巧妙化する攻撃には経営も巻き込んだ組織的な対処を――JPCERT/CC

[高橋睦美，ITmedia]

　「攻撃を仕掛ける側は組織化されてきている。守るほうも組織化していかなければならない」（JPCERT/CC業務統括補佐の伊藤友里恵氏）――JPCERT/CCは7月27日に行った報道関係者向けの説明会において、最近の脅威の動向と、それに対処していくための取り組みについて語った。

　伊藤氏によると、攻撃側の手法はますます複雑化し、巧妙化している。その例がボットネットやフィッシングだ。また最近では、ワームやウイルスを無差別に送り付ける代わりに、ピンポイントでターゲットを狙い、「○○氏よりご紹介いただいた××です」といった具合に名乗って信用させようとするソーシャルエンジニアリングと組み合わせた手口も目立ってきているという。

　単なる愉快犯から、組織化、巧妙化して明確に「金銭」を狙う攻撃が増加した結果、個人や金融機関がこうむる被害は増加した。米Gartnerの調査によると、その額は年間推計9億2900万ドルに上っているという。それ以上に懸念されるのが、オンラインショッピング／バンキングに対する信頼が損なわれ、ユーザーが電子商取引から離れていってしまうという影響だ。

　こうした状況に対応するには、従来型の防御に加え3つのポイントが挙げられると伊藤氏。1つはいわゆる「Defence in Depth（多層型の防御）」。2つめは「経営トップの関与」で、その正式な認可の下、組織内CSIRT（Computer Security Insident Response Team）を構築していってほしいという。もう1つは、アプリケーションの開発段階からセキュリティを重視するということだ。

　JPCERT/CCを含むCSIRTコミュニティ全体でも、こうした対処の中でユーザーをサポートする活動を進めていくという。

　たとえばJPCERT/CCでは、これまで取り組んできたインシデントハンドリングや脆弱性ハンドリングといった活動に加え、集約した情報を元に早い段階でインシデント予防のための情報を、必要とされる相手に提供する「早期警戒情報配信サービス」を開始する計画だ。

　また、CEO／CIOフォーラムなどを通じた経営層への働きかけに加え、いざというときに備えた「サイバーセキュリティ演習」の実施、脆弱性プライオリティを評価するための「測定基準」作成といった活動にも取り組む。「システムや環境によって脆弱性のもたらすインパクトは異なる」（伊藤氏）ことから、CVSSと補完しあうような形の仕様をCERT/CCとともに作成していく計画だ。

　伊藤氏は説明の中で「My security is depending on your security」というCSIRTの理念に触れた。CSIRTだけでも、あるいは開発者や管理者、ユーザーだけが尽力すればいいというものではなく、「インターネットに関わるすべてのプレイヤーが各自のミッションを認識し、責任を果たすことではじめて安全なインターネットが実現される」と述べた。