今すぐ取り掛かれる標的型攻撃対策:セキュリティ強化塾(2/5 ページ)
標的型攻撃の対策には多層防御といわれるが、限りある予算に悩むセキュリティ担当者は多い。有効な手段とは?
標的型攻撃対策は被害拡大阻止を織り込む
標的型攻撃には、(1)計画立案、(2)攻撃準備、(3)初期潜入、(4)基盤構築、(5)内部侵入・調査、(6)目的遂行、(7)再侵入という7つの段階がある。これまでは、(2)以降の段階それぞれに対応するためのセキュリティ対策ツールの導入と運用が行われてきた。
大きく分ければ、外部からの攻撃をはね返すための「入口対策」、内部でのウイルス活動を検知してブロックするための「内部対策」、システム内の情報を外部に持ち出されるのを防ぐ「出口対策」をどのように整備するかだ。
問題は、このような脅威対策を重ねていけばいくほどコストがかさみ、ツールや管理項目が増えれば増えるほど運用管理負荷が高まってしまうことだ。しかも、どれほどコストと労力をかけても、攻撃が成功する可能性をゼロにはできないという悩みが残る。
もともとIT予算のうちセキュリティのために確保できる割合はそれほど大きくはない。またセキュリティ専門技術者を獲得・育成して専任で担当させることも、特に中堅・中小企業では難しい。しかも攻撃は年々高度化しており、さまざまなセキュリティツールの機能を把握したうえで、その技術の裏をかくような手口が日々生み出されている状況だ。
一方で攻撃者は、金銭目的の仕事として攻撃を立案・実行していると考えられ、ある意味ではセキュリティ技術の専門家ともいえる。それを上回る周到な対策をとることはかなり困難になっている現状を直視し、できる限り攻撃成功リスクを低減したうえ、万が一攻撃が成功した場合でも被害拡大を最小限にとどめることが、現在の標的型攻撃対策の重要なポイントになっている。
インシデントレスポンス、修復までの時間短縮が焦点
そこでクローズアップされるようになったのが、システムに侵入されてから後の対応体制だ。これは各種のセキュリティツールからのアラームやログを適切にハンドリングし、攻撃の早期発見や状況把握、原因究明の時間を短縮するとともに、被害の発生を食い止めたり被害拡大を抑え込んだりするための機構を、組織内にあらかじめ備えるということだ。
そのような役割を担うチームをCSIRT(Computer Security Incident Response Team)と言い、ここ数年構築のための取り組みが積極的になっている。CSIRT構築についてはまた別の機会に詳しく取り上げるが、基本はセキュリティ監視やインシデント対応のコントロールセンターを設けることだ。具体的には「外部からの連絡を確実に受け取る」「 迅速な初動調査の指揮、実施を行う」「 判断や外部への公表の支援をする」ことが仕事の中心だ。これはインシデント対応の早さに大きく寄与する。
例えば日本年金機構の事件の場合、沖縄事務所でPCが感染してNISCが監視しているサイトと通信したことが厚生労働省経由で伝えられたのが5月8日のこと。その後5月19日から5月22日にかけて機構本部人事管理部で2台が標的型メールの被害に遭い、周辺の22台に感染が広がり、うち19台が大量の情報を外部サーバに送信したという。
もしも5月8日時点で適切な対応ができていれば、その後の感染を防げた可能性があった。また、その後届いた約100通の標的型メール(4種類)が大規模情報漏えいにつながったが、このような大量の実行ファイル入りメールへの対応ができていれば、情報漏えいがその時点で食い止められたかもしれない。年金機構や厚労省の調査報告でも対応体制の不備が1つの原因として挙げられている。
標的型攻撃への対応は「時間との戦い」になってきている。侵入されてから情報窃取まで30分程度しかなかった事例も発覚しており、できるだけ早く事態を把握し、攻撃をなるべく初期段階のうちに止めることが肝心だ。事実の把握から対応に至るまでの時間を短縮するには、情報を集約して適切に判断、行動に移せる体制がどうしても必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.