セキュリティ事故に備える「CSIRT」構築術

ソニー・ピクチャーズへの攻撃は新たな警鐘? 企業が講じるべき対応策セキュリティインシデントに立ち向かう「CSIRT」(1/2 ページ)

2013〜2014年に米国では大規模な被害を伴うサイバー攻撃事件が相次いだ。セキュリティインシデントの分析・研究などを手掛けるMandiantの専門家は、「米国でも適切に対応できる企業はごく一部しかない」と指摘する。

» 2015年03月11日 08時00分 公開
[國谷武史,ITmedia]

 国内では2011年に大手メーカー数社への標的型サイバー攻撃が発覚して以降、多くの企業や組織でセキュリティインシデントが重大なリスクとして認識されるようになった。一方、米国では2013年の小売大手Targetに対する攻撃や2014年のソニー・ピクチャーズ・エンタテインメント(SPE)に対する攻撃などの事件が相次ぎ、国家規模でサイバー攻撃に対処する機運が急速に高まっている。

 米セキュリティ企業FireEyeの傘下でセキュリティインシデントの調査や分析、研究を手掛けるMandiantのThreat Intelligenceチーム マネージャー、ローラ・ガランテ氏は、「SPEに対する攻撃は新たな警鐘だといえる」と語る。同氏は、グローバル企業や政府機関でのセキュリティインシデント調査を長年手がけている専門家の1人だ。

標的型サイバー攻撃に変化?

Mandiant Threat Intelligenceチーム マネージャーのローラ・ガランテ氏

 「Targetでの事件は標的型サイバー攻撃の典型といえるものだが、SPEの事件は従来とは異なる点が2つある。1つはメールなどの内容が暴露されて経営のトップ(エイミー・パスカル共同会長)が辞任に追い込まれ、ホワイトハウスが関与する事態に発展したこと、もう1つは攻撃者が情報を盗みだすだけでなく、情報そのものを破壊した点になる」(ガランテ氏)

 Targetの事件は、POSシステムから数千万件もの顧客情報やクレジットカード情報などが流出したもの。攻撃者が周辺システムとネットワークからマルウェアを送り込んでPOSシステムに感染させ、不正アクセスを行ったとみられている。SPEの事件では同社から未公開の映画作品や社員などの様々な機密情報が漏えい、公開されただけなく、ITシステムがダウンして業務ができなくなる事態も生じた。オバマ米大統領や米連邦捜査局(FBI)が北朝鮮の関与を名指しするなどしているが、詳細は明らかにされていない。

 Mandiantは実際に2つの事件の調査・分析を担当している。ガランテ氏は個別の事案については明かせないとしつつ、同社では調査と分析の2つのチームが連携してセキュリティインシデントの対応にあたると説明する。

 まず、インシデントが発生した企業から依頼を受けて調査チームが現場に入り、侵入経路や使われたマルウェアなど様々な状況を調べていく。分析チームは調査チームの報告をもとに、同様の手口などが同業他社など他の場所でも使われていないかなどを綿密に調べていく。

 同社ではこうした入念な調査と分析を経てサイバー攻撃を実行した組織や人物を特定し、インシデントが発生した企業での復旧や再発防止策を支援するのが、最終的なゴールだという。そのためには個別のインシデントを把握するだけでは不十分であり、サイバー攻撃の全体像を把握しなければ抜本的な対抗策を講じるのは難しい。

 ただしガランテ氏によれば、標的型サイバー攻撃を受けても適切に対応できる企業は、米国でも金融や軍事関連などごく一部に限られる。多くの企業がセキュリティインシデントに対応する体制の構築を検討しているものの、「そのための準備が遅れている」という。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ