侵入者が最も嫌がる対策は「エンドポイントセキュリティ」、だけど投資は低調？：「ハッカー視点のセキュリティレポート」の気になる中身【後編】（1/2 ページ）

侵入者が最大の障害だと考えているセキュリティ対策と、侵入を防ぐためのセキュリティ投資先との間には大きな違いがあるようだ。侵入テスト実施者やハッカーを対象とした調査結果から実態を探る。

[Michael Heller，TechTarget]

侵入者にとっての「最大の障害」とは

　前編「ハッカーが評価する『脆弱性攻撃ツール』の種類とは？　独自調査で判明」に続き、フォレンジック（証拠保全・分析）ベンダーのNuixが公開したサイバーセキュリティレポート「The Black Report」の内容を基に、企業のセキュリティ対策の現状を探る。このレポートは、米ラスベガスで2016年7月末から8月上旬に掛けて開催されたセキュリティカンファレンス「Black Hat」「DEF CON」でペネトレーションテスターやハッカーを対象に実施した調査結果に基づく。IT担当者やITベンダーなど“定番”の情報源とは異なる、侵入者視点での生々しい調査結果を見ていこう。

併せて読みたいお薦め記事

「エンドポイントセキュリティ」再浮上のなぜ

• 枯れたはずの「エンドポイントセキュリティ」が再び“熱い技術”になった2つの理由
• 「次世代エンドポイントセキュリティ」は今までのウイルス対策と何が違うのか

失敗しない「学校IT製品」の選び方：不正侵入対策編

• 学校システムへの不正侵入が招く「最悪のシナリオ」とは？
• 「無線LAN」が学校のセキュリティ対策を台無しにする“真犯人”だった？

防衛対策

　このレポートでは、回答者の半数が攻撃ごと、38％が6カ月ごとに戦術を変えていると報告している。戦術を変える理由として、56％の回答者が新しい攻撃手法を習得するためだと答えている。この回答者は「単に知識を習得するためだけに新しい戦術を学んでいるのではない」と、ペネトレーションテストベンダーRendition Infosecの創設者でCEOのジェイク・ウィリアムス氏は指摘する。新しい手法を学び続けなければ、役に立たない手法しか使えずに行き詰ってしまうからだ。

　「戦術は変えざるを得ない」と、過去にブラックハットハッカー（技術を悪事に利用するハッカー）として活動し、現在はペネトレーションテストベンダーRhino Security Labsでアセスメントディレクターを務めるヘクター・モンセガー氏は言う。攻撃の範囲や標的、環境などの条件が変われば、攻撃自体も変わる。「新しい脆弱（ぜいじゃく）性や構成、ソフトウェアなどが見つかると、新しい要素に対処するために途中で戦術を変えることになる」とモンセガー氏は説明する。

　フォレンジック（証拠保全・分析）ベンダーであり、この調査を実施したNuixの最高情報セキュリティ責任者（CISO）、クリス・ポーグ氏は「防衛対策を回避しようとするハッカーの方が高い柔軟性を持ち合わせている場合、防衛対策はほとんど、あるいは全く効果を発揮しない」とこのレポートに記している。「防衛側は、もはや使われていない攻撃パターンに対抗し続けることになる」（ポーグ氏）

　この事実は「セキュリティプログラムに、現実的で明確な目標を掲げたペネトレーションテストを組み込むことの重要性を明示している」とポーグ氏は語る。変わり続ける攻撃戦術に後れを取らないためには、セキュリティ対策を継続的に評価して強化するしかない。

　残念ながら、有効な対策という点では、調査結果は専門家を落胆させることになった。ペネトレーションテストで最大の障害となるのはエンドポイントセキュリティ（36％）で、次いでランクインしたのが侵入検知／防止システム（IDS／IPS、29％）、ファイアウォール（10％）だった。ただし回答者の22％は「十分な時間があれば、どのような対策がなされていても攻撃を成功させられる」と答えている。

　この回答は、セキュリティ予算の有効な投資先に関する質問の回答と矛盾すると、複数の専門家が指摘する。セキュリティ予算の投資先として多かった回答は順に、IDS／IPS（37％）、ペネトレーションテスト（25％）、データ検疫／情報ガバナンス（21％）だった。エンドポイントセキュリティは、36％の回答者がペネトレーションテストの最大の障害であると答えているにもかかわらず、有効な対策として挙がっていないのだ。