サイバー攻撃をかわす“多層防御型”セキュリティの考え方：2011年上期の情報流出事件から学ぶ教訓【後編】

ソニーの事件をはじめ、多くのサイバー犯罪が発生した2011年上半期。各事件の共通点とその背後に潜む傾向を探る。

[Tomer Teller，Check Point Software Technologies]

　前編「共通点・傾向は？　2011年上期の情報漏えい企業に起きたこと」は2011年に発生した情報流出事件から、サイバー犯罪に遭う企業に見られる共通点とその背後に潜む傾向を述べた。後編では、事件から学ぶべき教訓と企業に求められる対策を紹介する。

　企業トップあるいは情報システム担当者が、「何らかの基準に従って対策を行っていれば絶対に安全」と思うのは過信だ。事例が示す通り、増加の一途をたどる標的型攻撃を完全に防ぐことは不可能だ。標的型攻撃の被害を避けるためには、企業ネットワークと重要資産を何重ものセキュリティ対策で保護する必要がある。

　まず必要なのは、ネットワークやエンドポイント、ネットワークに接続されている複数のセキュリティデバイスを対象とする多層防御型のセキュリティ戦略を策定することだ。大規模環境の場合は、複合型の脅威に対応できる高性能なファイアウォールやIPS（侵入防御システム）、あらゆるエンドポイントやモバイルデバイスを保護できる包括的なエンドポイントセキュリティソリューション、そして情報資産を保護するデータ漏えい防止（DLP）ソリューションにより、マルチレイヤーのセキュリティを構築する必要がある。

　同時に、これらのセキュリティを実際に適用するための一貫性のあるセキュリティポリシーを定義する。セキュリティポリシーはビジネス目標に沿って定義し、社員が明確に理解できる内容にする必要がある。また、情報資産への疑わしいアクセスがどのように行われているかを常に把握できるよう、各種対策ソリューションからのログを収集することはもちろん、効率的なログ分析やリアルタイムなイベント分析など積極的にセキュリティイベント管理を行うことが重要だ。これにより標的型攻撃の事前調査や攻撃の事実を早い時期に認識し、迅速な防御アクションを起こすことが可能となる。

　攻撃可能となる対象と期間を減らすためには、内部に存在するあらゆるコンピュータ（プリンタなども含む）の脆弱性に対するセキュリティパッチと、セキュリティソリューションの防御性能に関するアップデートを迅速に適用していくことが防御の基本であることは言うまでもない。

　攻撃者の侵入口となるこの「表玄関」にセキュリティ対策を施したら、次は「裏口」、つまりユーザーのセキュリティ対策を行う。ヒューマンエラーは、テクノロジーだけでは対処できないセキュリティ問題だ。バグの修正パッチのような簡単な解決策もない。社員のセキュリティ意識を根本的に高め、1人1人が情報資産の番人として役立ってもらうために、企業側が積極的に啓発活動やユーザー教育を行う必要がある。

　前編でも述べたが、セキュリティインシデントの公開は進んでいる。2次、3次の被害を社会全体で軽減するためにも、今後さらに積極的なインシデントの報告と公開が求められている。

　「われ思う、故にわれあり」とは、フランスの哲学者ルネ・デカルトの言葉だ。17世紀に生まれたこの名言は、現代という情報セキュリティ時代において、全く新しい意味を担うようになったと感じる。ユーザーはセキュリティプロセスの一部であり、企業のセキュリティは各ユーザーの発想や意識で強化される。

　今日のハッカーに対抗するためには、セキュリティ意識の高い社員、強固な多層防御型セキュリティシステム、そして適切に定義したセキュリティポリシーという3要素の組み合わせが不可欠となる。全ての企業が今回の教訓を生かして必要な対策を行い、情報流出事件の拡大に歯止めがかかることを願って止まない。

本稿執筆のトーマー・テラー（Tomer Teller）氏は、チェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ・エバンジェリスト。同社に入社してからの6年間、研究者および開発者としてさまざまな大規模プロジェクトに関わってきた。同社本社や複数のITセキュリティカンファレンスで講師も務めた。上位レベルおよび下位レベルのソフトウェアエンジニアリングに精通し、業務以外にも各種のプロジェクトや独自のセキュリティ調査に携わる。コンピュータサイエンスの学士を取得しており、ブラウザ攻略に関する特許を保有している。