企業が今なすべきセキュリティ対策とは何か。NRIセキュアテクノロジーズは、調査結果を基に企業が注目すべき3つのポイントを導き出した。その概要を説明する。
最新の脅威動向を基に、適切なセキュリティ対策を検討する。こうしたニーズに応えるべく、NRIセキュアテクノロジーズ(以下、NRIセキュア)が発行しているのが、同社のセキュリティサービスを通じて取得したデータを基に毎年制作しているリポート「サイバーセキュリティ 傾向分析レポート」だ。同リポートの2013年版では、企業がセキュリティ対策を進める上で注目すべき3つのポイントをまとめている。その内容について、NRIセキュア コンサルティング事業本部 テクニカルコンサルティング部の中島智広氏の話を基に説明する。
リポートで紹介しているセキュリティ対策のポイントは、以下の3つだ。それぞれについて詳しく見ていこう。
中島氏が「最優先に取り組むべきだ」と主張するのは、従業員のセキュリティ意識(セキュリティアウェアネス)の向上だ。「セキュリティに対する従業員の意識が高まっていなければ、対策が十分に生かせない」のが理由だ。
特定の企業や組織を狙ってメールを送信し、添付したマルウェアを開封させたり不正なWebサイトに誘導したりする「標的型メール攻撃」の巧妙化、悪質化が進んでいることも、セキュリティアウェアネスの向上が求められる背景にある。文面の工夫や送信者の偽装などで同僚や取引先からのメールに見せ掛ける標的型メール攻撃は、セキュリティ製品だけで実害を防ぐのは難しい。NRIセキュアが「標的組織の公開情報を活用し、かつ特定の受信者に向けた内容」の模擬標的型メールを用いた訓練を実施したところ、37.5%の人が模擬標的型メールを開封してしまったという(図1)。
標的型メールの開封率を抑えるには、セキュリティ企業が提供する「標的他メール攻撃訓練サービス」を利用し、標的型メールに関するセキュリティアウェアネスを高めるのも選択肢の1つだと中島氏は指摘する。ただし、巧妙に工夫された標的型メールの場合、いくら訓練を実施しても開封率を0%に抑えるのは不可能に近い。とはいえ、「明らかに不審なメールを開封するといった不用意な行動を抑止したり、セキュリティポリシーの順守を徹底させる上では、訓練や研修などを通して従業員のセキュリティアウェアネスの向上に務めることには一定の効果がある」。
もう1つのポイントが「多層防御」だ。ただし、ここでいう多層防御は、ゲートウェイやエンドポイントに複数のセキュリティ製品を導入することに限らない。「システム面だけではなく、アプリケーションの開発プロセスや運用スキームも含めたセキュリティ対策」という意味だと中島氏は説明する。
例えばシステムに脆弱性がある場合、脆弱性をふさぐパッチの適用が根本的なセキュリティ対策となる。ただし、パッチ適用による他システムへの影響を検証する手間が掛かり、パッチ適用がすぐにできないケースは多い。
脆弱性を突いた攻撃が発生するまでの期間が短くなっていることも、検証の困難さを引き上げている。「2011年度(2011年4月〜2012年3月)は、脆弱性の発見から攻撃まで1〜3週間程度かかっていた。だが2012年度(2012年4月〜2013年3月)は1週間以内に攻撃が発生するケースが珍しくなくなった」(図2)
対策の1つとして中島氏が指摘するのが、Webアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)/侵入防御システム(IPS)などのセキュリティ製品を利用したシステム面での対策だ。特定の脆弱性を突く攻撃を防ぐ「仮想パッチ」として機能する製品もある。ただし、「根本的な対策であるパッチ適用までの暫定対策であることを忘れてはならない」と強調する。
脆弱性を減らす取り組みをシステムの開発時から進めることも重要だ。「システムの要件や設計にセキュリティの観点が十分に盛り込まれているかどうか、実装後の問題点の洗い出しが十分かどうかといったことの確認が重要になる」。こうした取り組みを徹底する方法として、中島氏は以下3点を挙げる。
多層防御自体は「新しい考え方ではないが、対策が広範にわたることもあり、コストがネックとなって取り組めていないユーザー企業が多い」と中島氏は指摘する。対策を進めるためには、従業員のセキュリティアウェアネスを向上させたり、試験的なセキュリティ診断で脅威の可視化を進めてセキュリティ対策の重要性を周知するのも有効だという。守るべき情報やシステムを明確にし、セキュリティとコストのバランスを取ることも重要になる。
中島氏が指摘するもう1つのポイントが「トリアージ(選別)」だ。発生したイベントに対して、それが脅威なのかどうか、脅威であれば何をすべきなのかなどを判断するのがトリアージである。各種セキュリティ製品やシステムから収集したログやトラフィック情報を活用し、対策の要否を判断する。
なぜトリアージが重要になるのか。それは「セキュリティ製品の進化により、“グレーイベント”への対処が課題となってきた」からだと中島氏は指摘する。例えば最近のセキュリティ製品は、サンドボックスを利用したマルウェアの動的解析などにより、「攻撃とは断定できないが、完全に安全とはいえない」といった事象(グレーイベント)を把握できるようになった。
「グレーイベントに迅速かつ適切に対処することで、被害を最小限に抑えることができる可能性がある」と、中島氏は説明する。国内で発生した標的型攻撃の主要な事例から判断すると、マルウェア感染から情報漏えいといった実害の発生までの期間は「必ずしも短くないと推測される」。仮にシグネチャが用意されていない未知のマルウェアに感染したとしても、その間の活動をグレーイベントとして検出すれば、実害が発生する前に対処できる可能性が高まる。
ここで課題となるのが、グレーイベントが本当に攻撃であるかどうかを判断するトリアージを行うための人的リソースとノウハウの確保だ。セキュリティの専門家を一定数確保し、かつ最新のノウハウをアップデートし続けるとなると、自前で十分に実現できるユーザー企業は限られる。最近は、攻撃の予兆検知を支援する目的で、システムやネットワークのログを相関分析する「セキュリティ情報イベント管理(SIEM)」製品も充実しつつある。ただし、現状が危険かどうかの判断基準はユーザー企業のシステム環境や状況によっても異なるといったことから、「SIEMを導入しても、最終的には人の判断が重要になる」。
有効な対策として中島氏が指摘するのは、「マネージドセキュリティサービス」や「組織内CSIRT(Computer Security Incident Response Team)構築支援サービス」など、セキュリティの専門家の知見を活用できるサービスの活用だ。グレーイベントの分析を外部のセキュリティ専門家に任せることで、トリアージをしやすくする。
Copyright © ITmedia, Inc. All Rights Reserved.
Boseが新型イヤホンをアクセサリーに CMOが語る「オシャレ推しに転じた理由」は?
2024年2月にオープンイヤー型のイヤホン「Bose Ultra Open Earbuds」を発売したBose。従...
「コミュニティー」の正解はオフライン? オンライン? トレジャーデータがコロナ禍で学んだこと
Treasure Data CDPユーザーが主体となって活動するコミュニティー「Treasure Data Rockst...
ニトリやサツドラも導入 自社ECで「Amazonのようなビジネス」を実現するサービスの魅力
オンラインマーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新た...