ニュース
» 2015年05月19日 07時30分 公開

標的型攻撃を受けたヤフー、語られた対策とは?(2/4 ページ)

[國谷武史,ITmedia]

セキュリティ対策のポイント

 サイバー攻撃を未然に避ける手立ては存在しない。そうであれば、実際に来るか(もしれない)攻撃をできるだけ食い止め、守る側が有利な状況になるよう手立てを講じる。そこで求められるのが、「多層防御」と呼ばれるアプローチだ。

 多層防御とは、複数の異なる種類の防御手段を幾つも設けることによって、攻撃の侵入を抑え込む方法だ。仮に最初の防御手段が突破されても、その後に続く防御手段で攻撃を抑え込む。前衛の防御手段が突破されたことと検知できれば、「攻撃が行われている」と認識できる。後衛の防御手段が攻撃に対応している間に、さらなる対応を検討、実施するための時間を稼ぐことができる。

 「『攻撃がある』と分かれば守る側が有利になれる場合が出てくる。そのために早期に検知して攻撃の状況(攻撃元や目的、経路、範囲など)を知る。アクセス制御を実施して侵入を困難にしつつ、攻撃状況を監視しやすいようにする」

 ただし、こうした対応ができるための“前提”もある。守る側が自らの内側を理解している、ということだ。具体的には「情報資産と影響」(何が攻撃者にとっての旨み)、「システムと情報の配置」「権限やアクセス経路」「運用手順や承認フロー」(守る側の内なる仕組み)である。そもそも、自分自身のことを知らなければ守りようがない、というわけだ。

 守る側が己を知り、攻撃を阻止、検知するための防御ポイントは幾つもある。

(高氏の講演資料より作成))

  • 権限の把握:入退出制限、ネットワークアクセス、サーバアクセス、データ/ファイルアクセス、アクセス権限種別、ホワイトリスト、実行可能アプリケーション/コマンド、リモート接続、接続可能デバイス
  • 重要システムと構成情報:管理者権限アカウント、ドメインコントローラ、メールサーバ、システム/ネットワーク構成図、組織表
  • 作業計画と作業履歴:アクセスログ、ネットワークログ、システムログ(Syslog)、必要な業務期間、アクセス可能な時間
  • 権限のライフタイムサイクル:人事異動、退職

 高氏によれば、上記の表にあるポイントを押さえることによって、少ない費用でセキュリティレベルを高めていける。ただ、現実には業務現場からの反発やシステムのブラックボックス化(担当者にしか分からない状況)といった課題も存在する。

 「攻撃を監視できるポイントをなるべく多く確保しておくのが望ましいが、現状の仕組みに設けるのは難しいだろう。新しいサービスなどを用意する際に、業務プロセスやシステム設計にこうしたセキュリティ上のポイントを組み込んでおく方法もある」

 多層防御のアプローチでは1つ1つの防御ポイントに“固執しない”ことも大切だ。固執すると、攻撃の動きを見逃し、被害に至る恐れが高まる。前項にあるようにサイバー攻撃は、目に見えにくいという特徴を持つ。監視ポイントを張り巡らせることで、「平時と違う?」という気付き(兆候)を把握できることが重要になる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ