偽装ウイルスからPCを守るには――ハッカーが用いる「4種の偽装」：ITmedia エンタープライズ セキュリティセミナーレポート【大阪編2】（4/4 ページ）

[タンクフル，ITmedia]

インシデントを自社で検知できる企業はわずか16％

TIS プラットフォームサービス本部 エンタープライズセキュリティサービス部 主査 河田哲氏

　続いて登壇したTISは、三和グループに属するシステム開発・構築会社で、特にクレジットカードやデビットカードのシステム開発を得意としている。同社の河田哲氏は、これらの領域において「国内トップの実績を誇る」と語る。

　多くの企業がセキュリティ対策に取り組んでいる中で「経営者はセキュリティを重要課題と意識しているが、費用や工数がかさむ。費用とパフォーマンスをどうバランスさせるか、その着地点が見えていない」と河田氏は指摘。

　企業経営層を対象とした調査では、中堅以上の8割以上が「情報セキュリティは重要な経営課題」と認識しているが、中小、中堅企業を中心に「費用負担が大きい」「工数負荷が高い」「どこまでやればよいか分からない」と回答しているという。セキュリティ人材の不足もあいまって、システム投資に対するプレッシャーも増す中、企業がとるべきセキュリティ対策が岐路を迎えていることを説明した。

　従来は堅牢なメインフレームに情報を集中させていればよかったものが、仮想化やクラウド、働き方改革などITとビジネスの環境が変わり、防御対象も分散してしまった。攻撃者も2000年ごろまでは単なる愉快犯的なものが多かったのに対し、昨今は標的型攻撃に代表されるように、収益目的の犯罪行動が主流だ。

　「攻撃側も検知をかわす技術を考えており、サンドボックスを逆に検知しておとなしくなったり、一定期間は動作せずにじっとしていたりすることで、検知を回避するといった手法を駆使する。製品単独での防御では限界がある」（河田氏）

　河田氏によれば、インシデントを自社で検知できる企業はわずか16％であり、第三者による指摘や通報を基にインシデントに気付いた場合、平均で168日間も侵害されているのだという。

弱点を「可視化」して、その対応策を施すことが重要

　TISでは、ユーザー企業に標的型攻撃対策のコンサルティングを行っており、河田氏はその一例を紹介した。その企業では、海外も含めた複数のグループ企業で1万台規模のPCを利用し、数年前から標的型攻撃の対応製品も導入しているものの、既にヒヤリハット事例が散発しており、対応も遅れがちだったという。

　さらに、全社統一の基準や方針がなかったこともあり、製品を導入しても、運用が製品別でバラバラになっており、まるで連携が取れていなかったという。緊急対応時の担当も分かれており、インシデント調査の煩雑化も問題となっていた。

　そこでTISでは、標的型攻撃のフローに沿って、対策策が「入口、出口、水際」のどこに該当するか、導入済の機器がどの部分に対応し、現時点で何を補強しなければいけないかを可視化し、脅威レベルに対応した計画を立案。一律に機器を導入するのではなく、弱点ごとに対応策を施した。

　セキュリティレベルの底上げは、実行すべき対策に合わせて、セキュリティサービスレベルを作成してルール化することが大切であり、必要に応じてレベルが異なる項目のみ個別調整を行うことで「最小限のコストでレベルを統一しつつ、安定運用が行える」と河田氏は言う。

　人員不足の問題に関しては、外部のリソースを使うのが有効だ。監視や原因の特定などの初動作業は外部のSOC（Security Operation Center）を利用し、インシデント調査や恒久的な対策に対してのみ、自社のリソースを利用するようにすることで人員削減と効率化が行えるという。

　河田氏は、講演の最後にTISが行っている標的型攻撃対策サービス「マネージドEDR（Endpoint Detection and Response）サービス」を紹介。元来、EDRの目的は問題に気付くことであり、適切に周辺情報を収集分析する必要がある。それは、単にEDR製品を導入するだけでは難しく、「専門家によるマネージドサービスが有効だ」と強調した。

EDRは専門家によるマネージドサービスが有効だという

　どうしても検知をすり抜けてしまう標的型攻撃の対策は難しいが、対応できるスキルを持つ人材の確保も困難だ。そこで、水際で検知可能な次世代エンドポイント製品を使い、監視から対策まで一手に引き受けるマネージドサービスが企業のセキュリティ対策に求められるという。「やみくもに導入するのではなく、既存の資産を判断した最適な導入効果とコストを見据えた判断基準を定める必要がある」（河田氏）