情報セキュリティに関する「事件」の報道が増えている。十分な情報セキュリティ対策を行っているはずの有名企業や政府関連機関が、次々と不正アクセスや情報漏えいの被害を受けている現状を見て「限られた予算の中で本当に必要な対策は何なのか?」と頭を悩ませている企業のセキュリティ担当者も多いことだろう。
近ごろ、情報セキュリティに関する「事件」の報道を目にすることが増えたと感じている人は多いのではないだろうか。実際にサイバー攻撃の頻度自体が増えていることに加え、十分な対策を行っているはずの有名企業や大手ネットサービス、政府関連機関が、次々と不正アクセスや情報漏えいといった具体的な被害を受けている点が、そうした印象を強く与える要因になっていると思われる。
攻撃者がある特定のターゲットを定め、そこから何らかの情報を盗み出したり、不正な侵入を試みようとする一連の攻撃手法は特に「標的型攻撃」と呼ばれている。この標的型攻撃というものの存在は、2000年代中盤から確認されており、当時は「スピア型攻撃」とも呼ばれて情報セキュリティの専門家からの注意喚起も盛んに行われていたが、日本国内でこうした攻撃の存在や具体的な被害が顕在化し、注目を集めたのは2011年に国内で報道された重大事件からだ。標的型攻撃は、国家機密や重要な特許やインサイダー情報などの明確な目的に対して執拗に時間とコストをかけて狙うため、対策が非常に難しい。これ以後のサイバー攻撃は、その目的や手法、組織規模と様々なものが、従来型のサイバー攻撃とは明確に異なっているという。
日立ソリューションズ、プロダクトマーケティング本部マーケティング推進部の武田一城氏は「かつてのサイバー攻撃が、攻撃者個人の自己顕示が主目的となっていたのと比べ、標的型攻撃以後では明確に経済的な利益目的と共に、攻撃ツールの整備やメンバを役割毎に効率的に配置し、組織化されている点が大きく異なります。それはあたかも、理想的な組織や企業におけるPDCAサイクルのようです」という。
近年の、特定の組織や企業を標的とした攻撃は、経済的な合理性に則った、極めて効率化されたプロセスの上で、組織的に行われているケースが多いという。この背景には、インターネット自体が低コストで一般的な社会インフラになったことに加え、PCやサーバ、ネットワーク機器等の性能向上などに基づく攻撃技術・手法の洗練や標準化、さらには入手した機密情報はもちろん、脆弱性情報や攻撃用のツール(マルウェア等)を金銭でやり取りする「地下マーケット」が整備されていることなどがある。
つまり、情報の窃取という行為が純粋な「ビジネス」として成立する環境ができあがってしまったことを意味している。このことによって、ビジネスにおける技術革新や事業拡大、新事業開発、プロセス改善などと同じ意味合いで、サイバー攻撃も企業のように新技術による高度な攻撃や規模の拡大や効率化を続けているのである。
高度化する攻撃に対して企業がとれる対策は?
経済的合理性を背景に、高度化と大規模化を続けるサイバー攻撃に対し、企業が取れる対抗策はあるのだろうか。日立ソリューションズ、プラットフォームソリューション本部セキュリティソリューション部主任技師の米光一也氏は、セキュリティコンサルタントの現場での経験から以下のように説明している。「もちろん、従来から行われている水際防御的な対策も決して無効化された訳ではありませんし、特にセキュリティ運用設計・管理ポリシーに裏づけされた多層防御のアプローチは、大部分の攻撃に非常に有効に機能します」と話す。
多層防御とは、ネットワーク、アプリケーション、OSやミドルウェアなどのシステムインフラ、ネットワーク内のエンドポイントなど、企業システムを構成する各層において、技術的、運用的に適切なセキュリティ対策を実施するアプローチである。
ネットワークゲートウェイへの(特にアプリケーションの可視化や制御のできる次世代型)ファイアウォールの設置、WAFの導入、脆弱性パッチの適用、アンチマルウェアソフトの導入、ネットワークパケットの監視や制御といった様々な対策の組み合わせがこれに当たる。
「攻撃側が日常的にルーチンワークとして行っているようなほとんどの攻撃は、運用面も含めて、こうした多層防御を継続的かつ確実に実施することで、防ぐことができます。ただし、標的型やAPTと呼ばれる高度な攻撃のように、攻撃側が明確な意図を持って、高度な技術、そして膨大なコストと時間をかけて行う攻撃に対しては、完全とは言い切れないのも事実なのです」(武田氏)
標的型攻撃においては、一般的な攻撃よりもさらに高度な手法が用いられるケースが多い。まだ対処法やパッチが公開されていない未知の脆弱性を狙って攻撃をしかける「ゼロデイ攻撃」をはじめ、数十ギガバイト級のパケットを使った大規模なネットワーク攻撃には国家や通信キャリア級でも対策が難しいのが現実だ。また、高度な技術を使わなくても、巧妙に組織内の個人の知り合いに偽装してメールやSNSを経由するソーシャルアタック的な手法が複合的に用いられることさえある。こうした標的型攻撃のターゲットになってしまった場合、事前に「完全な防御策」を打っておくことは、技術的にも運用的にも不可能に近い。
ただし、標的型攻撃のターゲットとなるのは、企業のインサイダー情報や、最先端の製品や技術に関する機密情報など、地下マーケットでの金銭的価値が高いものや、国家機密レベルの情報が中心だという。そのため、一般的な企業がターゲットとなる可能性自体はそれほど高くないとも言える。発生する可能性が低い脅威に対して、完全に情報流出を許さない防御策を考え実施し続けるというのは、コスト面でも見合わないのだ。
かといって「攻撃を受ける可能性がない」というわけではない。武田氏は、企業が行える現実的な対策として「貴社が取引先の踏み台にならない為にも、前出のような様々な多層防御が攻撃者への嫌がらせや時間稼ぎとして機能すれば、充分にセキュアな企業システムといえます」と語り、さらに「もし、高度な攻撃のターゲットとなり機密情報が流出してしまっても、その流出したドキュメント自体を制御できる仕組みを導入しておくことで、事前に機密情報の漏洩リスクを最小限に抑えることができます」と語る。
日立ソリューションズでは、こうした「流出後にも機密情報への制御」を可能にするセキュリティソリューションとして「活文 NAVIstaff」を提供している。
