古くて新しいセキュリティ脅威を振り返る：セキュリティ強化塾（3/3 ページ）

[キーマンズネット]

内部不正対策のポイントは「ログの管理」と「アクセス制御」

　内部不正による情報漏えいを防ぐためには、「セキュリティポリシーの作成と周知徹底」「情報資産の把握と体制の整備」といった基本的かつ網羅的な体制の見直しが欠かせない。その上で重点対策として挙げたいのが「ログの管理」と「アクセス制御」だ。

　前者については、本連載「内部不正を許さない、ログから不正行為を検知する方法」で、後者については「ポリシー外のアクセスは全部『不正』、アクセス制御対策」で詳しく取り上げている。

　ここでは、ログの管理について振り返っておこう。さまざまなシステムから「いつ」「誰が」「何をした」というログをきちんと取得し、保管しておけば、万が一の事態に陥った場合でも実際に何が発生したのかを把握できる。また、ログを取得しているという事実を周知することで抑止効果も期待できる。

　しかし、「ログは取得しているだけ」で終わってしまう企業も多い。なぜならば、多忙なIT部門にとって膨大な量と種類のログを常に分析することは現実的ではないからだ。そこで最近では、「統合ログ管理ツール」の中からセキュリティに関するログだけを切り出して、リアルタイムに分析する「SIEM（セキュリティ情報・イベント管理）」に注目が集まっている。

　ただし、どんなツールであれ「導入すれば解決」とはならない。標的型攻撃対策の項でも挙げた「CSIRT」や、「SOC（セキュリティオペレーションセンター）」のような体制作りも併せて検討しておきたい。

「DDoS攻撃」「SQLインジェクション」対策は古くて新しい？

　10大脅威2016年版の組織編で3位に入った「ウェブサービスからの個人情報の詐取」だが、その攻撃手口は多岐にわたる。冒頭で紹介した出会い系SNSの場合はハッカー集団による不正アクセスだったが、「SQLインジェクション」や「ディレクトリ・トラバーサル」といった10年以上も前から存在する古典的な手法もまだまだ現役だ。

　対策も“古典的な”方法となるが、まずは「セキュアなWebサイト」を構築することに尽きる。IPAやOWASPなどが関連するガイドラインを公開しているので、ぜひとも目を通してほしい。本連載の「2014年を揺るがしたインジェクション攻撃の手口と対策」も参考になるだろう。どのようなWebサービスであっても公開前にはセキュリティ診断を行って脆弱性を発見し、公開後もOSやミドルウェアのパッチをきちんと適用して常に最新の状態に保ちたい。WAFやIPSなどを組み合わせれば、脆弱性が残っていても被害を回避できる可能性が高まる。

　さて、4位のDDoS攻撃に至っては20年近く前から存在する攻撃手法だ。細かな手口の変遷やツールの多様化、攻撃者の動機の変化などもあり、今後も脅威の1つとして数えられるだろう。対策は大きく2つあり、1つは自分が攻撃の踏み台とならないようにシステムのOSやミドルウェア、アプリケーションにパッチを当てて常に最新状態を保つことだ。この時、ルーターなどの通信機器が見落とされがちなので注意したい。

　2つ目はDDoS攻撃の被害者となった時に備えて準備しておくことだ。基本的には契約ISPに連絡して緩和策を講じてもらったり、JPCERT/CCに相談してみたりするとよい。具体的な手口について知りたい場合は本連載の「特効薬あります、最新DDoS攻撃と対策」をお勧めする。

　最後に、注目したい脅威として挙げた「ランサムウェアを使った詐欺・恐喝」への対策だが、（1）悪意のあるソフトウェアの侵入を防ぐことと（2）感染した場合に備えて被害を最小限にとどめることの両方への備えが求められる。ランサムウェアの侵入方法はスパムメールにファイルを添付する方法と、Webサイトの脆弱性を悪用して感染サイトに誘導する方法が確認されている。これらに対しては、従来の不正プログラム対策と同様にゲートウェイやエンドポイントなど複数ポイントで防御体制を構築しておきたい。

　一方、感染により暗号化されてしまったデータの復旧対策として最も効果的なのは平時からのバックアップとレストアである。また、ファイルサーバなどの共有ファイルを暗号化するランサムウェアも存在している。あらためてアクセス権限を見直しておきたい。なお、犯人の言いなりになって「身代金」を払ってデータを取り戻したケースも報告されているが、これは犯罪行為を助長するだけという批判もある。