知的財産や原子力施設も標的に、サイバー攻撃の傾向と対策を聞く：脅威の予兆をチェックできるか（2/2 ページ）

[國谷武史，ITmedia]

わずかな兆候を見つける

　McAfeeは先ごろ発表した2011年1〜3月期のセキュリティ脅威レポートの中で、サイバー攻撃によって深刻な事態に見舞われた幾つかの事件を取り上げている。

　例えば、1月に発覚した大手石油化学企業での事件では、長期にわたって関連企業5社が標的になっていた。これら企業が持つ資源の情報や採掘計画に関する情報などの膨大な量のデータが盗み出されていた。また、3月に発覚したオーストラリア政府を狙った攻撃では、閣僚の電子メールデータが流出した。ディロ氏によれば、ドイツでは政府機関のシステムを利用する人物を狙ったとみられる不正アクセスの兆候が1日平均5件も確認されているという。

　APTでは攻撃側が長い時間をかけて標的とした人物やシステムに接近する。セキュリティ対策を幾重に張り巡らしても、その隙を突いて執念深くに内部への侵入を試み続ける。これに備えるには、企業や組織が最も重要だと位置付けている情報やシステムなどの資産を堅牢にすべきだと、ディロ氏は語る。

　重要資産を中心にセキュリティ対策をその周囲に広げていくというアプローチは、セキュリティの原則でもある。それを実践している企業や組織は多いものの、これまでは外からの脅威をネットワークの境界部で防ぐ対策に重きが置かれる傾向にあり、内部での対策が十分ではないケースが少なくないという。脅威は企業や組織の内部に侵入するということを前提に、内部を含めて重要資産へのアクセス経路上で対策手法を多層的に講じることが重要だ。

　最も重要な資産に誰がどのようにアクセスし、資産を利用する権限を持っているかを確実に把握する。そして、権限が適切に行使されているかを常に監視し、少しの変化も見逃さないことが求められる。「例えば、普段はアクセスがない時間帯にデータへのアクセスが発生したり、いつも以上にデータをダウンロードしたりするといった変化は、何かしら不穏なことが起きる予兆をみることができる。疑わしい挙動を検知することが大事だ」（ディロ氏）

　また、マカフィー エンタープライズSE シニアセールスエンジニアの松田明氏は、サイバー攻撃に用いられる手法を知り、攻撃で悪用される恐れのある脆弱性を解消しておくべきとアドバイスする。例えば、Webサーバのようにネットワーク上に公開されているシステムは、内部への不正侵入の突破口になりやすい。「ソニーが発表した対策を見ても、新規の対策を講じるというよりは、既存の対策を強化することに重点が置かれている印象を受ける。これまでに構築してきた対策が正しく機能しているかを再点検することが重要」と指摘している。

　サイバー攻撃対策のポイントは、既存の対策をチェックし、不十分な点は解決や増強を図る。そして、日常とは違うわずかな変化も見逃さない監視を運用することだ。その上で、「脅威が起きた際に迅速に対応できる体制を準備する」（プロフェッショナルサービス シニアスペシャリストの兜森清忠氏）という。

　兜森氏は、情報セキュリティの運用体制について、まず情報などの資産を重要度などの観点で分類し、その資産に対するリスクと対策が検討されているかを確認すべきとアドバイスする。そして、政府統一の情報セキュリティ基準などを参考にしながら、講じている対策の有効性を検証しておく。有事の際に、情報収集や緊急対応をとる「CSIRT」と呼ばれる全社・全組織を横断できる体制を立ち上げられるようにする。また、全ての関係者は同じ認識を共有できるよう「インシデントコマンドシステム（ICS）」を実行できるようにしていく。ICSは、例えば対策執務室の壁面に全ての情報を掲示して、各人がその情報を基に自分がすべき行動をしていくといものである。

　5月28日には、米航空・防衛大手のLockheed Martinが不正アクセスを受けていたことを明らかにし、被害はないと発表した。ディロ氏は同社での事件について、前述したような「普段からの取り組みが機能した結果だろう」と見ている。

　APTのような脅威に対抗する体制は一朝一夕に実現できるものではないが、企業や組織の存亡を脅かす脅威が現実のものとなっているだけに、ディロ氏は、既存対策の再点検など直ぐに着手できるところか取り組みを始めるべきだと話している。