村田氏 突破されたときにどうするのかという考えだと、突破されてるということは結局抜けてるということです。ただ、重要なハイバリューターゲット、重要なデータがあるところだとか、情報が全部出ていくような経路があるのであれば、全トラフィックをちゃんと見ておく。それでフォレンジックのような形で全部のデータを取っておいて、サイバーキルチェーンのプロセスに則った形できちんと分析できるようにしておく。
ブルーコートシステムズ エンタープライズ・ソリューションズ・アーキテクト 村田敏一氏特に危機管理が重要な金融機関や、製造業・官公庁などを中心とした顧客企業・組織をサイバー攻 撃の脅威から守るための対策やソリューションを提案している
たとえばそのキルチェーンのどのフェーズに危険なものがいるのか、データをすぐに抽出してアナリティクスができるような製品を入れておけば、たとえば”センサ”の場合はシグネチャベースで反応するので、そもそもシグネチャがなければ反応できないですよね。パケットを全部とっておいて、ほぼリアルタイムに分析できる、何か起きてもちゃんとデータが残っていて、かつそれをきちんと分析する手段がきちっと乗っていれば、後からでもきちんとわかると思います。
外村氏 染谷さんのおっしゃった通りだと思っていて、突破されないことがゴールではなく、ゴールは守るべきものが守られているかどうか。守られているというのも、たとえば漏えいなら漏えいがゼロなのか、あるいはゼロではなく、どのくらいの漏えいをどのくらいの時間で把握できているか、かつその問題点がどこで、たとえば1時間以内に元の状態に戻せるようなことが、ちゃんと回っているのであれば、突破されるかされないかというのはひとつの事象でしかない、と捉えられると思います。
ビッグデータに関連して言うと、今は何も起こっていなくても自分たちにどういう攻撃が来ているか、あるいは自分たちだけではなく同じ業界でどうなっているかなども把握できるわけですね。そういうことを知っておくことによって、攻撃されつつあることを把握して防御壁を少し上げておく。それもある意味レジリエンスなのかもしれませんが、そういうことも将来的には可能になってくるかもしれません。そういうのも織り交ぜて考えると、いろいろな対策が考えられると思います。
染谷氏 標的型攻撃のリスクへの対策を考える中で、今回の年金機構の話でもそうでしたが、必ず出てくるのが「特効薬はないんですか」という質問です。でも特効薬は「ない」。あったらどのセキュリティベンダーもその特効薬に全てのリソース注入して開発しています。やはり世の中に完璧なサイバーセキュリティがないことと一緒で、特効薬はないのです。それをいかに肝に銘じて対策しなければならないか。
攻撃手法についても標的型メールや水飲み場型攻撃など、いろいろあります。単純に標的型メールを見ても3~4年前までは、たとえばOfficeのアプリケーションの脆弱性を突くようなものが大半を占めていたのが、今は実行ファイルがベタでつけられるようなのが大半を占めています。
あるいは、攻撃者が起点として持っているC&Cサーバをみても、攻撃者が起点として持っているC&Cサーバをみても、一昔前はどこの国だかもよくわからないようなホステッドサービスを使っていました。それが、2014年の日本への標的型攻撃の半分近くは、日本国内の正規のウェブサイトが改ざんされて、それがC&Cサーバ化されて攻撃されているわけですね。
つまり、攻撃の手法はどんどんどんどん変わっていくわけです。それにいかに順応していくことができるかですよね。そこが、先ほどお話しのあったセキュリティのライフサイクルをいかに回していくかだと思います。そこがセキュリティ対策を考えていく上で、大事なポイントになると思います。
――了
