被害を最小化するレジリエントセキュリティ

エンドポイントセキュリティの強化が被害を最小化する

星澤裕二 神薗雅紀 2016年01月15日 07時00分

  • このエントリーをはてなブックマークに追加

 前回は、ビジネスの継続性を維持するためにはリスクを把握しておく必要があり、何をすればサイバーセキュリティリスクを把握したことになるのか、さらには把握方法などについて解説した。サイバーセキュリティリスクの把握後は、適切なセキュリティオペレーションの実施が必要となるが、昨今さまざまなインシデントが後を絶たない。

 そこで第5回目となる本稿では、近年のサイバー攻撃の特徴を踏まえた上で現状のセキュリティオペレーションの課題を整理し、サイバーセキュリティリスクの把握から本来組織が取るべき対応を解説する。

近年のサイバー攻撃の特徴

 攻撃者はエンドポイントを狙い、攻撃を仕掛けてくる。

 近年のサイバー攻撃は、組織ネットワークの多層防御などが進んだこともあり、特にエンドポイント(端末)を狙うようシフトしてきた。主な手口としては、不正な仕掛けを施したウェブサイトのURLを記載したメールを送信し、ユーザー自らに当該URLをクリックさせることでウェブサイトを閲覧させ、マルウェア感染させる手法(Drive-by Download攻撃)や、マルウェア添付メールを送付し、ユーザー自らに添付ファイルを開かせ感染させるようなものが多くみられる。脆弱性を利用しないケースも多々確認されている。

 これは、あくまでも攻撃の一例であるが、このような手法により組織ネットワークの多層防御をすり抜け、管理者権限をもって遠隔操作できるようにするRAT(Remote Administration Tool)と呼ばれるマルウェアをエンドポイントに仕込ませ、エンドポイントを起点に組織ネットワーク(多層防御内)内の秘密情報の搾取や破壊活動など、さまざまな攻撃を行う傾向にある。

現状のセキュリティオペレーションの課題

 では、先に述べた近年のサイバー攻撃の特徴を踏まえ、現状のセキュリティオペレーションの課題を考察する。

ネットワークレイヤでの観測が主体である

 昨今、サイバー攻撃対策としてさまざまなSOC(Security Operation Center)サービスが展開されている。その多くは、ネットワークレイヤ(組織における一部のネットワーク)の監視であり、主に組織ネットワークが外部(Internet)へ繋がる箇所を監視しているケースが多い。これは、導入などの容易さやコストが比較的に安価であるということもあり、広く利用されつつある。

 しかし、先にも述べた通りサイバー攻撃はエンドポイントを狙い、利用してくる。つまり、いくら社内外の境界ネットワークを監視していても、マルウェアなどの外部通信などの一部を把握できるのみであり、組織内の挙動はまったく把握することができない。

 このため、適切なレスポンスにつなげることができないケースが多い。また、仮に何らかの攻撃の一部をアラートとしてSOCが挙げたとしても、原因が何であるか、どのように経路で攻撃が進行されてきたのか判断できないため、今後いかにオペレーションすべきであるか、その指標にはならない。

各種アラートを調査・分析できない

 組織ネットワークでのサイバーセキュリティリスクは、各組織が導入しているセキュリティ製品などからのアラートとして把握できる場合がある。例えば、アンチウイルスソフトウェアやファイアウォール(次世代ファイアウォール)、サンドボックス、セキュリティ情報イベント管理(SIEM)など、さまざまなものが挙げられる。

 しかし、これらのアラートは基本的にはサイバー攻撃の一部を検知しているにすぎない。昨今の攻撃はエンドポイントを起点としているため、アラート内容を調査・分析するためには、結果的にエンドポイントの情報を収集し、調査・分析することが求められる。

 例えば、当該アラートの原因が何であるか、どこからどのようにマルウェアが侵入してきたかといったことを調査・分析する必要がある。このようなエンドポイントの情報を効率良く調査・分析することは、既存のセキュリティ製品では困難である。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]