情報「漏えい」という言葉は被害対応を妨げる--ファイア・アイの伊東CTO

渡邉利和 2019年04月19日 11時20分

  • このエントリーをはてなブックマークに追加
  • 印刷

 ファイア・アイは4月18日、最新のセキュリティーレポート「Mandiant M-Trend 2019」の日本語版を発表した。侵害検知までの時間の地域的な違いやサイバー犯罪組織の特徴の変化などについて解説している。

セキュリティ侵害を把握するまでの日数(出典:ファイア・アイ)
セキュリティ侵害を把握するまでの日数(出典:ファイア・アイ)

 同レポートは、2014年にFire Eyeが買収したMandiantが継続して発行しており、今回で10年目となった。中でも、セキュリティー侵害の発生から検知までに要した日数についての報告では、グローバルでは2011年に416日だったものが年々短縮され、2018年には78日になった。その一方、アジア太平洋(APAC)地域に関しては2018年で204日となっている。これはグローバルの2014年とほぼ同水準であり、APACでのサイバーセキュリティー対策がまだ遅れていることの表われだという。

ファイア・アイ 最高技術責任者(CTO)の伊東寛氏
ファイア・アイ 最高技術責任者(CTO)の伊東寛氏

 レポート解説に先立ってサイバーセキュリティーの最新トレンドを最高技術責任者(CTO)の伊東寛氏が説明した。一般に流布される情報と実態がかい離している例として、「個人情報の漏えいはサイバー犯罪の本流ではない」ことがあるという。その理由は、国内では個人情報保護法との関連で個人情報漏えいが発生した場合に大きく報道されるため、そこばかりに注目が集まる形になってしまっている。だが、実際には地政学的な情勢を踏まえた各国の諜報活動や、営利目的の犯罪集団の攻撃などが盛んに繰り返されているのが実情であり、こうしたサイバー犯罪の大きな構図を正しく認識しておくことが重要だと語った。

ファイア・アイ Mandiant サービス&インテリジェンス シニア・ディレクターの山口毅治氏
ファイア・アイ Mandiant サービス&インテリジェンス シニア・ディレクターの山口毅治氏

 次いで、Mandiant サービス&インテリジェンス シニア・ディレクターの山口毅治氏が、レポートの統計情報について説明した。前述の通り、侵害検知までの日数は、APACではグローバルよりも長いという結果だが、一度深刻な被害を受けた企業が再び標的にされてしまう割合もグローバルの64%に対してAPACは78%と高いことも紹介した。これは、APACでは被害発生後の対策構築にも甘く、グローバルに比べて対策が遅れていることの反映と見ることもできるだろう。

 最後に、シニアインテリジェンス アカウント アナリストの千田展也氏が、レポートの中でも特徴的な、国家支援型攻撃グループの最新動向と、同社実施のレッドチーム演習(サイバー攻撃対応の模擬訓練)から得た知見を紹介した。

ファイア・アイ シニア インテリジェンス アカウント アナリストの千田展也氏
ファイア・アイ シニア インテリジェンス アカウント アナリストの千田展也氏

 同社は、国家の支援を受けて活動していると見られるサイバー攻撃グループについて、国名を挙げて報告しており、十分な証跡が得られたグループに関しては「APTxx(xxは数字)」という識別名称を与えている。今回のレポートでは、新たに「APT37」「APT38」「APT39」「APT40」の4グループが追加された。APT37とAPT38は北朝鮮、APT39はイラン、APT40は中国だという。この中で特徴的としたのはAPT38だ。このグループは国家支援型でありながら営利目的で活動していると目される初めてのケースだという。

 また、レッドチーム演習の知見における興味深い指摘として、「疑わしい活動が、レッドチームや監査によって許可された活動に関連すると思い込まない」というものがあった。これは、レッドチーム演習と同時期にたまたま本物のサイバー攻撃も行われていたことから、それぞれを区別する必要が生じたという経験に基づくものだ。レッドチーム演習の側でいつ、どのような手法で攻撃を仕掛けたのか、正確なログを残していない場合は判別が困難になるため、あまり丁寧な作業を行わない事業者によるレッドチーム演習を実施してしまうと、リスクが生じることも考えられる。

 同氏からは、「1分1秒を争っても仕方ない」というコメントもあった。これは、セキュリティー侵害に気が付いた際に「迅速に対処することで被害を食い止められる」という発想からシステムのクリーンアップなどを実行してしまった結果、侵入の痕跡情報を全て消してしまい、その後の調査が困難になるといった経験を踏まえてのものだ。

 同氏の指摘では、侵入者側は十分な時間を掛けて攻撃準備を行っている例が大半で、被害企業側が気付いたときには、既に一定の時間が経過した後だと考えられる。このため、慌てて対応しても得られる効果はほとんどなく、むしろ落ち着いて情報を保全し、侵入経路や手法が明らかになった方がその後の対応に有益だという意図である。かつては「ネットワークケーブルを即座に引き抜く」といった瞬時の対応で被害を防ぐことが可能な攻撃も確かにあったことから、IT担当者には「発見したら即対応」という発想が根強く残っていることも考えられる。

セキュリティー対策トレンド(出典:ファイア・アイ)
セキュリティー対策トレンド(出典:ファイア・アイ)

 なお、冒頭で伊東氏は、情報漏えいに関して「『漏えい』という言葉は被害者側を責める意味合いなので、『情報盗難』とか『情報窃盗』と言うべきだ」と指摘していた。実際にセキュリティー侵害が報道される場合には、被害者側の落ち度や不手際が批判にさらされる例が少なくないが、こうした兆候は、実際には侵害発覚時に担当者が適切な対応を取ることの妨げになったり、あるいは侵害の事実そのものを隠ぺいしたりする方向に誘導しかねない。千田氏が指摘したとおり、情報を保全して“次”に備える体制を作ることの障害になる可能性が高い点も留意すべきだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]