被害を最小化するレジリエントセキュリティ

エンドポイントセキュリティの強化が被害を最小化する

星澤裕二 神薗雅紀

2016-01-15 07:00

 前回は、ビジネスの継続性を維持するためにはリスクを把握しておく必要があり、何をすればサイバーセキュリティリスクを把握したことになるのか、さらには把握方法などについて解説した。サイバーセキュリティリスクの把握後は、適切なセキュリティオペレーションの実施が必要となるが、昨今さまざまなインシデントが後を絶たない。

 そこで第5回目となる本稿では、近年のサイバー攻撃の特徴を踏まえた上で現状のセキュリティオペレーションの課題を整理し、サイバーセキュリティリスクの把握から本来組織が取るべき対応を解説する。

近年のサイバー攻撃の特徴

 攻撃者はエンドポイントを狙い、攻撃を仕掛けてくる。

 近年のサイバー攻撃は、組織ネットワークの多層防御などが進んだこともあり、特にエンドポイント(端末)を狙うようシフトしてきた。主な手口としては、不正な仕掛けを施したウェブサイトのURLを記載したメールを送信し、ユーザー自らに当該URLをクリックさせることでウェブサイトを閲覧させ、マルウェア感染させる手法(Drive-by Download攻撃)や、マルウェア添付メールを送付し、ユーザー自らに添付ファイルを開かせ感染させるようなものが多くみられる。脆弱性を利用しないケースも多々確認されている。

 これは、あくまでも攻撃の一例であるが、このような手法により組織ネットワークの多層防御をすり抜け、管理者権限をもって遠隔操作できるようにするRAT(Remote Administration Tool)と呼ばれるマルウェアをエンドポイントに仕込ませ、エンドポイントを起点に組織ネットワーク(多層防御内)内の秘密情報の搾取や破壊活動など、さまざまな攻撃を行う傾向にある。

現状のセキュリティオペレーションの課題

 では、先に述べた近年のサイバー攻撃の特徴を踏まえ、現状のセキュリティオペレーションの課題を考察する。

ネットワークレイヤでの観測が主体である

 昨今、サイバー攻撃対策としてさまざまなSOC(Security Operation Center)サービスが展開されている。その多くは、ネットワークレイヤ(組織における一部のネットワーク)の監視であり、主に組織ネットワークが外部(Internet)へ繋がる箇所を監視しているケースが多い。これは、導入などの容易さやコストが比較的に安価であるということもあり、広く利用されつつある。

 しかし、先にも述べた通りサイバー攻撃はエンドポイントを狙い、利用してくる。つまり、いくら社内外の境界ネットワークを監視していても、マルウェアなどの外部通信などの一部を把握できるのみであり、組織内の挙動はまったく把握することができない。

 このため、適切なレスポンスにつなげることができないケースが多い。また、仮に何らかの攻撃の一部をアラートとしてSOCが挙げたとしても、原因が何であるか、どのように経路で攻撃が進行されてきたのか判断できないため、今後いかにオペレーションすべきであるか、その指標にはならない。

各種アラートを調査・分析できない

 組織ネットワークでのサイバーセキュリティリスクは、各組織が導入しているセキュリティ製品などからのアラートとして把握できる場合がある。例えば、アンチウイルスソフトウェアやファイアウォール(次世代ファイアウォール)、サンドボックス、セキュリティ情報イベント管理(SIEM)など、さまざまなものが挙げられる。

 しかし、これらのアラートは基本的にはサイバー攻撃の一部を検知しているにすぎない。昨今の攻撃はエンドポイントを起点としているため、アラート内容を調査・分析するためには、結果的にエンドポイントの情報を収集し、調査・分析することが求められる。

 例えば、当該アラートの原因が何であるか、どこからどのようにマルウェアが侵入してきたかといったことを調査・分析する必要がある。このようなエンドポイントの情報を効率良く調査・分析することは、既存のセキュリティ製品では困難である。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]