サイバーセキュリティ経営ガイドライン Ver 2の変更点を読み解く：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

セキュリティ対策は「検知」にも注力すべき

　「サイバーセキュリティリスクに対応するための仕組みの構築」とは、被害を最小化するために「検知」に力を入れよと読み解くことができる。

　標的型攻撃は、メールに添付された悪意のあるファイルやメッセージに埋め込まれた不正なURLをクリックさせることを攻撃のきっかけとすることが多い。その際に攻撃者は、既存のマルウェアをほんの少し修正した「亜種」を生み出し、ウイルス対策ソフトが検知できないことを確認してから攻撃を始めている。

　まんまと企業内への侵入に成功した攻撃者は、ひそかに偵察行動を続ける。もしも企業側が検知できなければ、攻撃は機密情報の持ち出しや銀行口座からの不正送金といった最終段階へとコマを進めることだろう。ここに至っても自力で検知できず、外部からの指摘によって初めて攻撃に気付く企業も多い。

　では、早期に検知できる体制を整えるためには何をすべきだろうか。まず重要な手掛かりとなるのが、企業内にあるさまざまな機器が発する「ログ」だ。それも単に収集しているだけでは不十分だ。まず「何を検知したいか」を定義し、生み出されているログからその情報が正しく読み取れるかどうかを確認したい。

　例えば、「氏名」や「住所」などが含まれる個人情報の漏えいを防ぎたいのであれば、そのような情報を大量に処理する動きが検知できる体制になっているだろうか。そもそも、大量にアクセスするような処理が日常的に行われているのだろうか。

　つまり、「守るべき対象」を定義するだけでなく、「異常とはどのような状態を指すのか」まで定義しなければならない。そのためには、守るべき対象の「平常時」の処理を把握できていることが大前提となる。

　多くの企業では「ログの取得はできている」という認識にあるだろう。サイバーセキュリティ経営ガイドラインではもう一歩踏み込み「何らかのサイバー攻撃を自分たちの目で見て気付ける」ことが望まれている。

　体制構築のために必要となるのは、ログを解析のためのソリューションの他、検知ポイントを増やすEDR（エンドポイントでの検知と対応）ソリューションへの投資、それらの情報を集約し対応するためのSOC組織の設置などが考えられる。