セキュリティインシデントに強い組織づくり 標的型攻撃を再点検するITmedia エンタープライズ ソリューションセミナー レポート(1/5 ページ)

国内企業・組織を狙う標的型攻撃の脅威が改めて注目された2015年。情報資産やシステムをインシデントの被害からどう守るべきだろうか――ITmedia エンタープライズ主催セミナーではセキュリティの専門家が標的型攻撃を中心とする対策ポイントを解説した。

» 2016年01月22日 08時00分 公開
[ITmedia]

 国内で標的型攻撃の脅威が注目された2011年以降、企業や組織ではさまざまな対策が講じられてきた。しかし、2015年は大規模な個人情報の漏えい事故など被害が相次いだ。2015年12月11日に大阪で開催された「第17回 ITmedia エンタープライズ ソリューションセミナー ビジネスを脅かす標的型攻撃 対策再点検のススメ」では標的型攻撃をはじめとするインシデント被害から情報資産を守るためのポイントやソリューションが紹介された。

経験から学ぶインシデント対応のポイント

 基調講演では東京電機大学の佐々木良一教授(内閣官房サイバーセキュリティ補佐官)が標的型攻撃のインシデント対応おけるポイントを解説した。

東京電機大学 未来科学部 情報メディア学科教授 サイバーセキュリティ研究所所長(内閣官房サイバーセキュリティー補佐官)工学博士 佐々木良一氏

 過去をみると、サイバー攻撃には2つの転換点が認められるという。1つ目は省庁でのWeb改ざん事件が発生した2000年頃。もう1つは2010年のStuxnet事件だ。攻撃者の目的が愉快犯から金銭や主義・主張など多様化し、組織的な活動や攻撃技術の高度化が進んだ。現在の標的型攻撃は主に「初期侵入(例:標的型メール)」「侵入拡大(例:脆弱性の悪用)」「目的遂行(例:情報の搾取)」の3段階に分けられ、対策ポイントも各段階の特徴に合わせて講じる必要がある。

 「初期侵入」では実在する組織になりすましたり、メールでのやり取りを重ねてウイルスを送り付けたりする手口が知られる。内容が非常に巧妙で受信者が見抜くのは非常に難しい。Sender Policy Framework (SPF)やS/MINEなど送信者の身元を確認できるような技術的な方法の導入も検討すべきだという。

 「侵入拡大」ではパッチ適用による脆弱性の解消、権限の高いアカウントの適切な管理といった攻撃者の侵入行為を困難にさせる運用が重要になる。また、ネットワークのセグメント化や早期検知の仕組みの導入といった備えも講じる。

 最後の「目的遂行」は情報漏えいなどの実被害につながる段階にあたり、これを阻止しなければならない。防止策には、例えば外部サイトへのアクセスをプロキシサーバ経由としてブラックリストやホワイトリストに基づく制御を行うほか、外部への通信でフィルタリングを行い、情報が不正に送信されるのを阻止する。

 こうした各段階での対策に加え、被害の早期発見や拡大阻止のためにログの保管と監視、そして、インデントに対応するCSIRTの整備も検討する。特にインシデントの発覚は長期化しており、正確な調査を実施できるようにするためにも各種機器のシステム時刻を同期させ、ログを1年以上保存しておく。機器別では例えば、ファイアウォールで外部から内部へ許可された通信、内部から外部への許可・不許可された通信のログを取得しておく。

 CSIRTはいわば自衛消防団にあたる存在だ。その活動では緊急時に適切な連絡・調整ができること、平時にはセキュリティの啓発などを通じてセキュリティ脅威の予防つなげていく。佐々木氏はこうした技術と組織の両面からの標的型対策のポイントを示した。

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ