ニュース
» 2010年08月02日 07時45分 UPDATE

サイバー攻撃から考える企業セキュリティの問題点、SANSの人気講師が解説

米SANS Technology Instituteの講師を務めるエリック・コール博士が、企業でのセキュリティ投資の効果を高めるためのポイントを解説した。

[國谷武史,ITmedia]
sansti.jpg SANS Technology Institute フェロー エリック・コール博士

 「サイバー攻撃の手口を知り、リスクを理解すべき」――米セキュリティ研究機関SANS Technology Instituteのフェローを務めるエリック・コール博士は、企業でのセキュリティ投資効果を高めるポイントをこのように紹介する。国内のセキュリティカンファレンス出席のために来日したコール氏が、企業セキュリティの問題点と対策を解説してくれた。

 現在、米国などのセキュリティ業界で大きな関心事となっているのが、企業に対するサイバー攻撃の本格化である。

 2009年末にGoogleをはじめとする米国企業を狙ったサイバー攻撃(通称「オーロラ攻撃)が発生した。セキュリティ企業や研究機関の調査によれば、攻撃者は標的とした企業の幹部をだますために巧妙なソーシャルエンジニア手法を仕掛け、ソフトウェアの未修整の脆弱性(当時)を悪用するマルウェアによってシステムを乗っ取り、ソースコードなどの知的財産のデータを盗み出したとされる。

 コール氏は、セキュリティ対策に多額の投資をしても、サイバー攻撃を防げないと悩む企業のトップから相談を受ける機会が多いという。こうした企業に共通するのは、社内にセキュリティの専門部門を持ち、さまざまな対策技術を導入している点。投資に見合う効果を得られていないという。

 「一番の問題は伝統的なセキュリティ対策を続けてしまっていること」とコール氏は指摘する。具体的には、ネットワークのゲートウェイにファイアウォールを設置して、クライアントPCにウイルス対策ソフトを導入すれば、セキュリティ対策が完了したと考えてしまうようなケースだ。

 このような対策では現在のサイバー攻撃は防ぐことができず、コール氏はセキュリティ対策の考え方を根本から変える必要があるという。その第一歩とは、冒頭に挙げた「攻撃の手口を知る」ことからである。

 コール氏によれば、例えばマルウェアの種類は1997年に約1万8000種だったが、2007年には58万6000に増え、現在では270万種と爆発的に増加している。定義ファイルに依存したウイルス対策ソフトでは、マルウェアの増加に対応することができないという。ベンダーが定義ファイルの開発に着手し、ユーザーに提供できるまでには数日程度かかる場合が珍しくない。このため最新のセキュリティ対策ソフトは、マルウェアの特徴を検知する幾つもの技術を併用して、定義ファイルによる検知よりも、ユーザーを迅速に保護できるようにしている。

 また攻撃者は、ソフトウェアに存在する未修整の脆弱性を突く「ゼロデイ攻撃」を多用するようになった。ほとんどの企業がインターネットに接続している現状では、ゼロデイ攻撃は数時間で全世界に飛び火する。ソフトウェア開発者やセキュリティベンダーは、攻撃の発生を受けてからパッチの開発やセキュリティ製品での対応をしなければならず、ユーザーが対策を講じられない期間が生じる。

 コール氏は、「このようなサイバー攻撃の手口から情報システムを守るには、自社がどのようなリスクにさらされるのかを理解しなければならない。リスクを緩和するためにプロアクティブな対策を講じていくべきだ」とアドバイスする。同氏が推奨するプロアクティブなセキュリティ対策を実現していくポイントは、「リスクの管理とコントロール」「リスクの評価と順位付け」「コスト対効果」の3点である。

 これらを実践するには、まずサイバー攻撃が何を標的にしているかを理解することから始まるという。例えばオーロラ攻撃では、悪用されたソフトウェアの脆弱性とその対策ばかりに注目が集まったが、オーロラ攻撃の狙いは企業の知的財産であった。知的財産が侵害されれば企業のダメージは計り知れない。

 また、知的財産の内容によってもリスクの大小は異なる。多額のコストを掛けて保護した知的財産のリスクが小さければ、過剰投資となりかねない。コール氏は、「強みと弱みを理解した上でリスクレベルを算出し、バランスのとれた対策を実践してほしい」とアドバイスする。セキュリティ対策に多額の投資をしても攻撃を防げない企業は、これができていないという。

 オーロラ攻撃によって、セキュリティ業界では企業を狙うサイバー攻撃が今後増えるとみられている。オーロラ攻撃は、非常に巧妙な手口を組み合わせることで伝統的なセキュリティ対策を突破した点が特徴的な事件とされる。

 従来のセキュリティ対策は悪意を持ったものどうかを「Yes」か「No」かで判断していたが、今の攻撃者は正規のユーザーになりすまして、気づかれないように動くため、「グレー」な状況が存在するとコール氏。

 「正規のユーザーがどのように行動しているかを知る。そして、少しでも不審な動きがあればすぐに阻止する。順応で多層的防御ができるセキュリティ対策が重要になる」(コール氏)

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -