現在のセキュリティ対策は、従来の防御偏重ではなく、万一の被害を抑止する「インシデント対応」が重視されている。だが、Check Point Software Technologiesのインシデント対応チームで上級セキュリティアナリストを務めるRaymond Schippers氏は、「脅威の兆候を見つけ、事前に防げるように備えることも大切だ」と話す。
Check Point Software Technologies インシデント対応チーム 上級セキュリティアナリストのRaymond Schippers氏
Schippers氏は、非IT系の複数の企業で10年以上にわたってセキュリティ対策を担当し、2012年にCheck Pointに入社した。現在は同社のインシデント対応チームで、アジアや中東・アフリカ地域を統括し、セキュリティ脅威の調査・分析と顧客企業での対策支援を担当する。
サイバー攻撃をはじめとする脅威の高度化に伴って、従来のセキュリティ対策では脅威を防ぎ切れず、情報漏えいなどの被害が日常的に発生している。「防御にこだわるセキュリティ対策は"遺物"」という厳しい声も聞かれ、現在では「防御」と「対応」の2つに取り組まなければならない。ただ、「対応」が重要とは言え、やはり企業にとって被害の発生は防ぎたいところ。このため、セキュリティ対策では脅威をいち早く検知するための「監視」も必須とされている。
Schippers氏の観点は、この監視を「サイバー犯罪者が攻撃を始める前」に広げることにある。同社のインシデント対応チームでは、インターネットのアンダーグラウンドにおけるサイバー犯罪者の素性や活動状況、彼らのコミュニケーションを常に監視し、特定の企業や組織を狙う兆候が表れた時点で、標的になる恐れのある企業や組織に注意を呼び掛け、防御態勢を事前に講じられるように支援しているという。
「具体的な監視方法などは明かせないが、例えば、標的を決めた犯罪者は標的に関する情報を集めることから始める。そのような兆候を監視し、犯罪者の過去の行動パターンや手段といったさまざまな情報を加味して分析する。少なくとも、彼らが攻撃を開始する48時間前には計画内容が分かる」(Schippers氏)
Schippers氏のコメントは夢のような話だが、同氏によれば、サイバー犯罪者の心理や行動を知ることで、事前の備えを通じて実際にサイバー攻撃を止められる場合があるという。
「以前には、プライベートエクイティファンドの役員を標的にする犯罪者を発見し、標的型攻撃メールを仕掛ける計画だと分かった。攻撃が実行される3日前に、役員に注意を呼び掛け、メールへの返信方法や送金を依頼された場合に必ず相手に電話で確認するようアドバイスして、被害を免れた」(Schippers氏)
このケースの他に、自動車メーカーが保有するエンジン制御ソフトウェアの技術情報を盗み出そうとしたサイバー攻撃を未然に防いだ実績もあるという。
セキュリティの脅威には、外部からのサイバー攻撃や内部関係者による不正行為、標的型攻撃や無差別型攻撃などさまざまな種類がある。犯罪者の目的も、金銭の獲得やライバルを出し抜くための情報窃取、相手を困らせる妨害など、さまざまだ。
Schippers氏によれば、脅威は突然に出現するものではなく、必ず兆候を伴う。企業や組織は、脅威の中で自分たちにとって何がリスクであり、狙われる資産などが何であるかを見極め、それを守り抜く取り組みを事前、事後を含めて実行しなければならない。「事前防御」か「事後対応」のどちらかではなく、可能な限り脅威を予見して未然に防ぎ、万一の事態も収束させていけるバランスの取れたセキュリティ対策を目指すべきとなる。
国内では、2020年の東京五輪でサイバー攻撃が懸念され、その対策に向けた取り組みが各所で進められている。全く新しいタイプの攻撃がいきなり出現する不安もあるが、既に発生している攻撃の内容や規模に変化が起こる可能性の方が現実的だろう。
例えば、日本の捕鯨に反発する海外組織などによるとみられる分散型サービス妨害(DDoS)攻撃が時折発生している。Schippers氏に、この攻撃の脅威が2020年に増加するのかを尋ねると、「もちろん、そうなるだろう」と答えた。
