攻撃者がネットワークに潜んでいる！ それでも情報を守るには？：侵入される前提での防衛策

多重防御により組織のデータ資産を保護するべきだといわれるが、具体的にはどのような対策が必要なのか？

[Warwick Ashford，Computer Weekly]

　従来の安全なネットワーク境界モデルは今や意味を成さなくなり、部外者は既に会社のネットワークに侵入していると想定すべきだ。そう話すセキュリティの専門家は増えている。

　この数カ月、認証情報を盗む能力が攻撃者たちにあることを示す事件が実際に起きている。今や、攻撃者は既にネットワークに侵入し、正体を隠し、機密情報に近づける状態だと考えるしかない。これは防御戦略を考える上で何を意味するのか？　悪意を持つ部内者、そして既に企業ネットワークに入り込んでいる部外者から組織を守るにはどうすべきか？

Computer Weekly日本語版　2013年10月9日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　2013年10月9日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　2013年10月9日号：デバイスに支配されるインターネット

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

時間を稼ぐ

　対策の1つとして、とにかく攻撃者の進攻を遅らせることを業界のエキスパートは推奨する。不正行為を突き止め、対応できる時間を稼ぐのだ。監視システムとリスク評価システムを導入し、不審な行動を特定して対応するか、少なくともITセキュリティチームに警告が送られるようにしなければならない。

　そして、特権ユーザーによる重要なデータへのアクセスを制限し、監視する仕組みを用意して制御することが特に重要だ。特権ユーザーは、ネットワークとネットワークに接続しているシステムに自由にアクセスできる場合が多い。そのため、攻撃者は特権ユーザーに協力するよう誘いをかけるか、強制的に仲間に引き込もうとする。または、特権ユーザーの認証情報を付け狙う。アクセス制御がなければ、攻撃者が特権ユーザーの認証情報を手に入れた時点で、大手を振って会社の最も重要な機密情報にアクセスし、盗み出すことができる。

　しかし、このようなアクセス制御を準備し始めている組織は比較的少ない。米国の国家安全保障局（NSA）でさえ、内部告発者のエドワード・スノーデン氏を止めることはできなかった。もしNSAが特権ユーザーのアクセス制御を用意していたら、スノーデン氏は機密データにアクセスし、コピーすることはできなかっただろう。

監視し、検知し、対処する

　米データセキュリティ企業Vormetricのアラン・ケスラーCEOは、「銀行は、監視なしに清掃員が貸金庫ルームへ入室することを許可したりはしないだろう。しかし、システム管理者に会社のあらゆるデータへの自由なアクセスを許している企業は多い」と指摘する。

　正規の部内者を装うか、特権的アクセス権を持つ部内者を操り巧妙な攻撃を仕掛ける敵を前にして、データを保護できる唯一の手段は、攻撃対象領域を可能な限り縮小する戦略を採用することだ、とケスラー氏は言う。

　そこで欠かせない要素が、疑わしい行動を素早く検知し、手遅れにならないうちに対処できるセキュリティインテリジェンスだ。これには、データアクセスの制御および監視機能も含まれる。この機能によって、正規ユーザーを装った攻撃者が、検知されずにデータにアクセスするリスクを低減する。

　アクセス制御の具体策としては、特権ユーザーが各自の職務に関係のあるシステムやデータにしかアクセスできないようにすることが挙げられる。また、データに対して、承認された操作以外を実行不能にする。

　ユーザーIDを切り替えるコマンドを特権ユーザーが実行できないようにするのも有効だ。これなら、システム管理者がデータベースユーザーを偽装し、機密データにアクセスすることはできない。さらに、システム管理者が試みたID変更イベントをログに記録して、リスク管理およびセキュリティシステムによる分析と関連付けをするとよいだろう。

データを暗号化する

　データベースからコピーまたは移動される全てのデータを暗号化することも、データのセキュリティ対策になる。権限のないユーザーがデータにアクセスし、データを盗み出したとしてもデータは判読できない。

　しかし、協力会社やサプライヤーとデータを共有しなければならないケースが増えている。その場合、データのセキュリティを確保するにはどうすればよいのか？

続きはComputer Weekly日本語版　2013年10月9日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　2013年10月9日号：デバイスに支配されるインターネット