怪しい動きは自社でも調査 大成建設に聞くセキュリティの取り組み：T-SIRT作りました（2/2 ページ）

[國谷武史，ITmedia]

怪しい動きは自社でも調べる

　T-SIRTは、社外ではJPCERT コーディネーションセンターや日本シーサート協議会加盟社のCSRIT、セキュリティベンダーなどと連携し、セキュリティ情報の収集などにあたっている。社内ではヘルプデスクやシステム監視などを通じてセキュリティイベントの状況を確認している。

　PCのマルウェア感染などは大成情報システムでの対応で解決する場合が多いものの、インシデントが連続して発生したり、マルウェア感染が終息しなかったりといったケースではT-SIRTのメンバーが集合して、対応を検討するという。

　北村氏によると、例えばサイバー攻撃が疑われるコールバック通信（マルウェアに感染したコンピュータから攻撃者のコマンド＆コントロールへの接続が疑われる通信）は、毎月4、5件程度の検知があるという。特にWindows XPからWindows 7への移行を行った2013年はコールバック通信が目立った。大半の発信元はXP端末であったため、その対応では感染端末のOS移行を優先し、コールバック通信を遮断していった。

　また、最近では悪質なアドウェアやスパイウェアなどへの対応も増えているという。こうしたプログラムは、Webサイトからソフトウェアをダウンロードする時に混入したり、広告バナーなどをクリックしてしまってダウンロードされたりすることで、社内に侵入する。

　インシデントやイベントの対応ではIT資産管理ツールなどを利用して、怪しげな兆候がみられる端末を突きとめ、実際にマルウェアなどが侵入しているかどうか、端末上にどのような活動が行われたのか、どのように侵入したのかなどを、ログの解析や相関分析によって調べているという。

　6月にはマクニカネットワークスの支援でデータ分析ツールのSplunkを導入した。ツールの使い方や分析ノウハウに関する研修をスタートさせ、T-SIRTメンバー以外のIT担当者でもセキュリティインシデントやイベントの調査ができるよう体制強化に着手した。

　「通常の対策では検知されないマルウェアなどの脅威について、兆候を検知した段階から遡って調べられるようにしたいと考えている。従来はログ解析をアウトソースしていたが、ツールを活用すればこれまで蓄積したノウハウを体系化し、社内で詳しい分析を迅速に行えるようになる」

　自社でインシデントの分析を行うのは、サイバー攻撃の「キルチェーン」を断ち切ることで被害の抑止や最小化を図るためだ。

　キルチェーンとは元々軍事用語で、サイバー攻撃では「偵察・武器化・展開・エクスプロイト・インストール・コマンド＆コントロール・実行」という流れ全体にあてはめている。例えば攻撃者が機密情報を搾取する目的なら、まず目標の情報の所在やIT環境などを調べる。次に攻撃コードやマルウェアなどを作成して標的に送り込み、攻撃を実行する。コンピュータへの感染に成功すると、コマンド＆コントロールと連携して新たな攻撃を実行したり搾取した情報を攻撃者へ送信したりする。

　キルチェーンを断ち切るには、通常の手法では難しい兆候の発見をログ解析などによって攻撃の流れを可視化する必要がある。同社の取り組みは、インシデントを前提にした対策の具体例といえるだろう。

情報セキュリティがビジネスを可能にする

　北村氏は、「幸いにも、これまで当社から機密データが漏えいしたという重大事案は起きていない。やはり多いのはPCに関するトラブル。状況確認や関係先への説明、再発防止策や改善策の実施や指導などに日々あたっている」と話す。

　重大なセキュリティインシデントの発生は、対策を幾ら講じても、その可能性をゼロにすることは不可能だといわれる。同社のようにインシデントの発生を前提とする体制を整備し、平時は予防に努め、有事には即応できるようにすることで、発生の可能性をゼロに近付け、万一の場合でも影響を最小限に食い止められるようになるだろう。同社ではT-SIRTがその中心的な役割を担っている。

　「Information Security as a business enabler（情報セキュリティがビジネスを可能にする）ということに尽きる」と北村氏は語る。