「実態解明」から考える標的型サイバー攻撃への対応策（3/3 ページ）

[國谷武史，ITmedia]

「攻撃されたかも」と察知できる習慣を

　ここ数年は、企業や組織が標的型サイバー攻撃を受けたというニュースがほぼ連日のように伝えられるようになった。だが、こうした事件が明るみに出るのは、氷山の一角だと指摘するセキュリティの専門家は多い。既に多数の企業や組織にバックドアのような標的型マルウェアが侵入しており、数々の情報が流出しているともいわれ、明らかになった時点では「時既に遅し」という状況である場合も少なくない。

　NISCをはじめ国内のセキュリティ機関は、脅威の侵入を防ぐというだけでなく、侵入を前提に被害を最小限に抑えることも考慮した対応方針を打ち出している。そのためには、「標的型サイバー攻撃を受けているかもしれない」という兆候をいち早く察知できるがポイントになる。

　そのための仕組みとして注目され始めたのが、冒頭に挙げた「ローカルインテリジェンス」というものである。具体的には、企業や組織のネットワークやコンピュータ、システム全体の状況を監視し、平時とは異なる兆候を見つけられるようにする。そこで用いるのが、「SIEM（Security Incident Event Management）」と呼ばれるものだ。

　SIEMではネットワーク内の通信やコンピュータ、システムの稼働状況といったさまざまログを、セキュリティの脅威の視点から分析していく。そこから、例えば、社内では認められていないプログラムが実行されている、あるいは、通常ではみられない国や地域にアクセスしていた、通常では使われないポートが使われた、夜間に大量のデータが送信されていたなどの不審な点を見つける。こうした平時とは違う状況が分かれば、標的型サイバー攻撃を受けている可能性が高いと推測できるようになる。

　ただ、ローカルインテリジェンスの仕組みを構築、運用することは簡単では無い。ネットワークやコンピュータ、システムの規模や数が巨大であるほど、膨大な量と種類のログが出力されるため、その中から不審な兆候を見つけ出すのは、多くの根気と労力を伴う。そもそも、標的型サイバー攻撃のようなケースではどのような手口が使われるのかを事前に理解しておかなければ、兆候を見つけ出すのも難しい専門家並みの知見やノウハウを持った多くの人材とインテリジェンスのためのシステムを持つ必要であり、これを実現できるのは大規模であるか、セキュリティ意識が高く平時から積極的な対策を講じている企業や組織に限られてしまう。

　このため、セキュリティベンダーや通信事業者、プロバイダーは、中堅・中小企業向けに提供するセキュリティサービスでの標的型サイバー攻撃への対応を強化しつつある。こうしたサービスではユーザーに代わって、ユーザーのネットワークやシステムをサービス提供者が監視し、不審な兆候の発見や解析に当たる。危険性や緊急性が高いと判断されれば、ユーザーに知られ、その対応を支援する。

　染谷氏は、セキュリティサービスなどの活用を勧めつつ、より効果的に利用するためには、「ユーザー側でもIT管理者が平時とは異なる兆候をすぐに見つけられるような基準を設けておくべき」とアドバイスする。

　APTなど高度な手口を用いて継続的に行われる標的型サイバー攻撃の対策では、脅威の侵入を防衛するために、多額のコストと時間、労力をかけて全方位網的な対策手段を講じなくてはならないと考えがちだ。だが、アプローチを間違うとそれも意味を成さない可能性がある。

　「自社ですべき点やできる点と、専門家のサポートを活用する点を適材適所で組み合わせていくことが重要だ。それによって無理にコストやリソースを投資することなく実用的な対策を講じていける」と染谷氏は話している。