【第16回】 2015年9月7日
ネット上の“監視カメラ”で
怪しい行動を見つけて未然に防ぐ
では、こうした状況のなか、どうやってサイバー攻撃に立ち向かうべきなのでしょうか。
それには、敵をよく知ることが必要。ハッカー攻撃には、次のようないくつものステップがあります。まず、脆弱性を探して特定のPCからシステムに入り、マルウェア(悪意のあるソフトウェア)をクリックさせる。次に、PCから横展開させ、標的のデータが格納されているサーバを探して入り込む。そして、ハッカーと連絡を取り、その指令を受けて情報を盗むという具合です。
このステップのうち、どこかを止めれば、情報漏えいを防ぐことは可能です。
そこで今注目され始めたのは、企業や組織内のデータのやり取りに異常がないかを自動的に監視して、怪しいと思ったら警告する「振る舞い検知」の技術です。
例えば、「これまでの攻撃パターン」や「営業担当者が設計図にアクセスするのは不自然」といった経験則をもとに、攻撃ウイルスに似たような怪しい動作をするプログラムを探知するというものです。いわばネット上に“監視カメラ”をつけて被害を未然に防ぐようなもので、これなら「亜種」や未知の攻撃ウイルスにも対応できます。
ただし、実際の監視カメラと同じく、怪しいプログラムが完全に“クロ”と判定されたわけではないので、カメラに映った怪しい人を“職務質問”するように、怪しい振る舞いをするプログラムは企業内のネットワークから切り離された場所(「サンドボックス(砂場)」といいます)で実際にあれこれ動かしてみて、本当に犯罪プログラムなのかを見極める必要があります。
もちろん、一斉検問をするように、常にすべてのデータのログを同じように調べられればいいわけですが、あまりにも処理するデータ量が多すぎてもはや企業では対応できません。怪しいものを絞り込んでいくほうが断然効率がいいでしょう。
とくに、これからIoTが進展していけば、データ量はますます膨大になりますから、とても人手には頼れません。自動化していくサイバー攻撃に立ち向かうには、セキュリティも自動化していくことが必須。 “目には目を歯には歯を”というわけです。
(構成/河合起季)
)
