未知のセキュリティ攻撃に白黒付ける「トリアージ」とは?調査結果を基に3つの対策ポイントを整理

企業が今なすべきセキュリティ対策とは何か。NRIセキュアテクノロジーズは、調査結果を基に企業が注目すべき3つのポイントを導き出した。その概要を説明する。

2013年07月16日 08時00分 公開
[鳥越武史,TechTargetジャパン]

 最新の脅威動向を基に、適切なセキュリティ対策を検討する。こうしたニーズに応えるべく、NRIセキュアテクノロジーズ(以下、NRIセキュア)が発行しているのが、同社のセキュリティサービスを通じて取得したデータを基に毎年制作しているリポート「サイバーセキュリティ 傾向分析レポート」だ。同リポートの2013年版では、企業がセキュリティ対策を進める上で注目すべき3つのポイントをまとめている。その内容について、NRIセキュア コンサルティング事業本部 テクニカルコンサルティング部の中島智広氏の話を基に説明する。

 リポートで紹介しているセキュリティ対策のポイントは、以下の3つだ。それぞれについて詳しく見ていこう。

  • セキュリティアウェアネス
  • 多層防御
  • トリアージ

セキュリティアウェアネス:“人の脆弱性”を排除

 中島氏が「最優先に取り組むべきだ」と主張するのは、従業員のセキュリティ意識(セキュリティアウェアネス)の向上だ。「セキュリティに対する従業員の意識が高まっていなければ、対策が十分に生かせない」のが理由だ。

 特定の企業や組織を狙ってメールを送信し、添付したマルウェアを開封させたり不正なWebサイトに誘導したりする「標的型メール攻撃」の巧妙化、悪質化が進んでいることも、セキュリティアウェアネスの向上が求められる背景にある。文面の工夫や送信者の偽装などで同僚や取引先からのメールに見せ掛ける標的型メール攻撃は、セキュリティ製品だけで実害を防ぐのは難しい。NRIセキュアが「標的組織の公開情報を活用し、かつ特定の受信者に向けた内容」の模擬標的型メールを用いた訓練を実施したところ、37.5%の人が模擬標的型メールを開封してしまったという(図1)。

図 図1:標的型メールの開封率に関する調査結果。偽装の巧妙さ(偽装レベル)が上がるほど開封率が上がる傾向がある(N=16万6319通、出典:NRIセキュア)

 標的型メールの開封率を抑えるには、セキュリティ企業が提供する「標的他メール攻撃訓練サービス」を利用し、標的型メールに関するセキュリティアウェアネスを高めるのも選択肢の1つだと中島氏は指摘する。ただし、巧妙に工夫された標的型メールの場合、いくら訓練を実施しても開封率を0%に抑えるのは不可能に近い。とはいえ、「明らかに不審なメールを開封するといった不用意な行動を抑止したり、セキュリティポリシーの順守を徹底させる上では、訓練や研修などを通して従業員のセキュリティアウェアネスの向上に務めることには一定の効果がある」。

多層防御:システムだけでなく開発/運用プロセスも含めた対策を

 もう1つのポイントが「多層防御」だ。ただし、ここでいう多層防御は、ゲートウェイやエンドポイントに複数のセキュリティ製品を導入することに限らない。「システム面だけではなく、アプリケーションの開発プロセスや運用スキームも含めたセキュリティ対策」という意味だと中島氏は説明する。

 例えばシステムに脆弱性がある場合、脆弱性をふさぐパッチの適用が根本的なセキュリティ対策となる。ただし、パッチ適用による他システムへの影響を検証する手間が掛かり、パッチ適用がすぐにできないケースは多い。

 脆弱性を突いた攻撃が発生するまでの期間が短くなっていることも、検証の困難さを引き上げている。「2011年度(2011年4月~2012年3月)は、脆弱性の発見から攻撃まで1~3週間程度かかっていた。だが2012年度(2012年4月~2013年3月)は1週間以内に攻撃が発生するケースが珍しくなくなった」(図2)

図 図2:2012年度(2012年4月~2013年3月)に公表された脆弱性と悪用までの期間。公表から悪用までの期間が1週間を切ることも珍しくなくなった(出典:NRIセキュア)

 対策の1つとして中島氏が指摘するのが、Webアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)/侵入防御システム(IPS)などのセキュリティ製品を利用したシステム面での対策だ。特定の脆弱性を突く攻撃を防ぐ「仮想パッチ」として機能する製品もある。ただし、「根本的な対策であるパッチ適用までの暫定対策であることを忘れてはならない」と強調する。

 脆弱性を減らす取り組みをシステムの開発時から進めることも重要だ。「システムの要件や設計にセキュリティの観点が十分に盛り込まれているかどうか、実装後の問題点の洗い出しが十分かどうかといったことの確認が重要になる」。こうした取り組みを徹底する方法として、中島氏は以下3点を挙げる。

  • 開発ガイドラインの策定・活用
  • 設計レビュー体制の整備
  • セキュリティ診断の実施

 多層防御自体は「新しい考え方ではないが、対策が広範にわたることもあり、コストがネックとなって取り組めていないユーザー企業が多い」と中島氏は指摘する。対策を進めるためには、従業員のセキュリティアウェアネスを向上させたり、試験的なセキュリティ診断で脅威の可視化を進めてセキュリティ対策の重要性を周知するのも有効だという。守るべき情報やシステムを明確にし、セキュリティとコストのバランスを取ることも重要になる。

トリアージ:“グレー”なイベントを実害防止に活用

 中島氏が指摘するもう1つのポイントが「トリアージ(選別)」だ。発生したイベントに対して、それが脅威なのかどうか、脅威であれば何をすべきなのかなどを判断するのがトリアージである。各種セキュリティ製品やシステムから収集したログやトラフィック情報を活用し、対策の要否を判断する。

 なぜトリアージが重要になるのか。それは「セキュリティ製品の進化により、“グレーイベント”への対処が課題となってきた」からだと中島氏は指摘する。例えば最近のセキュリティ製品は、サンドボックスを利用したマルウェアの動的解析などにより、「攻撃とは断定できないが、完全に安全とはいえない」といった事象(グレーイベント)を把握できるようになった。

 「グレーイベントに迅速かつ適切に対処することで、被害を最小限に抑えることができる可能性がある」と、中島氏は説明する。国内で発生した標的型攻撃の主要な事例から判断すると、マルウェア感染から情報漏えいといった実害の発生までの期間は「必ずしも短くないと推測される」。仮にシグネチャが用意されていない未知のマルウェアに感染したとしても、その間の活動をグレーイベントとして検出すれば、実害が発生する前に対処できる可能性が高まる。

 ここで課題となるのが、グレーイベントが本当に攻撃であるかどうかを判断するトリアージを行うための人的リソースとノウハウの確保だ。セキュリティの専門家を一定数確保し、かつ最新のノウハウをアップデートし続けるとなると、自前で十分に実現できるユーザー企業は限られる。最近は、攻撃の予兆検知を支援する目的で、システムやネットワークのログを相関分析する「セキュリティ情報イベント管理(SIEM)」製品も充実しつつある。ただし、現状が危険かどうかの判断基準はユーザー企業のシステム環境や状況によっても異なるといったことから、「SIEMを導入しても、最終的には人の判断が重要になる」。

 有効な対策として中島氏が指摘するのは、「マネージドセキュリティサービス」や「組織内CSIRT(Computer Security Incident Response Team)構築支援サービス」など、セキュリティの専門家の知見を活用できるサービスの活用だ。グレーイベントの分析を外部のセキュリティ専門家に任せることで、トリアージをしやすくする。

Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

製品資料 Absolute Software株式会社

どこでも持ち歩ける“防具” 強固なゼロトラストネットワークアクセスの実現法

ハイブリッドワークの普及に伴い、企業ではリモートアクセスをどう保護するかが課題となっている。注目されるのは、全てのリソースを個別のセキュアな境界で保護する、ゼロトラストネットワークアクセスのアプローチだ。その実現法を探る。

製品資料 Absolute Software株式会社

G2 Grid Report要約版「ゼロトラストネットワーキングソフトウェア」

ゼロトラストネットワーキングソフトウェア製品を選定する際は、いくつかのポイントを押さえることが重要になる。本資料は、ビジネスソフトウェアのレビュープラットフォーム「G2」の要約から、そのポイントを解説する。

製品資料 パロアルトネットワークス株式会社

現在のSOCが抱える課題を解決、AI主導のセキュリティ運用基盤の実力とは?

最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。

製品資料 パロアルトネットワークス株式会社

CISOからセキュリティアナリストまで、役割ごとの課題から考える製品選びの勘所

CISO、SecOpsリーダー、セキュリティアーキテクト、セキュリティアナリストなど、組織のセキュリティを担う担当者は、役割ごとに異なる課題を抱えている。それぞれの課題を整理し、解決につながる製品を選ぶ際のポイントを紹介する。

技術文書・技術解説 パロアルトネットワークス株式会社

今さら聞けない「XDR」の基礎知識:EDRやEPP、SIEMと何がどう違うのか?

ITインフラが複雑化し、ポイント製品の組み合わせでは完全な保護が難しくなっている今、注目されているのがXDR(Extended Detection and Response)だ。その特長から選定のポイント、ユースケースまで、分かりやすく解説する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/07/22 UPDATE

  1. 縺ェ縺懊€後さ繝シ繝臥函謌植I縲阪r菫。縺倥※縺ッ縺�¢縺ェ縺�シ溘€€萓ソ蛻ゥ縺輔↓貎懊�窶�5縺、縺ョ繝ェ繧ケ繧ッ窶�
  2. 縺ェ縺懊€靴NAPP縲阪′縺�∪蠢�ヲ√↑縺ョ縺具シ溘€€CASB繧ГSPM縲∵里蟄倥ヤ繝シ繝ォ縺ィ縺ョ驕輔>縺ッ��
  3. 縲碁撼莠コ髢的D縲堺ソ晁ュキ縺梧€・蜍吶↓縲€46��′萓オ螳ウ繧堤オ碁ィ薙€√ョ繝シ繧ソ貍上∴縺�b逶ク谺。縺�
  4. 繝代せ繝ッ繝シ繝峨→莨シ縺ヲ縺�k縺代←螳牙�諤ァ縺悟、ァ驕輔>�溘€€縲後ヱ繧ケ繧ュ繝シ縲阪€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪→縺ッ
  5. 繧シ繝ュ繝医Λ繧ケ繝医€悟、ア謨�35��€坂€補€輔◎繧後〒繧や€懃樟迥カ邯ュ謖≫€昴%縺晏些縺ェ縺�炊逕ア
  6. 縺ェ縺懊€係indows Hello縲阪�窶懊ヱ繧ケ繝ッ繝シ繝我ク崎ヲ≫€昴〒繧ゆソ。鬆シ縺ァ縺阪k縺ョ縺具シ�
  7. 縺�∪縺輔i閨槭¢縺ェ縺�€郡IEM縲阪€郡OAR縲阪€傾DR縲阪�蠖ケ蜑イ縺ィ豢サ逕ィ繧キ繝シ繝ウ
  8. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  9. 窶懷腰邏斐↑謇句哨窶昴′諡帙>縺�93蜆��縺ョ蜈ャ驥題ゥ先ャコ縲€蟄ヲ縺カ縺ケ縺阪€後そ繧ュ繝・繝ェ繝�ぅ縺ョ驩�援縲阪→縺ッ��
  10. 窶懊←繧後′蜊ア髯コ縺銀€昴〒縺ッ縺ェ縺上€郡aaS縺昴�繧ゅ�縺瑚�蜻ス逧�€阪€€驥題檮CISO縺瑚。晄茶縺ョ荳€螢ー

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...