サイバー攻撃は次々と新たな手法が編み出され、その内容も巧妙化する中、攻撃を未然に防ぐことは非常に難しい。今考えるべきは防御を堅固にすることではなく、防御を突破された後に何をすべきかだ。
では、具体的にどうするべきなのか。その手掛かりをつかむため、4月15日、ZDNet Japan主催セミナー「セキュリティ再考-脅威の侵入を確実に察知し、侵入後の被害を広げにくいシステムのあり方は?」が開催された。基調講演と特別講演の模様をレポートする。
既存資産を流用して効率的な「内部対策」を実現--IPA佳山氏
基調講演に登壇したのは、独立行政法人情報処理推進機構 技術本部 セキュリティセンター 研究員である佳山こうせつ氏だ。佳山氏は「高度標的型攻撃対策に向けたシステム設計ガイド」と題した講演で、防御における実践的な考え方やシステム設計の勘所について解説した。
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
研究員 佳山こうせつ氏
冒頭ではセキュリティ脅威の変遷を解説。時期ごとに問題となる脅威は変化しており、視点や対象、攻撃者の目的にも変化がある。それらは完全に転換しているのではなく、積み上がっていると佳山氏は指摘した。
常に新しい脅威が登場し、新しい対応を迫られているようではあるが、過去に実施した対策が直近の脅威への対応に役立つことも多いという。
「過去の対策が役立つこともある。現場でもらうログの中に、個人情報保護法対策で入れたPCのログがあるが、非常に役立つ。元々は職員の行動を確認するものだったが、攻撃者の足跡も残っている。そうした資産をどのように流用するのかというのも、対策を考える上で重要なキーワードになる」
こう語った佳山氏は、流用を可能にするために必要なのは、システムのグランドデザインを持つことだと強調した。
セキュリティの脅威は時代により変化してきたが、その対策は現在に至るまで積み重なった状態にある
※クリックすると拡大画像が見られます
2009年ごろから攻撃者は目的をどのように達成するのかというグランドデザインを持つようになった。「攻撃者のグランドデザインが出来上がっているものに対して、われわれ守る側はグランドデザインができているのか。ぜひ問題意識として持ってもらいたい」と佳山氏。
攻撃者の目的や対象に着目してセキュリティにおける整理を行なう方法を紹介したほか、近年は侵入の手口が高度化していることなどをデモンストレーションを交えて解説。複数の組織にまたがった攻撃が増えているため、単一組織で対応しても全貌が分からないなど従来型の対応だけでは厳しい状況になってきていることも語られた。
具体的な対策の参考資料としては「IPAガイド」が紹介された。冊子化したものが当日の参加者には配布され、講演の後半では「IPAガイド」で取り上げた内容について解説した。
「ウイルスに感染するのが怖いのではなく、その後、そこから侵入を拡大されることが怖いのだということに、頭のチャンネルを切り替えてほしい」と佳山氏。
「止められるものは止める。業務上止められないものもあるが、それは絞った上で監視する。対策を複数散りばめ、段階ごとに見つけられるポイントを散りばめて、どこかで見つける」という手法を提示した。これが「IPAガイド」で示されている「内部対策」の考え方だ。
「IPAガイド」で内部対策を行なうにあたって基盤構築段階で取り組むべきものを3種に分類
※クリックすると拡大画像が見られます
内部侵入および調査段階についても3つのセットに分類して解説している
※クリックすると拡大画像が見られます
内部対策を行なう上で重要になるのが、先に述べた既存資産の流用だ。攻撃の全貌と狙われている弱点を理解してシステム設計に反映することと、システム全体でバランスの取れた対策を考えることがポイントになるという。
「防御のグランドデザインとしてとらえ、守るべき場所を決めたら、ここは既存のものが流用できる、ここは不足しているから新しい製品を買おうと判断できる」と、佳山氏は語った。
