本連載「松岡功の『今週の明言』」では毎週、ICT業界のキーパーソンたちが記者会見やイベントなどで明言した言葉をいくつか取り上げ、その意味や背景などを解説している。今回は、米EMCのEdward Schwartz CISOと、米Cuncur TechnologiesのSteve Singh CEOの発言を紹介する。
「標的型サイバー攻撃に対しては、予防だけでなく検知とその後の対応にも注力する必要がある」
(米EMC Edward Schwartz CISO)
米EMCのEdward Schwartz CISO
EMCジャパンが9月30日、米EMCのセキュリティ部門RSAのバイスプレジデント兼CISO(最高情報セキュリティ責任者)であるEdward Schwartz(エドワード・シュワルツ)氏の来日を機に記者会見を開いた。同氏の冒頭の発言は、その会見で、標的型サイバー攻撃(APT)への対応について述べたものである。
シュワルツ氏はこれまで情報セキュリティ分野で25年以上の経験を持ち、現在もCISOとして社内のセキュリティ対策を統括する一方、顧客企業のCISOにも幅広くアドバイスを行っているという。会見では、いま企業のセキュリティ対策で最も注目を集めているAPTをテーマに、最新事情を交えて自らの見解を語った。
シュワルツ氏はまずAPTと企業の関係について、原因の大半は標的となる人物に起因する人間的要素が絡んでおり、セキュリティ部門が対処しきれるものではないからこそ脅威になっている、との見解を示した。
同氏によると、具体的な攻撃手法としては、標的の人物に関係する内容でやりとりする「スピアフィッシングメール」、および標的の人物が関心を示すウェブサイトを改ざんしてマルウェアを感染させる「ウォーターホーリング(水飲み場型攻撃)」の2つで90%以上を占めるという。
とりわけ水飲み場攻撃では、「外部でマルウェアに感染したコンピュータが企業のネットワークに接続され、侵入されるケースが多い」とし、侵入されるとマルウェアが動き出すとともに、攻撃者が企業のネットワーク内部にアクセスするための「バックドア」が埋め込まれる形になるため、対処が難しくなっていくと説明した。
同氏によると、こうしたAPTに対しては、従来の予防型ソリューションだけでは限界があるという。「実際、米国の大手企業でもセキュリティ予算の7割が予防型ソリューションに充てられているが、こうした予算配分はもはや的外れだ」と指摘する。
では、どうすればよいのか。その回答が、まさしく冒頭の発言である。同氏曰く、理想的なのは、予防、検知、検知後の対応にそれぞれ均等に投資することだという。
せっかくの機会なので、あえてこんな質問をしてみた。「検知やその後の対応に注力するとしても、攻撃者とのいたちごっこは変わらないのではないか。APTの脅威を払拭する根本的な解決法はないのか」と。