セキュリティ事故に備える「CSIRT」構築術

ソニー・ピクチャーズへの攻撃は新たな警鐘? 企業が講じるべき対応策セキュリティインシデントに立ち向かう「CSIRT」(2/2 ページ)

» 2015年03月11日 08時00分 公開
[國谷武史,ITmedia]
前のページへ 1|2       

攻撃者は何を狙う?

 標的型サイバー攻撃では企業や組織が保有している知的財産や顧客リストなどの特定の機密情報が狙われると思われがちだ。ガランテ氏は、攻撃者が狙うのはこうした情報だけではなく、組織の体制や人事、社内外の交流状況、ビジネスのノウハウなど事業環境そのものを把握することだと話す。

 「自社にとって重要だと思われる情報よりも広い範囲の情報が標的にされる。つまり、競合他社などのような立場からみて、差別化や競争優位性に映る情報に価値がある」(ガランテ氏)

 標的型サイバー攻撃などのインシデントに備えるには、まず上記の視点も加味して自社にとって重要な情報資産を理解することから始まるという。次に、その情報資産がどのような攻撃のシナリオによって侵害されるのかを可能性や重要性の観点から検討し、可能性や重要性の低いものについては除外していく。例えばハイテク企業にとって対応を優先すべき脅威は、自社の知的財産を盗もうとするライバル国の政府の支援を受けた攻撃者グループとなり、ハクティビストへの対応は相対的に低くなるといった具合だ。

 攻撃者に狙われる自社の情報資産を把握することがインシデント対応における起点となる。しかし、これが最も難しく、多くの企業ができていないポイントでもあるという。「複雑化しているシステムやネットワークの中で日々どのような情報がやりとりされているのかを理解し、ベースライン(基準)を作らないといけない。これは非常に大変であり、つまらない作業だが、必ずしなければならならず、ベースラインがなければ対応すらままならない」(ガランテ氏)

 ベースラインを確立すると同時に、システムやネットワークの情報を一元化し、ツールや技術を活用して状況を分析できる体制も必要になる。ただ、それを行うための人材が日米とも不足している。この点は同社のような外部の専門機関のリソースを活用する手もあり、いざセキュリティインシデントが発生しても、トップダウンによる組織横断型の体制で適切に対応できるようになることが求められる。


 SPEでの事件に契機に標的型サイバー攻撃は、企業レベルでの対応が難しいリスクに変容していくかもしれない。ガランテ氏もその傾向が強まる可能性を指摘しつつ、標的型サイバー攻撃は企業にとってそもそも不可避なリスクであることから、上述したインシデントに対応するための環境作りを進めるべきだとアドバイスする。

 「我々も標的型サイバー攻撃の検知からインシデントの調査・分析、再発防止策までをサービスとして提供している。企業では平時から対応のための体制を整え、専門機関を活用していざという時でも適切に対応して被害を抑止できるようにしていただきたい」(ガランテ氏)

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ