@IT セキュリティソリューションLive! in Tokyo レポート
“想定外”におびえないセキュリティ対策とは?
谷崎朋子
2012/3/30
セキュリティは「いたちごっこ」ともいわれますが、これからやってくる想定外の脅威に備え、先手を打つことは不可能なのでしょうか。標的型攻撃や大手企業からの情報漏えいといった過去の事件から学べることとは何か、目先の動向にとらわれない根本的な対策とは何か――3月2日に開催された「@IT セキュリティソリューションLive! in Tokyo」の各セッションの内容を紹介します。(編集部)
標的型攻撃のターゲットは、何も政府機関や軍事開発に携わる企業などの特殊分野のみとは限らない。ITや業務を通じて有機的につながっている一般企業も、直接の攻撃対象にならなくても、真のターゲットへ接触するための踏み台として情報を荒らされる可能性がある。
2012年3月2日に都内で開催された「@IT セキュリティソリューションLive! in Tokyo」では、「問い直そう!「想定外」時代のセキュリティ〜従来のセキュリティ対策の盲点を踏まえ、これからの解を探る」をテーマに、業界の識者たちによるセキュリティ講演が行われた。いま、企業はどのような対抗手段を講じるべきか――各講演の内容を紹介しよう。
基調講演 〜基本設計から見直すこれからの対策〜
セミナーのトップバッターは、独立行政法人 情報処理推進機構(IPA)技術本部 セキュリティセンター、情報セキュリティ技術ラボラトリー長の小林偉昭氏による基調講演「これまでとは異なる脅威の実態を知る/不正アクセスの最新動向」だ。
IPA 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー長 小林偉昭氏 |
IPAでは2005年から、IPAに届けられたウイルスや不正アクセス、脆弱性に関する情報などをまとめた「10大脅威」レポートを発表している。2011年版では、AnonymousによるDDoS攻撃や標的型攻撃など、各種サイバー攻撃がトップ10にランクイン。小林氏は、セキュリティ対策の強度に関係なく被害に遭う可能性が高まったと、現状を危惧した。
特に、Stuxnetを代表とするスパイ活動目的の攻撃では、真の攻撃先へいきなり突入するのではなく、関連企業に侵入して情報を盗むなど、からめ手から攻める。RSAセキュリティのSecurIDに関する情報が盗まれた事件も同様だ。盗まれた情報は、最終目標のロッキードに不正侵入するための認証突破に利用された。
こうした「新しいタイプの攻撃」に立ち向かうには、まず敵が誰かを特定し、攻撃の仕組みを理解することから始める必要がある。その後、「入口対策と出口対策に加え、SIerやIT部門とともに、設計から見直すという新しい発想が必要」と小林氏は強調した。もちろん、見直した対策は継続的に運用できるレベルへ落とし込む必要がある。詳細は、IPA発表の「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」で確認できる。
【関連記事】 IPA:「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」を公開 http://www.ipa.go.jp/security/vuln/newattack.html IPAが2012年度版「10大脅威」を公表、1位は「標的型攻撃」(@ITNews) http://www.atmarkit.co.jp/news/201203/22/ipa.html |
IPAでは、官民連携によるサイバー攻撃への対応として、サイバー情報共有イニシアティブ「J-CSIP」を発足し、官民の積極的な情報共有を推進している。また、セキュリティレベルの底上げを目標に、各種解説ガイドや学習講座、脆弱性検証ツールなどを無償提供している。「組織の状況に応じて必要な対策を講じるトータルセキュリティを検討してほしい」(小林氏)。
セッション1 〜クライアントPCを起点とする漏えい対策〜
セッション1「今求められる情報セキュリティ対策〜最新の脅威から身を守る、クライアントPC管理のポイント〜」では、Sky ICTソリューション事業部の飯田玲子氏が、クライアント管理から始める情報漏えい対策について紹介した。
Sky ICTソリューション事業部 飯田玲子氏 |
最近の情報漏えい事故は1日に3件の割合で発生しており、対策意識の高まりに反して件数は増えている。情報漏えい事故の経路は、69.4%が紙媒体、12.4%が記録媒体で、原因の81.2%は社員の「うっかり」にあると飯田氏は説明した。効果的な対策は、「情報の出入り口となるクライアントPCのログを収集し、運用を可視化すること。もう1つは、ルールに反したことを社員に自覚させることだ」(飯田氏)。
同社の「SKYSEA Client View」は、情報セキュリティ対策とIT資産運用に必要な機能を提供するセキュリティ製品だ。情報セキュリティ対策では、クライアントPCの操作ログを収集、管理する。ログオン/ログオフ、プリントログ、Webアクセスログなど、14種類の操作ログを収集するほか、カテゴリ別に絞り込み検索を行うことも可能だ。「最新版では検索処理のロジックを改良し、証跡の確認のスピードアップと迅速な対応を支援する」(飯田氏)。操作項目にはポリシーを設定でき、違反した場合のアラート通知も実施できる。
ログはNASなどにバックアップでき、リストアせずにNAS内で閲覧することも可能だ。このほか、USBデバイスの管理ができる台帳も提供する。台帳を利用することで、使用可能/不可能なデバイスの設定や棚卸対象/期間の設定が行える。
同製品のもう1つのメリットは、IT資産運用機能だ。「コンプライアンス遵守や内部統制の基盤となるだけでなく、IT資産のランニングコスト削減にも貢献する」(飯田氏)。同製品は、クライアントPCの構成内容やネットワーク機器などのハードウェアのほか、ウイルス対策ソフトやWindows更新プログラムなどのソフトウェア情報を収集、管理できる。特にソフトウェア資産管理は、購入状況や余剰ライセンスのチェックに役立つ。なお、保守契約ユーザーには、約4万種類のソフトウェア名称が登録されているSAMACソフトウェア辞書が提供され、より正確な情報管理をサポートする。
セッション2 〜ネットワークの視点で考える標的型攻撃対策〜
セッション2では、トレンドマイクロ ソリューションマーケティング本部の横川典子氏が「国内における持続的標的型攻撃の実態と傾向対策」について、ネットワークの観点から標的型攻撃について解説した。
同氏は、サイバー攻撃は標的型攻撃へエスカレートし、いまでは持続的標的型攻撃へ進化したと指摘した。持続的標的型攻撃は凶悪で、オランダの認証発行局が破産に追い込まれた事例を取り上げ、社会的被害にもつながっていることに言及した。
トレンドマイクロ ソリューションマーケティング本部 横川典子氏 |
横川氏は、持続的標的型攻撃の定義を5つの特徴で表現した。攻撃は「標的に特化」し、「執拗に実施」され、「明確な目的」を持っていること。そして、「公開サーバ」と「ユーザー」に対して実行されることだ。
最近の傾向では、ファイルの脆弱性を利用して侵入するケースが70%と多く、またHTTP関連プロトコルなど通常の通信を利用するケースも同様に多いという。「残念ながら、特効薬はない」とした横川氏は、重要なのは攻撃者の目的を達成させないようにデジタル資産と事業継続性を守ることだとして、「入口対策」「攻撃の可視化」「出口対策」の3つのアプローチを提案した。
入口対策では、パッチの適用やメールのレピュテーション機能、ファイアウォール、IPS、WAFなどの手段が挙げられる。攻撃の可視化では、守るデジタル資産の内容や場所などを把握することが挙げられる。そして出口対策では、プロキシによるネット通信の制御、Webレピュテーション、DLPなどが挙げられる。以上を、アセスメント、コントロール、監視、対処のライフサイクルに組み込むことで、継続的な対策が構築できる。
こうした対策を実施するための製品の選定ポイントは、より多くの検出ロジックで攻撃を検出できること、一度検出した未知の脅威を「既知」に変えて再発防止ができること、運用ポリシーに見合った体制作りができることだという。
トレンドマイクロでは、上記要件を実現する「Trend Micro Threat Management Solution」を提供するほか、持続的標的型攻撃を理解するための動画コンテンツや、25の設問に答えて簡単診断できるセキュリティアセスメントツールなどを公開している。「状況を理解し、整理する一助になれば幸いだ」(横川氏)。
ランチセッション 〜“基本”で対抗する標的型攻撃〜
ランチセッションでは、@IT Security & Trustフォーラムの人気執筆陣から、NTTデータ先端技術の辻伸弘氏(セキュリティ・ダークナイト)、ラックの川口洋氏(川口洋のセキュリティ・プライベート・アイズ)、インターネットイニシアティブの根岸征史氏をパネリストに迎え、@IT編集部の高橋睦美が進行役でパネルディスカッションを行った。
冒頭では標的型攻撃の特徴を検証した。これまでの攻撃と異なる点は、従来の手法を踏襲しつつ、ITの素人も標的に含めるようになっている点だ。
その手口はソーシャルエンジニアリングを駆使した内容で、「講演者などを装って添付ファイル付きのメールがセミナー参加者宛てに送られた場合、多くの人は開いてしまう。訓練でどうにかできるレベルではない」と辻氏は考察した。根岸氏も、「だまされないための対策よりも、メール開封後に敵がどこまで侵入してきたか、開封したユーザーがIT部門へ報告するまでどのくらい時間がかかったかなど、事後の流れを検証して洗練させていくことも重要」と指摘した。
ネットワークやシステムの基本設計から見直して、普段からできる対策を実施することも、巧妙化する攻撃への有効手段だ。
10年前の2002年に、Slammer/Blasterワーム騒動への対応で「クリックしすぎて腱鞘炎になりかけた」と苦笑する川口氏は、wgetコマンドをオフにする、SSH認証でデフォルトで設定されている22番ポートを別の番号に変えるなど、基本的なセキュリティ設定を見直すことに意義があると話した。そして、セキュリティインシデントを情報共有するという風潮を作ることも、全体のセキュリティの底上げにつながると訴えた。「ソニーは情報漏えい事故で専門的な説明も行った。出せる範囲で情報を出すことについて、最も評価されるべきだ」(辻氏)。
最後に、2012年の予測について、根岸氏は今後もAPTは継続し、ハクティビズムも増加するだろうと述べた。辻氏も、軍事産業以外で標的型攻撃のターゲットになる企業が増えると警告し、自社が保持する情報の価値や意味をあらためて再考してほしいと訴えた。そして、特別な対策を施すというよりも、アプリケーションにパッチを当てる、端末制御やActive Directoryの管理を徹底するといった基本の対策を積み重ねていくことが一番だと川口氏はまとめた。
1/2 |
Index | |
“想定外”におびえないセキュリティ対策とは? @IT セキュリティソリューションLive! in Tokyo レポート |
|
Page1 基調講演 〜基本設計から見直すこれからの対策〜 セッション1 〜クライアントPCを起点とする漏えい対策〜 セッション2 〜ネットワークの視点で考える標的型攻撃対策〜 ランチセッション 〜“基本”で対抗する標的型攻撃〜 |
|
Page2 セッション3 〜多層的なセキュリティ対策〜 セッション4 〜人の管理で安全と企業活動の改善を〜 セッション5 〜費用対効果も重要な要件に〜 セッション6 〜ユーザー教育も含む対策を〜 特別講演 〜平時の訓練が有事の即戦力に〜 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|