2013年07月16日 08時00分 公開
特集/連載

未知のセキュリティ攻撃に白黒付ける「トリアージ」とは?調査結果を基に3つの対策ポイントを整理

企業が今なすべきセキュリティ対策とは何か。NRIセキュアテクノロジーズは、調査結果を基に企業が注目すべき3つのポイントを導き出した。その概要を説明する。

[鳥越武史,TechTargetジャパン]

 最新の脅威動向を基に、適切なセキュリティ対策を検討する。こうしたニーズに応えるべく、NRIセキュアテクノロジーズ(以下、NRIセキュア)が発行しているのが、同社のセキュリティサービスを通じて取得したデータを基に毎年制作しているリポート「サイバーセキュリティ 傾向分析レポート」だ。同リポートの2013年版では、企業がセキュリティ対策を進める上で注目すべき3つのポイントをまとめている。その内容について、NRIセキュア コンサルティング事業本部 テクニカルコンサルティング部の中島智広氏の話を基に説明する。

 リポートで紹介しているセキュリティ対策のポイントは、以下の3つだ。それぞれについて詳しく見ていこう。

  • セキュリティアウェアネス
  • 多層防御
  • トリアージ

セキュリティアウェアネス:“人の脆弱性”を排除

 中島氏が「最優先に取り組むべきだ」と主張するのは、従業員のセキュリティ意識(セキュリティアウェアネス)の向上だ。「セキュリティに対する従業員の意識が高まっていなければ、対策が十分に生かせない」のが理由だ。

 特定の企業や組織を狙ってメールを送信し、添付したマルウェアを開封させたり不正なWebサイトに誘導したりする「標的型メール攻撃」の巧妙化、悪質化が進んでいることも、セキュリティアウェアネスの向上が求められる背景にある。文面の工夫や送信者の偽装などで同僚や取引先からのメールに見せ掛ける標的型メール攻撃は、セキュリティ製品だけで実害を防ぐのは難しい。NRIセキュアが「標的組織の公開情報を活用し、かつ特定の受信者に向けた内容」の模擬標的型メールを用いた訓練を実施したところ、37.5%の人が模擬標的型メールを開封してしまったという(図1)。

図 図1:標的型メールの開封率に関する調査結果。偽装の巧妙さ(偽装レベル)が上がるほど開封率が上がる傾向がある(N=16万6319通、出典:NRIセキュア)

 標的型メールの開封率を抑えるには、セキュリティ企業が提供する「標的他メール攻撃訓練サービス」を利用し、標的型メールに関するセキュリティアウェアネスを高めるのも選択肢の1つだと中島氏は指摘する。ただし、巧妙に工夫された標的型メールの場合、いくら訓練を実施しても開封率を0%に抑えるのは不可能に近い。とはいえ、「明らかに不審なメールを開封するといった不用意な行動を抑止したり、セキュリティポリシーの順守を徹底させる上では、訓練や研修などを通して従業員のセキュリティアウェアネスの向上に務めることには一定の効果がある」。

多層防御:システムだけでなく開発/運用プロセスも含めた対策を

 もう1つのポイントが「多層防御」だ。ただし、ここでいう多層防御は、ゲートウェイやエンドポイントに複数のセキュリティ製品を導入することに限らない。「システム面だけではなく、アプリケーションの開発プロセスや運用スキームも含めたセキュリティ対策」という意味だと中島氏は説明する。

 例えばシステムに脆弱性がある場合、脆弱性をふさぐパッチの適用が根本的なセキュリティ対策となる。ただし、パッチ適用による他システムへの影響を検証する手間が掛かり、パッチ適用がすぐにできないケースは多い。

 脆弱性を突いた攻撃が発生するまでの期間が短くなっていることも、検証の困難さを引き上げている。「2011年度(2011年4月〜2012年3月)は、脆弱性の発見から攻撃まで1〜3週間程度かかっていた。だが2012年度(2012年4月〜2013年3月)は1週間以内に攻撃が発生するケースが珍しくなくなった」(図2)

図 図2:2012年度(2012年4月〜2013年3月)に公表された脆弱性と悪用までの期間。公表から悪用までの期間が1週間を切ることも珍しくなくなった(出典:NRIセキュア)

 対策の1つとして中島氏が指摘するのが、Webアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)/侵入防御システム(IPS)などのセキュリティ製品を利用したシステム面での対策だ。特定の脆弱性を突く攻撃を防ぐ「仮想パッチ」として機能する製品もある。ただし、「根本的な対策であるパッチ適用までの暫定対策であることを忘れてはならない」と強調する。

 脆弱性を減らす取り組みをシステムの開発時から進めることも重要だ。「システムの要件や設計にセキュリティの観点が十分に盛り込まれているかどうか、実装後の問題点の洗い出しが十分かどうかといったことの確認が重要になる」。こうした取り組みを徹底する方法として、中島氏は以下3点を挙げる。

  • 開発ガイドラインの策定・活用
  • 設計レビュー体制の整備
  • セキュリティ診断の実施

 多層防御自体は「新しい考え方ではないが、対策が広範にわたることもあり、コストがネックとなって取り組めていないユーザー企業が多い」と中島氏は指摘する。対策を進めるためには、従業員のセキュリティアウェアネスを向上させたり、試験的なセキュリティ診断で脅威の可視化を進めてセキュリティ対策の重要性を周知するのも有効だという。守るべき情報やシステムを明確にし、セキュリティとコストのバランスを取ることも重要になる。

トリアージ:“グレー”なイベントを実害防止に活用

 中島氏が指摘するもう1つのポイントが「トリアージ(選別)」だ。発生したイベントに対して、それが脅威なのかどうか、脅威であれば何をすべきなのかなどを判断するのがトリアージである。各種セキュリティ製品やシステムから収集したログやトラフィック情報を活用し、対策の要否を判断する。

 なぜトリアージが重要になるのか。それは「セキュリティ製品の進化により、“グレーイベント”への対処が課題となってきた」からだと中島氏は指摘する。例えば最近のセキュリティ製品は、サンドボックスを利用したマルウェアの動的解析などにより、「攻撃とは断定できないが、完全に安全とはいえない」といった事象(グレーイベント)を把握できるようになった。

 「グレーイベントに迅速かつ適切に対処することで、被害を最小限に抑えることができる可能性がある」と、中島氏は説明する。国内で発生した標的型攻撃の主要な事例から判断すると、マルウェア感染から情報漏えいといった実害の発生までの期間は「必ずしも短くないと推測される」。仮にシグネチャが用意されていない未知のマルウェアに感染したとしても、その間の活動をグレーイベントとして検出すれば、実害が発生する前に対処できる可能性が高まる。

 ここで課題となるのが、グレーイベントが本当に攻撃であるかどうかを判断するトリアージを行うための人的リソースとノウハウの確保だ。セキュリティの専門家を一定数確保し、かつ最新のノウハウをアップデートし続けるとなると、自前で十分に実現できるユーザー企業は限られる。最近は、攻撃の予兆検知を支援する目的で、システムやネットワークのログを相関分析する「セキュリティ情報イベント管理(SIEM)」製品も充実しつつある。ただし、現状が危険かどうかの判断基準はユーザー企業のシステム環境や状況によっても異なるといったことから、「SIEMを導入しても、最終的には人の判断が重要になる」。

 有効な対策として中島氏が指摘するのは、「マネージドセキュリティサービス」や「組織内CSIRT(Computer Security Incident Response Team)構築支援サービス」など、セキュリティの専門家の知見を活用できるサービスの活用だ。グレーイベントの分析を外部のセキュリティ専門家に任せることで、トリアージをしやすくする。

ITmedia マーケティング新着記事

news061.jpg

インフルエンサーがスポーツ観戦で最も利用しているSNSは「Instagram」――LIDDELL調べ
東京五輪の開催中に情報収集や投稿でSNSを活用すると回答した人は全体の96.9%に上りまし...

news031.jpg

ライブコマースを今始めるべき理由と成功するためのポイント 17LIVEのCEOに聞く
オンラインでのショッピング体験の充実がコロナ禍の課題となっている。新たな手法として...

news148.jpg

ミレニアル世代とZ世代 日本では5割超が経済見通しを悲観――デロイト トーマツ調査
ミレニアル世代とZ世代では組織で成功するスキルとして「柔軟性・適応性」を挙げた人が最...