ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

攻撃者はエキスパート。
守る側は英知を結集し連携せねば勝ち目はない

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第2回】 2015年3月6日
著者・コラム紹介バックナンバー
previous page
4
nextpage

 企業の玄関口に(1)IPS(侵入防止システム)/UTM(ファイアウォールやIPSを統合した統合脅威管理装置)/Proxy(企業LAN上のパソコンがインターネットと安全に通信するために、両者の境目に設置する中継サーバ)などを設置する対策は、どの企業でも常識であり疑う余地はない。しかし攻撃者はこれらセキュリティ装置の機能を熟知しており、これら装置が反応しづらい手法を取ることがある。

 たとえば、(2)攻撃者はメールやWebサイト経由で企業LANに攻撃をしかけるが、攻撃の成功率を高めるためには、過去に他組織向けの攻撃に使ったWebサイトやメールアドレスではなく、新しい攻撃の基盤を準備するだろう。つまり守る側は自社自身への攻撃を分析し、同じ攻撃元からの攻撃は二度と受け付けないような(3)独自のブラックリストを準備するべきである。

 従来型のセキュリティ対策の特徴は、過去に発生した自分以外の誰かに対する攻撃の外形的特徴をデータベース化し、その特徴に合致する通信や電子ファイルをブロックする方法が主流であった。しかしこの対策では新しい攻撃において最初の標的にされた場合は無防備であり被害を免れることができない。

 言うは易し行うは難しであるが、他人を攻撃した過去の情報に基づいて自分を守ることの危うさを理解し、自社への攻撃を分析する上でのノイズを除去するために、「他人を攻撃した過去の情報」を活用するのだと割り切った方が賢明である。もちろん当社は自らを攻撃したブラックリストを作成し自らを守る仕組みを運用している。

 攻撃の基盤を確保した攻撃者は、自分の分身として悪事を働くマルウェアを企業LANに送り込もうとする。キーボード操作で侵入するハッカーなどは映画の世界の話であり、実際は何らかのマルウェアが企業LANに送り込まれる。しかし前述の通り未知のマルウェアが大量に発生する攻撃者優位な状況にあるため、守る側も力技で全ての電子ファイルを仮想環境で実行し、不審な振舞いを確認する状態に陥る。

 当社では(4)「リアルタイムマルウェア検知サービス」と名付けて社内外に提供しているが、既にこの「Sandbox(サンドボックス)」と呼ばれるマルウェア対策手法を回避する攻撃手法も出てきており、多層防護的なセキュリティ対策が求められている。

previous page
4
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

小山 覚
[NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。

情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧