新年あけましておめでとうございます。
ITSearch+では「2017年新春インタビュー」と題し、「IoT」と「セキュリティ」を軸に、IT専門調査会社「IDC Japan」の担当アナリストにインタビューを行いました。IoTの本質とは何か、セキュリティ対策で次に打つべき手は何かを見出していただければと思います。今回は「セキュリティ編」です。

ランサムウェアはIoTにもやってくる

IoTは「フェイル・ファースト」がキモ

セキュリティ対策は、「多層防御」というキーワードに代表されるように、入口、内部、出口対策、それ以外にもデバイスマネジメントなどカバー領域が多岐にわたる。ただ、サイバー攻撃の拡大にあわせて特に優先すべき対策項目をピックアップして対処したいのが、情報システム部門の考えるところだろう。

IDC Japan ソフトウェア&セキュリティ リサーチ マネージャーの登坂 恒夫氏に注力すべきセキュリティ対策について尋ねたところ、「ランサムウェア」と「クラウド・モバイル前提」を挙げた。「サイバーセキュリティ被害の状況、企業システムの変化から、企業はセキュリティ対策を見直すべき時期に来ている」とも話す登坂氏に、2017年のセキュリティ対策の在り方を聞いた。(関連記事 : 日本のセキュリティ課題は「リーダーシップ」 - IDC Japan「セキュリティ成熟度調査」)

IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂 恒夫氏

社内システムの異常検知を行う仕組み作りが重要に

2016年のサイバーセキュリティ被害を代表するものと言えば「ランサムウェア」だろう。

「ランサムウェアの被害件数は、IPA(情報処理推進機構)やセキュリティベンダーの調査で動向が伝えられているが、実際の被害はこうした報告以上に多いのではないかと推測している」(登坂氏)

登坂氏がこう語る理由は、ランサムウェア被害が情報漏えいとは異なり、被害報告の義務がないためだ。被害にあった企業や個人は、ランサムウェア被害を恥じるべき、ネガティブなものと捉える傾向がある。そのため、「実際に被害にあっても外部には一切公表していないケースが相当数あると考えられる」(登坂氏)。

ランサムウェアの話題は2015年から増加傾向にあるが、プログラムとしてのランサムウェアはそれ以前から存在していた。ただし、以前は不特定多数を狙ったものであり、特定の相手を狙うものではなかった。現在流行しているランサムウェアは、特定の相手のファイルを破壊し、人質に取る標的型攻撃のツールとして利用されている。

「そこで企業は、エンドポイント対策として従来のマルウェア対策に加え、ランサムウェアを意識した対策が必要になる。ただし、ウイルス対策のように『これが特効薬』といえるものがない。複数の対策を取ることが望ましい」(登坂氏)

複数の対策の一つが「データのバックアップ」。ランサムウェア対策以前に、万が一システムトラブルが起こった際の対策として企業システムには必須といえるものだ。

「とはいえ、『バックアップをとっているからランサムウェア対策は完璧』と考えるのは尚早だろう。データの容量によっては頻繁にバックアップすることが難しいケース、バックアップを取っていない間に機密データのやり取りが発生し、その隙を突かれるといった可能性もある」(登坂氏)

内部監視はAIで次のステップへ

ではバックアップ以外にはどんな対策があるのか。

「これまでのセキュリティ対策は、脅威の侵入を防ぐ入口対策、重要なデータが流出していないかを見張る出口対策、内部統制として『権限通りにシステム利用を行っているのか』を監視する内部監視の3点が、企業セキュリティの取り組むべきポイントとされてきた。ランサムウェア対策としては、ここに『新たな内部監視』を組み込むべきだと提言したい」

新たな内部監視は、内部に潜伏している脅威を見つけ出して早期に対策を行い、「ファイルを勝手に暗号化する」「データを外に持ち出し、人質代わりにする」といった被害を起こさせないための監視活動のことだ。本来は暗号化されることのないファイルが暗号化されるといった動きを検知することで、データを人質にとるランサムウェアの動きを封じる。

ただし、内部監視ソリューションにありがちな問題は、「異常検知が多すぎて対策が後手にまわってしまう」という問題だ。そこで今後、大きな威力を発揮するだろうと考えられるのが、セキュリティベンダーが注力する「AIを使った脅威診断」だ。

「セキュリティベンダーは以前から、機械学習を使って脅威インテリジェンスに上がってくる脅威情報を分析していた。これまでは外部にアピールしてこなかったが、今後は正式な商用サービスとして提供するケースが増えていくだろう。SIEMで収集した膨大なインシデント情報からすぐに対処すべき重大インシデントを見つけ出すことは、本来は専門のセキュリティアナリストが行うべき作業となる。しかし、それを行う人材が足りない。セキュリティアナリストの人材不足を補うものとして、AIが鍵となってくる」(登坂氏)

この場合、「AIから上がるレポートをどう処理するか」という点に、セキュリティベンダーごとに違いが出てくることが予想される。それだけに、「セキュリティベンダーから、どんな対策が提供されるのか。ユーザー側はよく吟味する必要がある」と登坂氏は話す。

従来とは異なる「脅威情報の分析能力」と「分析からどのような手を打つのか」が、セキュリティ製品採用の決め手になりそうだ。