ランサムウェアや標的型攻撃のような巧妙な攻撃が続くなか、多層防御の考え方が叫ばれるようになった。侵入を防ぐ対策だけではなく、さまざまな防御策をめぐらすことで、攻撃を受けたあとの被害を最小化しようという考え方だ。2017年6月6日、ZDNet Japan × TechRepublic Japan セキュリティセミナー「求められるのは全体の効率化 〜高度化する攻撃には事前と事後で対応する時代〜」に登壇したヴイエムウェアの楢原盛史氏は、脅威の最小化と隔離までの流れをどう構築していくかを解説した。
セキュリティに対する考え方でWannaCry被害に顕著な差
ヴィエムウェア
ソリューション技術統括
先進ソリューション
シニアセキュリティソリューションアーキテクト
楢原盛史氏
楢原氏は企業に対して、インシデントレスポンスのコーディネートなどを行っている。そうした実際の現場経験を踏まえ、最近のサイバーセキュリティに対する企業の対応は、二極化が進んでいると指摘した。分岐点となるのは、実際に攻撃を受けたかどうかだ。
攻撃を受けたことがない企業は、「鉄壁の防御」を目指して、数多くの対策を徹底的に行う傾向があるという。これに対し攻撃を受けた経験がある企業は、攻撃は地震や火事のような天災に近いことを認識し、いかにリスクを最小化するかに取り組む。
「この考え方の違いはWannaCryの被害で明確な差となって現れました。鉄壁の防御が破られた企業は事業継続が困難になりましたが、リスク最小化に取り組んできた企業は被害を最小限に留めることができたのです」
カギは「ITガバナンス」と「ダメージコントロール」
被害に差が出た要因は、「ITガバナンスの徹底」と「ダメージコントロール」にあるという。楢原氏は、セキュリティとITガバナンスの関係について、オーストラリア国防省(ASD)が2014年に明らかにしたベストプラクティスがよい見本になると語る。
これは、企業が特権ID管理やIT資産管理、脆弱性管理、厳格なアクセス制限に取り組むことで、9割近い攻撃を防御することができることを示したものだ。ITガバナンスを徹底するだけでサイバー攻撃に対する防御力を飛躍的に高めることができるわけだ。
また、ダメージコントロールについては、自治体を中心に取り組みが進んだインターネット分離の考え方と基本的には同じものだ。被害の受けやすさなどに応じて、メールやWebを通常のインターネットから分離しておき、万一侵入された場合は、端末を特定して影響範囲を最小化、迅速に健全化するというものだ。
「攻撃を完璧に防ぐことはほとんど不可能です。そこで、ITガバナンスとダメージコントロールの考え方を取り入れることで、理想の脅威削減レベルに近づいていくのです」