偽装ウイルスからPCを守るには――ハッカーが用いる「4種の偽装」:ITmedia エンタープライズ セキュリティセミナーレポート【大阪編2】(4/4 ページ)
編集部が2017年12月に大阪で開催した「ITmedia エンタープライズ セキュリティセミナー」のレポート。後編はコネクトワンの偽装ウイルスの防御、FFRIとTISのエンドポイントセキュリティを紹介する。
インシデントを自社で検知できる企業はわずか16%
続いて登壇したTISは、三和グループに属するシステム開発・構築会社で、特にクレジットカードやデビットカードのシステム開発を得意としている。同社の河田哲氏は、これらの領域において「国内トップの実績を誇る」と語る。
多くの企業がセキュリティ対策に取り組んでいる中で「経営者はセキュリティを重要課題と意識しているが、費用や工数がかさむ。費用とパフォーマンスをどうバランスさせるか、その着地点が見えていない」と河田氏は指摘。
企業経営層を対象とした調査では、中堅以上の8割以上が「情報セキュリティは重要な経営課題」と認識しているが、中小、中堅企業を中心に「費用負担が大きい」「工数負荷が高い」「どこまでやればよいか分からない」と回答しているという。セキュリティ人材の不足もあいまって、システム投資に対するプレッシャーも増す中、企業がとるべきセキュリティ対策が岐路を迎えていることを説明した。
従来は堅牢なメインフレームに情報を集中させていればよかったものが、仮想化やクラウド、働き方改革などITとビジネスの環境が変わり、防御対象も分散してしまった。攻撃者も2000年ごろまでは単なる愉快犯的なものが多かったのに対し、昨今は標的型攻撃に代表されるように、収益目的の犯罪行動が主流だ。
「攻撃側も検知をかわす技術を考えており、サンドボックスを逆に検知しておとなしくなったり、一定期間は動作せずにじっとしていたりすることで、検知を回避するといった手法を駆使する。製品単独での防御では限界がある」(河田氏)
河田氏によれば、インシデントを自社で検知できる企業はわずか16%であり、第三者による指摘や通報を基にインシデントに気付いた場合、平均で168日間も侵害されているのだという。
弱点を「可視化」して、その対応策を施すことが重要
TISでは、ユーザー企業に標的型攻撃対策のコンサルティングを行っており、河田氏はその一例を紹介した。その企業では、海外も含めた複数のグループ企業で1万台規模のPCを利用し、数年前から標的型攻撃の対応製品も導入しているものの、既にヒヤリハット事例が散発しており、対応も遅れがちだったという。
さらに、全社統一の基準や方針がなかったこともあり、製品を導入しても、運用が製品別でバラバラになっており、まるで連携が取れていなかったという。緊急対応時の担当も分かれており、インシデント調査の煩雑化も問題となっていた。
そこでTISでは、標的型攻撃のフローに沿って、対策策が「入口、出口、水際」のどこに該当するか、導入済の機器がどの部分に対応し、現時点で何を補強しなければいけないかを可視化し、脅威レベルに対応した計画を立案。一律に機器を導入するのではなく、弱点ごとに対応策を施した。
セキュリティレベルの底上げは、実行すべき対策に合わせて、セキュリティサービスレベルを作成してルール化することが大切であり、必要に応じてレベルが異なる項目のみ個別調整を行うことで「最小限のコストでレベルを統一しつつ、安定運用が行える」と河田氏は言う。
人員不足の問題に関しては、外部のリソースを使うのが有効だ。監視や原因の特定などの初動作業は外部のSOC(Security Operation Center)を利用し、インシデント調査や恒久的な対策に対してのみ、自社のリソースを利用するようにすることで人員削減と効率化が行えるという。
河田氏は、講演の最後にTISが行っている標的型攻撃対策サービス「マネージドEDR(Endpoint Detection and Response)サービス」を紹介。元来、EDRの目的は問題に気付くことであり、適切に周辺情報を収集分析する必要がある。それは、単にEDR製品を導入するだけでは難しく、「専門家によるマネージドサービスが有効だ」と強調した。
どうしても検知をすり抜けてしまう標的型攻撃の対策は難しいが、対応できるスキルを持つ人材の確保も困難だ。そこで、水際で検知可能な次世代エンドポイント製品を使い、監視から対策まで一手に引き受けるマネージドサービスが企業のセキュリティ対策に求められるという。「やみくもに導入するのではなく、既存の資産を判断した最適な導入効果とコストを見据えた判断基準を定める必要がある」(河田氏)
関連記事
- ラック、Windows Defender ATPを活用した「マネージドEDRサービス」開始を発表
ラックは2017年12月14日、企業内のPCを遠隔監視し、サイバー攻撃の被害に対して遠隔からインシデント対応を行う「マネージドEDRサービス for Windows Defender ATP」を2018年1月から開始することを発表した。Microsoftの「Windows Defender ATP」を利用している。 - プリンタへのハッキング対策、手薄になりがち――セキュリティベンダーが警鐘
エンタープライズネットワークで、プリンタのようなデバイスのセキュリティ対策が手薄になりがちな現状が浮き彫りになった。 - 組織を脅かす「ファイルレス攻撃」のリスク増大 従来比で攻撃成功率が10倍
従来型のエンドポイントセキュリティの隙を突くファイルレス攻撃が台頭し、攻撃が成功した事例の77%でファイルレスの手口が使われていた。 - 新たな脅威が4つも ここは押さえておきたい! 情報セキュリティの10大脅威 2018年版
ますます高度化し複雑化する情報セキュリティの脅威には、いったいどんなものがあるのか。IPAが先頃発表した「情報セキュリティ10大脅威 2018」を基に考察してみたい。 - 新たな技術の出現でサイバー犯罪はどう進化する? インターポールが示す未来の攻撃
あらゆるモノがネットワークに連接され、実空間とサイバー空間との融合が高度化するとともに、ますます深刻化が予想されるサイバー脅威に対し、企業はどのような対応策を講じるべきか?――国際刑事警察機構(インターポール)という国際機関の視点から見たセキュリティ事情に、そのヒントを探る。 - FBIも警鐘! ファームウェアを狙った攻撃が急増
ますます深刻化するサイバー攻撃の脅威に対し、企業はどのような体制で臨めばいいのか。「ITmediaエンタープライズ セキュリティセミナー」から、そのヒントを紹介する。 - “役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。 - 世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。
Copyright © ITmedia, Inc. All Rights Reserved.