検索
特集/連載

セキュリティ担当者を悩ます2つの敵:ハッカーと経営陣のお花畑思考ある大手調査会社のお粗末な事例

2013年の(ISC)2 Security Congressでは、セキュリティ担当者が2つの敵との戦いを余儀なくされていることが浮き彫りになった。そのうちの1つは内部の敵だ。

[Warwick Ashford,Computer Weekly] PC用表示 関連情報
Share
Tweet
LINE
Hatena
Computer Weekly

 シカゴで開催された(ISC)2 Security Congress 2013では、情報セキュリティ担当者が直面している課題に焦点が当てられた。攻撃がますます巧妙化していることもさることながら、セキュリティ担当者は業務部門の希薄な危機感と戦わざるを得ないケースが多いという。

 上級管理職の多くは、いまだに自分たちがサイバー攻撃の標的になるとは考えず、「盗む価値のあるデータなどない」と言うのが決まり文句だ。そのため、業務部門は基本的なセキュリティ管理や制御システムに投資しようとせず、何かセキュリティ上の問題が発生したらIT部門が面倒を見ると考えている。

Computer Weekly日本語版 2013年11月20日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年11月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 Ernst & Youngが発表した典型的な事例(企業名非公開)では、ある大手調査会社でセキュリティ侵害が発生したが、同社には情報セキュリティ責任者(ISO)もセキュリティオペレーションセンター(SOC)も存在しないことが判明した。アイデンティティーおよびアクセス管理はお粗末で、ネットワークもセグメント化されてなければ、侵入防止や侵入検知システムなどネットワークの状態を把握する機構も用意されていなかった。

 業務部門はITの問題を自力で解決することが奨励されており、ITポリシーはかなり以前に策定されたものだった。その結果、この会社では第三者によって通知されるまで、侵害の発生に気付かなかった。

 Ernst & Youngの調査担当者は、シグネチャベースのウイルス対策システムやその他のセキュリティシステムでは検出されないカスタムマルウェアの亜種を発見した。攻撃者は、高度にカスタマイズされた本物らしいフィッシングメールを利用して、データベースに接続できる19人のユーザーのみを標的にして会社のネットワークへのアクセスを成功させていた。

 このメールは会社のデータベースグループのメンバーである1人の社員を差出人に偽装し、本物を装った業務関連のイントラネットページにメール受信者を誘導していた。受信者がリンクをクリックすると、攻撃者の一連のツールが実行される仕組みだ。

学ぶべき教訓

 この事例には、幾つかの教訓が含まれている。

■自社に対する脅威の特性と、会社の運営、財務、知的財産、評判が受ける侵害の影響を把握することが重要である。

■継続的に会社のネットワークを監視し、できるだけ迅速に侵入を検知および緩和する機構を用意する必要がある。

■セキュリティポリシーと対応手順は定期的に更新して実践し、進化し続ける脅威に即した情報セキュリティを確立できるようにする。

■マルウェアは、ますますカスタマイズされ標的を絞るようになっているため、企業は未知の攻撃に備える必要がある。しかし、それは他の攻撃が消滅することを意味するのではない。基本のITセキュリティも依然として欠かせない。

■最も脆弱なポイントが人間であることは多い。そのため大半の攻撃には、ソーシャルエンジニアリングの要素が含まれている。従って、セキュリティ意識をはぐくむトレーニングは必須だ。

■標的型攻撃が使われたとしても、侵害の手順は変わらないことが多い。企業は、インテリジェンスを共有して、継続的に防御戦略に組み入れていくとよいだろう。

セキュリティプラクティスの採用

 攻撃者が役割(標的の組織の防御をかいくぐる役割)分担をしてチームを編成するようになっていることを踏まえ、セキュリティ担当者も戦術を変える必要があるというのが、セキュリティ業界の大方の見方だ。

 防御側が反撃に出る「攻撃的セキュリティ」という考えが一部の領域ではもてはやされているが、それ以外の領域では過度な対応に慎重な姿勢が取られている。このカンファレンスに登壇した多国籍のパネルメンバーたちは、サイバー攻撃への報復は有効ではないとしている。サイバー攻撃のソースを追跡する能力は向上しているものの、特に巧妙な攻撃においては、確証を持って追跡できることはまずないからだ。

 「ソースを特定できたとしても、報復はよい考えではない。攻撃はエスカレートし、ますます複雑になるのが常だからだ」と、非営利の米調査機関U.S. Cyber Consequences Unit(US-CCU)を率いるスコット・ボーグ氏は語る。

 (ISC)2のアプリケーションセキュリティアドバイザリーボードのメンバーであるトニー・バルガス氏は、攻撃的セキュリティは課題が多く、場合によっては誤りが命取りになると警告する。

セキュリティバイデザイン

 バルガス氏は、攻撃的セキュリティの代わりに、リスク認知と製品開発を通じて以下のようなプロアクティブなセキュリティを実現する戦略を薦めている。

続きはComputer Weekly日本語版 2013年11月20日号にて

本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る