「セキュリティ人材がいない」と嘆く前にできること--技術との両輪から考える

複雑化、巧妙化、ビジネス化が進むサイバー脅威への対策は待ったなしの状況だが、対策に取り組むセキュリティ人材の不足が叫ばれて久しい。人材不足を嘆く前に、より効果的な教育プログラムはどうあるべきか。そして、人のがんばりや意識改革を期待する前にできることはないのだろうか。長らく専門家としてセキュリティ業界に携わってきたサイバーディフェンス研究所の名和利男氏と、日本マイクロソフトの技術統括室Chief Security Officer(CSO)を務める河野省二氏が率直な意見を交わした。

サイバー脅威の変化に
「ベストプラクティス」は通用しない?


サイバーディフェンス研究所
名和利男氏

名和最近のサイバー脅威の動向をどう見ていると、攻撃者の増加が気になります。ここ最近、人間に代わって人工知能(AI)らしき手段による攻撃が見られます。先の平昌オリンピックでサイバー攻撃対処の一部支援として、脅威情報収集とマルウェア解析(コード分析)などを行いましたが、事前の偵察目的と推定されるマルウェアに仕込まれていた手口や技術が、これまでとは比較にならないほど多種多様化していることが分かりました。かなり深刻な状況だと思います。

 技術的な面では、コンピュータのデータ保存領域(ディスク等)に攻撃痕跡を残さない「ファイルレス攻撃」が増えています。従来のマルウェアを使った攻撃手法も依然として多く、それらが混在して、非常に複雑な状況です。解析作業を困難にする「アンチフォレンジック」「アンチデバッギング」などの手法も当たり前になりました。

 相対的に、防御側のインシデント対処のレベルが低下しているような印象です。防御側が、対策回避するためのテクニックに明るくならなければ、実効性のあるインシデント対応ができなくなってしまうのではないでしょうか。

河野一方で、昔ながらのフィッシング攻撃も目立ちます。調査会社の報告では少なくなっているということですが、実際の問い合わせなどでは依然として偽のログインページなどへの誘導が多いようです。マイクロソフトではログインの一元化やID連携といった取り組みを進めていますが、多要素認証を利用していただいていないこともあり、アカウント情報(IDとパスワード)が漏れていることに気が付かないことが多いようです。。「なりすまし」による被害はなかなかなくなりませんね。

名和「なりすまし」の攻撃について、脅威を監視する側から眺めると、正規のアカウントを悪用する手口が増えているため、防ぎようがないケースが目立ってきています。「情報セキュリティはこうすべき」というセオリーが通用した時代は十数年前に終わっています。現在は防御側が攻撃者の動向をキャッチアップし、適用すべきセキュリティレベルを見積もった上で、適切に実装していく努力を継続していかなければなりません。

河野IT環境の変化もあり、これまでの「ベストプラクティス」が通用しなくなってしまいました。前職では様々なガイドラインを策定し、そのたびにベストプラクティスの提案をしてきましたが、これらが公表され、浸透するまでには長い時間がかかります。国際標準なども数年をかけて策定しているのが現状です。つまり、参照するものによっては、10年前のリスクや脅威をベースに検討された内容ということもあるわけです。。本来はITの進化と歩調を合わせながらセキュリティ対策の方法も進化しなければならないのですが、セキュリティに合わせてIT利用を制限しているというのが現状です。

唯一パッチを当てられない「人間」をどう育てるか

名和長年セキュリティ業界で働いていますが、唯一パッチを当てられないのが「人間」だと感じています。どんなに教育や訓練をしても、そう簡単には行動を変えられません。唯一、セキュリティ被害等の痛みを伴う経験をすれば、数カ月ほどは「パッチが当たった状態」になりますが……。


日本マイクロソフト
技術統括室Chief Security Officer(CSO)
河野省二氏

河野前職で提供していた標的型攻撃訓練サービスの効果についてアンケートをしたことがあります。「訓練の効果はどのくらいの期間、有効だと思いますか?」と尋ねたところ、せいぜい1~2カ月という答えが多かったですね。

 こうなると、1年に何度も訓練を実施しないといけなくなりますが、コストも馬鹿になりませんし、業務への影響もあります。Awarenessを意識向上と勘違いして、モチベーション向上の教育だけしていても、対策効果を保たせようとするのは難しいですね。一般利用者のセキュリティリテラシー向上もそうですが、企業が名和さんのような一流のセキュリティ技術者を何人も育成するの雇用するのも難しいですしね……。

名和人を育てるのは本当に難しいと思います。少なくとも「経験」することで、後の効果に違いが出るでしょう。

 例えば、インターネット上には企業などから漏えいした膨大な数のIDやパスワードの情報が流通し、日本の組織に関するものだけで総人口を上回っています。ある組織のドメインを検索してみると、数千件以上が見つかるのですが、その担当者がその事実を目の当たりにしたときだけ、必要な行動を取り始めようとします。

 単に「危険だ、何とかしましょう」と言うだけでは、イソップ童話の狼少年のようなもので、行動に移していただくことは稀ですね。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2018年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]