高度標的型攻撃やランサムウェアなど、悪質化・巧妙化の一途をたどるサイバー攻撃を完全に検知するのは極めて困難だ。もはや侵入防止のみに注力したセキュリティ対策では重要データやシステムを守ることはできない。そうした中で求められているのは、侵入を前提とし、実際にインシデントが発生した場合に備え、迅速かつ適切な初動対応を可能とするダメージコントロールの取り組みである。
各省庁のセキュリティ対策ガイドラインも
侵入を前提とした対策へ方向転換
サイバー攻撃は悪質化・巧妙化の一途をたどっており、高度標的型攻撃による情報漏えい事件が後を絶たない。さらに近年では、ランサムウェアによる被害も拡大している。マルウェア感染させたPCをロックしたり、ファイルを暗号化したりすることで使用不可能にした後、元に戻すことと引き換えに「身代金」を要求するものだ。
これらのマルウェアの多くはメールを経由して送り込まれてくるため、ファイアウォールで完全に遮断することができない。作りも非常に巧妙で、ウイルス対策ソフトウェアを適用しても半分以下しか検知できないのが現実だ。また、侵入されてから半年以上も気付かずに放置されているケースが珍しくない。
ヴイエムウェア株式会社
ソリューションビジネス本部
先進ソリューション
シニア セキュリティ ソリューション アーキテクト
楢原 盛史 氏
こうした実態に即して、政府および関係機関から示されるセキュリティ対策のガイドラインにも大きな見直しが進んでいる。ヴイエムウェア ソリューションビジネス本部 先進ソリューションのシニアセキュリティソリューションアーキテクトの楢原盛史氏は、その動向を次のように語る。
「これまで侵入防止を求めていたのが、事案発生を前提とした対策へと方針転換が行われました。侵入が発生した際の脅威の影響範囲の特定および最小化に向けた初動対応が取れること、ずなわち"ダメージコントロール"の重要性を強く示唆しています」
例えば2015年12月に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」には、「緊急時に当該端末を特定し、速やかに切り離しができる」「重要情報を保存しているサーバはネットワーク分離を行う」「外部通信ログは最低半年、推奨1年保存が望ましく、サーバや端末の操作、セキュリティログも適切な期間を保管する」「マルウェア対策ソフトでは検知・除去しきれない脅威に対処する」といった内容が記されているのだ。
同様に内閣サイバーセキュリティセンター(NISC)が2016年8月に公開した「標的型攻撃等の脅威について」という指針の中でも、「侵入を前提とし、その拡大や活動を阻止・検知する"多層防御"を備えたシステム対策が重要」「実際にインシデントが発生した場合に備え、迅速に適切な対処が行えるように準備すべき」といった提言が行われている。
さらに注目すべきは、金融庁が2016年6月に公開した「金融機関におけるサーバセキュリティの対応状況」だ。特に厳格なセキュリティ対策が求められる金融機関に対しても「侵入されることを前提とした対策を強化する必要」とされ、「監視、検知能力の向上、攻撃検知時に適切な初動が取れる能力の獲得、コンティンジェンシープランの策定と職員教育・訓練の実施」が明示されているのである。