セキュリティ事故に備えるシーサート構築術

企業に課せられるセキュリティ問題の“事後対応”インシデントと戦うCSIRT

従来の情報セキュリティでは、いくら手厚い対策を実施してもインシデントを回避するのが難しくなりつつある。今後は、発生したインシデントに対するアクションをどうすべきかという点に目を向ける必要があるようだ。

» 2009年03月02日 08時40分 公開
[ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「セキュリティ事故に備えるシーサート構築術」でご覧になれます。


 「企業における情報セキュリティ対策とは何か」と問われたとき、あなたは何と答えるだろうか。最新のセキュリティパッチの適用やウイルス対策ソフトウェア、ファイアウォールの導入は、今では常識となった。最近であれば、さまざまなセキュリティ機能を一元化した統合型のアプライアンス「UTM」(Unified Threat Management)」を導入しているケースも数多く見られるようになった。

 実際に日々発生しているセキュリティ上の問題や事故(インシデント)の大半は、これらの基本的とも言える防御策を導入することによって、ある程度は未然に防ぐことが可能だ。防御の側面からセキュリティ対策を考えた場合、今でもこれらの対策手法は十分に有効なものである。

 しかし、企業を取り巻く情報セキュリティ上の脅威は年々複雑化、巧妙化しつつあり、今では防ぐことが極めて難しいインシデントが世界中で発生するようになった。その中でも特に深刻なものが「標的型攻撃」(Targeted Attack)である。

 標的型攻撃とは、特定の企業や組織を標的とした攻撃であり、古くからある攻撃手法である「DDoS」(Distributed Denial of Services、分散型サービス運用妨害)攻撃が代表的だ。

 現在問題視されている標的型攻撃には、DDoS攻撃ばかりではなく、特定の企業や組織に対して、実際に関係のある実在の企業や組織、もしくは人物をかたって「本物」らしく振る舞った内容の電子メールを送りつけるというものがある。電子メール内に悪質なサイトへのリンクを記載したり、細工した添付ファイルを開かせたりするなどの方法でマルウェアに感染させる、ソーシャルエンジニアリングを用いた攻撃である。

 この攻撃手法を技術的に観察すると、昔ながらのウイルスメールと大きく変わるものではないことが分かる。問題となるのは、送信元として実在する企業や組織、人物をかたり、しかも攻撃対象者が実際に電子メールを受け取る可能性がある者になりすますことで、受信者が電子メールの内容を鵜呑みにしてしまう点にある。その結果、受信者が不用意にWebサイトへアクセスしてしまったり、添付ファイルを開いてしまったりする可能性を大きく高めているのである。

 さらに深刻なのは、実際の攻撃に使われる添付ファイルなどが攻撃対象者に向けて専用に作り込まれている場合が多いという点だ。このため、アンチウイルスベンダーが不正プログラムの検体を入手することが非常に難しくなり、その結果としてウイルス対策ソフトウェアでは検知できない場合が増えているのである。数々の攻撃の中には、未公開の脆弱性――修正プログラムが提供されていない段階のバグ――を悪用する「ゼロデイ攻撃」と組み合わされて仕掛けるケースも報告されている。

 このような標的型攻撃が確認されたケースには、政府機関や企業の役員の名前をかたった電子メールが送り付けられてきた事例や、国内ではワープロソフトウェア「一太郎」の未公開の脆弱性を悪用したものが代表的だ。

 防ぐことが極めて難しいインシデントは標的型攻撃に限らない。社員の勘違いや行動のミス、場合によっては意図的に起こした「情報漏えい」などのインシデントは、いくら企業側が強固な防御策を講じていても、100%防ぐことは不可能である。このようなインシデントに対して、企業はいったいどのように対処すればいいのだろうか。

 一般的には冒頭で挙げた技術的な防御策に加えて、社員への啓発などが求められる。しかし、それだけでは充分とは言えない。100%防ぎようがないインシデントに対しては、防御策を講じるだけでなく、発生してしまうことを前提として、発生した後にどのようなことをすべきか準備をしておけばいい。つまり、万が一の事態に対してその被害を最小限に抑え、速やかに復旧するための方法を事前に検討し、対応手順をマニュアル化しておくのである。

 これは自然災害に対する方法として、例えばディザスタリカバリ(DR)やBCM(BusinessContinuity Management)と本質的には同じ取り組みである。セキュリティインシデントは、自然災害と同様にいつかは起こるものだと捉えて、企業が準備すべき課題の1つだ。

 だが自然災害とは異なり、セキュリティインシデントにつながる攻撃手法は年々変化しているため、想定外の事故やマニュアルによって対応ができない事態が発生することが珍しくない。つまり、セキュリティインシデントの対応において重要なのことは、どれだけ柔軟に対応できるかという点にあるのだ。

 本連載はセキュリティインシデントへの事後対応をテーマに、その実現に必要な活動である「シーサート」(CSIRT=Computer Security Incident Response Team)という枠組みと考え方について、次回から実例を交え紹介する。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ