宮園氏は「第1段階では、マルウェアの怪しい動きを迅速に察知することが肝要」として、「マルウェア侵入検知ソリューションや、成りすましを防止するPKIソリューションなどが有効である」とする。また、この段階では従業員に対する継続的な啓蒙や教育も重点となる。「マルウェアが侵入するとどういう事態になるのか、知っているだけでも危険防止につながる」(同)からだ。
第2段階では、内部の監視、認証の強化が鍵となる。データ損失防止ソリューション、ネットワーク・セキュリティ監視ソリューション、認証強化ソリューション、アクセス監視ソリューション、ログ監視ソリューションなどが防護策として効力を発揮するという。宮園氏は「情報の重要度、活用状況、存在場所を明確に把握する必要がある。情報の利用ポリシーを策定しておき、違反があった場合の対応方法を決めておくことが重要だ」(同)とする。
第3段階では、攻撃が実行され、後処理、つまり、攻撃の痕跡を抹消するなどの動きがある。ここでも、ネットワーク・セキュリティ監視ソリューション、ログ監視ソリューション、データ損失防止ソリューションなどが武器となる。異常な振る舞いの検出、ログ記録の保持・管理による迅速な証拠保全、ログ改ざんの検知、防止などにより、窃取された情報が外部に流出することを防ぐことにつながる。
EMCジャパンでは、高度な攻撃への対応を支援するさまざまなソリューションをそろえている。ログの監視は「RSA envision」が担う。「ログを収集し、リアルタイムで監視、分析し、怪しいログを検知できる」(同)。パケットの監視ツールとしては「RSA NetWittness」がある。ファイルを分析し、流入経路・方法などを検知し、「マルウェアの疑いがあるものをあぶりだす」(同)ことができるという。
最後に、宮園氏は、標的型サイバー攻撃に対抗するための7つの提言を示した。
- 情報収集と分析力を向上させる
- 高度なモニタリングを実施する
- アクセス制御を見直す
- 効果的なユーザー教育について重点的に取り組む
- 経営陣の全面的なバックアップを得る
- ITを再構築する
- 知識を交換する場に積極的に参加する