ニュース
» 2013年09月30日 20時01分 UPDATE

標的型サイバー攻撃対策のツボと予算のかけ方

EMC最高情報セキュリティ責任者(CISO)のエディ・シュワルツ氏は、「セキュリティの脅威を未然に防ぐ従来型の対策と予算配分はもう通用しない」と指摘する。

[國谷武史,ITmedia]
rsa0002.jpg EMC セキュリティ部門RSA バイスプレジデント兼CISOのエディ・シュワルツ氏

 米EMCのセキュリティ部門RSAのバイスプレジデント兼最高情報セキュリティ責任者(CISO)を務めるエディ・シュワルツ氏は9月30日、国内メディアとの会合に臨み、企業や組織の機密情報を盗み取る標的型サイバー攻撃(APT)への対策のポイントを解説した。同氏は「対策手法や予算配分を変えるべき」とアドバイスする。

 シュワルツ氏によれば、EMCでは世界各国の大手企業とAPT攻撃に関するやり取りを頻繁に行っている。EMC自身も2011年にAPT攻撃を受けており、この時は同社のセキュリティ製品に関する情報が攻撃者側に漏えいした。こうした経験を踏まえ、APT対策での推奨事項を企業顧客に提供している。

 「APTは攻撃者が企業ネットワークへの侵入を試みることから始まるが、万一侵入されても、それは社内のセキュリティ部門の責任、失態では無い。原因の多くは人間的な要素に関係し、例えば、クリックすべきではないメールのリンクをクリックしてしまう、信頼されているWebサイトで不意にマルウェア感染してしまうといった具合だ」

 攻撃のきっかけとしては、標的の人物に関係する内容で作成・送信させる「スピアフィッシングメール」や、その人物が関心を持つテーマのWebサイトを改ざんしてマルウェアに感染させる「水飲み場型攻撃」が90%を占めるという。後者の場合ではマルウェアに感染したコンピュータが企業ネットワークに接続されると、侵入されてしまうケースが多い。

 その後の攻撃では以下の特徴がみられるという。

  • 感染したコンピュータに遠隔操作機能を持つトロイの木馬が送り込まれる。同時に攻撃者が感染したコンピュータにアクセスするための「バックドア」が作られる
  • 攻撃者と感染したコンピュータとの通信には、標準的なポートやプロトコルが使われる
  • ファイル名などにランダムな文字列が使われる
  • 攻撃者が使う「コマンド&コントロール・サーバ」のIPアドレスやドメインは常に動的に変化する

 こうした特徴を持つ攻撃は、常に攻撃パターンが変化し続けることから、ある特徴を「不正」と断定するシグネチャを使ったウイルス対策ソフトやIDS(侵入検知システム)のような従来型の対策では検知できないという。また、攻撃の通信は大量に発生する正規のインターネット通信の中に紛れ込んでいるため、インターネット接続に不可欠な80/443/8080ポートなどをブロックしてしまうと、企業の業務に支障が出てしまう。

 シュワルツ氏は、このほかにも従来型対策の限界を示すというデータを幾つか挙げ、従来型対策への依存から脱却することの必要性を提起した。

rsa0001.jpg APTで使われるポートの割合

予算の70%からシフトさせる

 APT攻撃はこうしたさまざまな手口やプロセスから構成されており、「対策もそれに応じて構成されるべき」(シュワルツ氏)という。その前提として、まずは自社のセキュリティ管理や構成管理を適切に行われていること、自社ネットワークを深いレベル理解していることが求められ、その上で以下のようなアプローチが推奨される。

  • 機密情報の置かれたホスト上のプロセスを監視し、振る舞いを理解しておく
  • ホスト上とかネットワーク上におけるランダムな文字列を発見する(ネットワーク上ならパケットをフルキャプチャして解析する)
  • ホスト上における自動実行の設定をチェックし、許可していないものはブロックする
  • 許可しているポートやプロトコルを監視する(パケットをフルキャプチャして解析することが必要)
  • HTTPのヘッダー情報を解析(侵害された情報やコマンド&コントロール・サーバとの通信内容のヒントなどが隠れている)

 シュワルツ氏によれば、従来型対策は既知の脅威を防ぐ「予防型対策」と言えるが、上記のアプローチではディープパケット解析や振る舞い解析といった「検知型対策」が必要になる。「米国の大手企業でもセキュリティ予算の70%が予防型対策に充てられているが、APTに備えるには検知型対策や検知後の行動(レスポンス)にもっと割り振るべきだ」と話す。先進的な企業でもセキュリティ予算の約半分が予防型対策に充てられているが、EMCでは予防型対策と検知型対策、レスポンスにそれぞれ約3分の1を割り当てているという。

 各種対策と予算配分を見直すには、APTやネット犯罪、内部不正などのリスク要因別に、導入済み対策の有効性を評価すべきとしている。ある対策が投資額に対して10%しか機能していないなら、その対策への支出を止めて別の製品に切り替る。時にはベンダーに価格条件を掛け合う場合もあり得るとアドバイスする。

 また、専任のIT管理者やセキュリティ管理を確保できないような中小企業では無理に自前で対策を行うよりも、セキュリティサービスを活用した方がセキュリティレベルを向上できるだろうと話している。

関連キーワード

予算 | EMC | RSA | APT攻撃 | CISO


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ