世界中で漏れ続ける情報 原因の1つは、「内部対策が薄いから」：Maker's Voice

ネットワークセキュリティ対策は企業ネットワークの外側に目が向いていた――パロアルトネットワークスは、LANなど内部ネットワークの通信に着目した対策強化を提起する。

[國谷武史，ITmedia]

パロアルトネットワークス 技術本部長の乙部幸一朗氏

　2013年も世界各地の企業のシステムからたくさんの機密情報が漏えいした。ネットワークセキュリティ会社パロアルトネットワークスは、こうした事態が収束しない背景として、「企業ネットワークの外側から来る攻撃の対策だけに重点を置いてきたから」（技術本部長の乙部幸一朗氏）と指摘する。同氏によれば、2013年12月に小売大手の米Targetでの事件が代表的だという。

　Targetの事件は2013年12月に発覚。POS端末に仕掛けられたマルウェアの「BlackPOS」によって、約4000万件のクレジットカード情報や7000万人分の顧客情報が盗まれた。BlackPOSの侵入経路は、Targetが外部に運用を委託していた店舗などの空調システムのネットワークが入口とされる。犯罪者は何らかの手口でこのネットワークからTarget社内の別のネットワークにマルウェアを侵入させ、POS端末に感染させたとみられている。

　感染に成功させた後、犯罪者はマルウェアがPOS端末から盗み取った暗号化されていない状態の機密情報を、SMBプロトコルを使ってTargetの社内ネットワーク上にあるサーバに集めた。さらに、このサーバからFTP経由でブラジルにあるコンピュータに送信していたといわれている。

　このケースで指摘されるのは、犯罪者が標的とする企業本体をいきなり攻撃するのではないという点。業務委託先や取引先、支社といった本社の周辺から攻撃して内部のネットワークに侵入し、徐々に本体へ近づく。企業本体は外部からの攻撃に対して堅牢な防御システムを講じているが、内部のネットワークは「信頼できる」という感覚から対策は手薄になりがちだ。

　「報道では未知のマルウェアや脆弱性を悪用する手法が話題になるものの、犯罪者は既存のマルウェアや攻撃手法を使うケースがほとんど。未知のマルウェアや脆弱性の悪用攻撃は、最終目標を達成する段階で使う」と乙部氏。しかし、上述のように内部ネットワークの対策が手薄だと既に知られた攻撃でも発見できず、犯罪者の侵攻を見逃してしまう。

　このため乙部氏は、内部のネットワークでも対策を強化すべきと提起する。そこでのポイントは（1）社内外を区別しない、（2）アクセス権限は必要最低限にする、（3）「信頼しない」ことを前提にする、（4）全ての通信を解析してログも残す、（5）機密性の高い情報の特定と保護を考えて企業の内部から外部への通信でも対策する――の5つ。これらは、2010年に米調査会社のForrester Researchが提唱した「ゼロトラスト・ネットワーク・セキュリティ（信用をしないことを前提とするネットワークのセキュリティ対策）」という概念で挙げられた。

「ゼロトラスト・ネットワーク・セキュリティ」とセキュリティ対策の方針例

　乙部氏によれば、今のところ5つのポイント全てをセキュリティ対策に取り入れている企業はほとんどない。しかしTargetのような事件が多発したことで、徐々に採用が広がり始め、同社も内部ネットワークの対策強化を呼び掛けたとのことだ。実際に同社の顧客企業の中には、LAN内に次世代ファイアウォールを設置して通信内容を詳しく監視し、不審な兆候を発見しやすい対策に切り替えたという。

　「ゼロ・トラスト・ネットワーク」のような概念によるセキュリティ対策は、パロアルトネットワークスなど幾つかのネットワークセキュリティ会社が提供している。ただ、その適用方法や運用方法には様々な形があり、企業ごとに要件や投資できる規模なども異なる。

　乙部氏は、「新しい監視ポイントを誰が担当するのか、膨大な量になる内部ネットワークやシステムなどのログをどうやって貯めたり分析したりすべきかといった課題もある。調達する製品や構成などを工夫してコストを抑えつつ、専門サービスなどを活用すれば、現状の投資規模でもセキュリティレベルを高めていけるだろう」と話している。