巧妙化するサイバー攻撃から企業を守るキーワード－トリアージ、セキュリティアウェアネス、多層防御

NRIセキュアテクノロジーズ株式会社（本社：東京都港区、代表取締役社長：増 谷 洋、以下「NRIセキュア」）は、同社が顧客企業に提供した情報セキュリティ対 策サービスを通じて蓄積したデータ※1を分析し、最新の脅威動向と推奨する対策を まとめた、「サイバーセキュリティ 傾向分析レポート2013（以下「本レポート」）」 を発表しました。本レポートは、企業や公的機関の情報セキュリティ対策の推進を 支援する目的で、2005年度以降、毎年発表しており、今回で9回目となります。 　本レポートの中でNRIセキュアは、巧妙化するサイバー攻撃から組織を守るキーワ ードとして、「トリアージ」「セキュリティアウェアネス」「多層防御」を挙げ、 その概要を紹介しています。

■　課題となるグレーイベント－インシデントレスポンスにおけるトリアージが重要
　近年のセキュリティ対策製品は、従来の手法では検出できない攻撃をも見つけ出
す目的で、検出された事象だけでは真の攻撃か否かの判別がつかないグレーイベント
※2も検知します。この判別には人による詳細な調査が必要になりますが、高度なセ
キュリティ知識が必要なため困難です。また、このような知識を持つ人材の不足から、
すべての検出事象に対応することもまた困難です。このため、グレーイベントに対し、
迅速かつ的確に優先度を付けて対応するトリアージ※3が必要となります。
　一般にセキュリティ事故が発生した場合の事故対応(インシデントレスポンス)にお
いて、トリアージを誤ると対応の遅れに直結し、被害が拡大してしまう可能性があり
ます。このため、企業は的確なトリアージができるインシデントレスポンス体制作り
に取り組む必要があります。

■　2割の従業員に標的型メール攻撃が成立－セキュリティアウェアネスが重要
　NRIセキュアでは、疑似的に標的型メール※4を対象企業の従業員に送付し、添付フ
ァイルの開封や記載URLへのアクセス状況を企業に報告する、「標的型メール攻撃訓
練」を提供しています。その結果を分析すると、この訓練を経験したことがない場合、
従業員の21%に標的型メール攻撃が成立していました。一方、この訓練を一度経験して
いる従業員への攻撃の成功率は、約13%に下がることも確認できました。
　サイバー攻撃が激化する中、企業は情報システムのセキュリティ対策に注力すると
ともに、社内ではセキュリティポリシーやルールを定め、従業員に遵守を促していま
す。しかし、個々の従業員がセキュリティの重要性を意識していなければ、効果は期
待できません。
　そこで、従業員の「セキュリティアウェアネス(意識をセキュリティに向けること)」
が重要となります。標的型メール攻撃訓練は、従業員に対して、セキュリティ事故が
誰にでも起こり得る脅威であることを認識させ、自社のセキュリティ全般に意識を向
けさせる効果があります。企業は、従業員に対してセキュリティアウェアネスを通じ
て、サイバー攻撃から自社を守る防衛線を形成することが求められます。

■　公表後直ちに攻撃に悪用される脆弱性－さらに高まる多層防御の必要性
　脆弱性が公表されてから、悪用されるまでの期間が短期化しています。NRIセキュア
では、 2012年に公表されたStruts※5とPHP※6の脆弱性を悪用する攻撃を、公表後6日
で観測しました。
　こうした攻撃への対策は、迅速な修正パッチの適用※7が基本ですが、適用前に開発
や運用担当者の検証が必要となるため、早急に対策を完了することは困難な場合があり
ます。このため、パッチが未適用の状況でも、このような攻撃からシステムを防御する
手段が必要です。WAF※8を導入するなど、多層的に防御をする必要性が一層高まってい
ます。

■　Webアプリケーションの3分の1に危険な問題が存在－セキュリティ対策はいまだ不十分
　セキュリティ診断を実施したWebアプリケーションの中で、3割強に危険性の高い問
題が検出されました。この割合は、過去5年以上にわたり、ほぼ変化は見られません。
検出した問題を分析したところ、セキュリティ対策の観点が十分に取り入れられないま
まに、開発が行われていることが、その原因の一つと推測されます。
　Webアプリケーションをサイバー攻撃から守るためには、あらためてシステム開発お
よび運用段階での情報セキュリティ対策が求められます。具体的には、開発段階では
脆弱性を排除するための設計・開発ガイドラインの策定、設計レビューを行う体制の整
備やセキュリティ診断、運用段階では多層防御の導入が挙げられます。


「サイバーセキュリティ 傾向分析レポート2013」の詳細については、下記のWebサイト
をご覧ください。
(リンク »)

用語解説

※1　本レポートで分析対象としたデータ：
　　NRIセキュアテクノロジーズが、2012年度（2012年4月1日～2013年3月31日）に、
　　顧客企業に提供した情報セキュリティ関連サービスから得られたデータと2008年
　　度からの経年データを含む。
※2　グレーイベント：
　　検出された事象単体だけでは、サイバー攻撃であるか否かをはっきりつけられな
　　い事象。
※3　トリアージ：
　　災害発生時等の医療において、対応する人員や物資などが不足する場合、全体と
　　して最善の結果を得ることを目的として、医療行為を必要とする対象者の優先度
　　を選別する行為。そこから派生して、サイバー攻撃を受けた場合のインシデント
　　レスポンスの一環として、深刻度と緊急性から対応の優先度をつける行為を指す。
※4　標的型メール：
　　サイバー攻撃の一種で、機密情報漏洩などを目的として、特定の企業、組織、個
　　人を対象に送りつける電子メール。
※5　Struts：
　　Javaを用いたWebアプリケーション開発フレームワーク。
※6　PHP（PHP:Hypertext Preprocessor）：
　　Webアプリケーション向けサーバサイドスクリプト言語処理系。
※7　パッチの適用：
　　不具合のあるプログラムに対して、修正ファイル（パッチ）を適用すること。
※8　WAF（Webアプリケーションファイアウォール）：
　　Webアプリケーションに特化したセキュリティ対策製品。既知の攻撃パターンを定
　　義した検出パターンである「ブラックリスト」による検査や、正常な通信を定義し
　　た検出パターンである「ホワイトリスト」による検査を行い、攻撃からシステムを
　　防御する。

※セキュリティ診断により問題が発見された情報システムについては、NRIセキュアか
　ら診断結果とともに具体的な対策案を提示し、早急な対応が行われています。