ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

攻撃者はエキスパート。
守る側は英知を結集し連携せねば勝ち目はない

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第2回】 2015年3月6日
著者・コラム紹介バックナンバー
previous page
5
nextpage

人間の限界を補う
ビックデータ解析

 前回のコラムでも紹介したが、一般的にセキュリティ対策装置で脅威を検知すると、ハイ・ミディアム・ローなど3~4段階でリスクレベルを表現する。しかし攻撃者側はこの仕組みを熟知しているから始末が悪い。彼らは運用担当者が大騒ぎを始める「ハイレベル」に至らぬ「ミディアムレベル」の攻撃を組み合わせて、企業のLANに侵入しようと試みる。

 たとえばWebサイトからの攻撃の場合、ミディアムレベルの攻撃を3回程度組合せ、しかも全て異なるWebサイトに自動的に接続(リダイレクト)することで、散発的な攻撃や正常な通信に見せかける。運用担当者は大量のイベントの一つとして経過観察しているが、同じ攻撃元から再度の攻撃が来ないため、対応の優先順位を下げてしまう。もっと頑張れ!と言いたいところだが、当社のLANの入り口に設置したIPS(侵入防止システム)だけでも毎日100GB程度のイベントログが発生し、そのイベント数は億単位であり人間業では対応できない。

 そこで当社では、NTTグループの研究成果を凝縮したログの相関分析エンジンを独自に開発し、(5)総合ログ分析を実施している。

 これにより、(4)リアルタイムマルウェア検知サービスでも発見できなかった脅威を検出しており、重篤な被害に至る前に対策が実施できている。具体的な分析方法を紙面で説明することは控えざるを得ないが、攻撃者は明らかにプロである。よって守る側は攻撃者の意図を理解して、あの手この手で脅威を炙り出す必要があり、専門家の経験値をビックデータ解析エンジンに実装することで、リアルタイムでの攻撃の検知が可能となっている。この手法が有効な時間は比較的短いかもしれないが、攻撃者の裏をかきつづける営みを止めるわけにはいかない。

新しいエンドポイント対策
(パソコンやサーバにおける対策)の必要性

 当社で導入している(4)リアルタイムマルウェア検知サービスや、(5)総合ログ分析サービスは、LANの中継部分に設置しチェック機能を働かせる対策として進化してきた。

 しかしここまで対策を実施しても、不安はぬぐえない。

 なぜならログの相関分析により攻撃はほぼリアルタイムに検知しているものの、残念ながらその攻撃はパソコン等の端末に届いてしまっている事実がある。つまり(5)総合ログ分析で攻撃を検知した場合でも、時間差で対策が間に合わなかった場合は、マルウェアがパソコンに侵入し潜伏してしまうのである。

previous page
5
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

小山 覚
[NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。

情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧