[インタビュー]

2016年8月17日(水)川上 潤司（IT Leaders編集部）

リスト

　デジタルテクノロジーがどんどん身近なものとなり、事業部門は収益アップに向けて様々なソリューションの導入・活用に積極的な姿勢を見せている。その一方で、テクノロジーの隙を突いて悪事をはたらこうとするサイバー攻撃者は狡猾さを増し、極めて洗練された手口で忍び寄ってくる。CIOをはじめとするITリーダーは、ビジネス部門のニーズに応えること、次々に出てくる脅威や攻撃手法に備えること、これら2つの課題に板挟みとなり、並々ならぬ努力を強いられている。残念ながら、この構図がすぐに変わるようなことは考えにくく、ことセキュリティに関しては一瞬たりとも手を緩めることなく対応し続けなければならない。

米ガートナー リサーチ部門 バイスプレジデント 兼 最上級アナリストのニール・マクドナルド氏

　こうした状況下、最新の攻撃や侵入のテクニックとそれらへの対処策ばかりに意識が向きがちだが、何よりも重要なのは、IT基盤やアプリケーションの脆弱性を封じるための基本的な取り組みだ。当社のリサーチの結果によると、サイバー攻撃を許してしまったケースの実に95％以上が、パッチを当てていなかったり、コンフィグレーションが不適切だったりという初歩的な不備に起因するものだ。そもそもの“戸締まり”が甘い企業が余りにも多いのである。

　サイバー攻撃の中には、諜報活動のような特定企業をピンポイントで狙うケースもあるだろうが、圧倒的多数は金銭目的であり実利一辺倒だ。顧客リストやクレジットカード情報、製薬情報や製品設計図といった知的財産など“金目のもの”がどこにあるかをつぶさに調べ上げた後に、対象を絞る。その時の判断基準は「どこのシステムがより脆く、手っ取り早く儲けが出るか」というもの。まるでビジネス感覚であり、手間ひまかけずにリターンの最大化を図ることを追い求める。先に述べた「基本」ができているだけでも攻撃者には“面倒な相手”に映り、矛先はもっと楽に侵入できそうな企業に向くのだ。

攻撃者を欺く「Deception（偽装）」のアプローチ

　もっとも、パッチやコンフィグレーションの厳格な管理対応によって基本的な防御壁を築いていても、ひとたび悪意と執拗さに溢れた輩に睨まれたなら、一部の攻撃を許してしまう可能性を否めないのが昨今の実状でもある。有事に備えて心がけなければならないのは、侵入が発生したらできるだけ早く検知して対応をとる姿勢だ。攻撃者がシステム内に存在している期間を極小化しなければならない。しかし実際には、「侵入されてから気付くまでに平均で240日かかっている」「このうちの3分の2は、社外からの通告ではじめて認識に至った」といった調査結果があるほどで、かなり後手に回っている。

　これは、企業がこれまで頼ってきたアンチウィルスソフトやIPS（Intrusion Prevention System：侵入防御システム）をはじめ、シグニチャベースによる対策だけでは限界が見えてきたことの表れでもある。現状を打破するには、新たな仕組みや、発想の転換といったものが必要だ。今、セキュリティシーンにおいて、既存の大手ベンダーのみならずスタートアップも交えて、独自アプローチを模索・提示する動きがにわかに活発になってきたのは、時代が求める新たな要請に応えるためだ。

　そうした中で、個人的に強い関心を抱いている手法の1つが「Deception（偽装）」のテクノロジーだ。これは実システム環境の中に、多数のデコイ（おとり）を仕掛けて敵を欺くもの。攻撃者が目的を遂行するのを妨害するだけでなく、偽の環境に巧みにおびき寄せてその姿（攻撃の手法や対象）をあぶり出すことができる。それと分かれば隔離などの手も打ちやすい。正規ユーザーが偽の環境にアクセスすることはない反面、攻撃者にとってみれば地雷原をさまよっているような状況を創り出すという斬新なアプローチだ。仮想化技術の進展が、偽の環境を柔軟にコントロールすることを後押ししている。