撃者有利”という構図にある中で、「社内ネットワークに侵入されることはもはや止められない。それを前提に、被害を最小限に抑えることに徹しよう」という考えが、ネットワーク管理者の間で主流になりつつある。しかし名和氏は、そうした考えに甘んじることなく「先手を打って、あくまで攻撃者が侵入する前に捉える姿勢で臨むべき」と主張した。

攻撃者の後追いで終わってはいけない

 名和氏は、日本の企業や行政機関がCSIRT(Computer Security Incident Response Team)を立ち上げて、ネットワークセキュリティの脅威に対抗する体制を作ろうとしていることは評価しつつも、「攻撃者の後追い」の域を出ていない点でまだ改善の余地があるとする。

 同氏はCSIRTを「コンプライアンス強化モデル」「インシデントレスポンスモデル」「積極的防御モデル」の3つに分類(図1)。このうち、日本企業に多いのがコンプライアンス強化モデルだ。従業員がやって良いこと、やってはいけないことを細かく定めて、事故を未然に防ごうというものだが、これは「従業員を縛り、利便性を損なうだけ」と名和氏は指摘した。

図1 CSIRTを分類した図。「積極的防衛モデル」が望ましい
拡大画像表示

 次に多いのがインシデントレスポンスモデルだ。これは、セキュリティ侵害を受けても、被害を最小限に留めるために準備をしておくというものだが、これも名和氏によると「後追い」だ。

 名和氏がCSIRTのあるべき姿として提示したのが積極的防衛モデル。攻撃者についてよく観察・学習し、攻撃者がいつ攻撃にやってくるのかを予測して、攻撃者がやってくるのを待ち構える体制を作るものだ。攻撃者がやって来たとしても、企業や組織のネットワークに入り込ませる前に駆逐することを目標としている。

 では、その体制を作るにはどうしたら良いのだろうか? 名和氏は組織を人体に例えて説明した。人間は眼、耳、鼻などの感覚器を備えており、感覚器で受けた情報を認知する。認知したら頭脳が判断し、手足などを動かして行動する。これを組織に置き換えると、感覚器となるのが一般従業員だ。一般従業員がセキュリティ侵害の可能性を認知したら、組織の頭脳となる経営層やCSIRTに伝える。情報を受けた経営層やCSIRTは素早く判断を下し、外部専門業者などを最大限に使って事態の収束を図る(図2)。

図2 企業などの組織がネットワーク攻撃に対応する様子は人体に例えることができる
拡大画像表示

 このような体制を上手く働かせるには、セキュリティ侵害の可能性を認知する部分と、判断を下す部分を強化する必要があると名和氏は強調する。最近は、巧妙で高度な技術を駆使した攻撃手法が現れており、旧来の検知技術では検知できない手法が増えている。それを検知するには、一般従業員がきちんと異変に気付くように訓練する必要があるということだ。

「合意で物事が進む文化」が障害に

 そして名和氏が日本企業が抱える最大の問題として挙げたのが頭脳の部分、つまり経営者層だ。セキュリティ侵害などの攻撃の被害に遭うと、経営問題に直結する可能性すらあるのに、適切な判断を素早く下せないのだ。名和氏はその原因が日本企業の「合意で物事が進む」文化にあるという。攻撃を受けたら、一刻も早く判断を下さなければならないのに、関係者間の合意形成に時間をかけてしまっているというのだ。

 名和氏はASIRT Japanで、日本企業の「認知」する部分と「判断」する部分を強化していきたいと語る。認知する部分についてはASIRTが持つ、大量のネットワーク通信の中から攻撃者による通信を見分ける技術を活用。その技術と過去に蓄積した知見を合わせれば、攻撃の兆候をいち早くつかむことができると自信を見せた。

 名和氏は攻撃者が通信に使う「ディープサイト」や「ダークサイト」の中でもアジアのものに注目し、連絡文の傾向とネットワーク通信の動向を解析して、本当の攻撃の兆候をいち早くつかむ体制を作りたいと語る。

 判断する部分、つまりCSIRTや経営層への対応については、人間には読みにくい生のデータを提供するのではなく、人間が読める自然言語で情報を提供することで、素早く判断を下せるように支援していきたいとした。
 

関連記事

ネットワークセキュリティを守る基本は、あくまで「先手を打って攻撃者を捉えること」~アーバーネットワークスのASERTアドバイザーアーバーネットワークスは2016年9月6日、セキュリティ問題の調査研究を専門とするチーム「ASERT」の日本における拠点「ASERT Japan」を開設した。ASERT Japanの名誉アドバイザーに就任した名和利男氏は、日本企業のCSIRTを、攻撃を受ける前に攻撃者を捉えて駆逐するものにしていきたいと語った。

PAGE TOP