近年、企業の情報セキュリティ担当者を悩ませているテーマのひとつは「標的型攻撃への対応」である。2011年には、日本においても大手有名企業、政府関連が標的とされた事例が確認され、マスコミでも大きく報道されたことで一躍注目を集めるようになった。

シマンテック ドット クラウドのテクニカルダイレクタを務める坂本真吾氏

一方で、標的型攻撃の存在について知ってはいるものの、実際の攻撃にはどのような手法が用いられ、どのような対策を立てるべきなのかについては、漠然としたイメージしか持っていない担当者も多いのではないだろうか。

今回、この標的型攻撃の実態と、その有効な対策方法について、情報セキュリティ分野で豊富な実績を持つシマンテックに話を聞いた。担当者は、同社が提供しているクラウド型セキュリティソリューション「シマンテック ドット クラウド」のテクニカルダイレクタを務める坂本真吾氏と、同じくシマンテック ドット クラウドのマーケティングマネジャーである三浦真樹子氏だ。

聞き手は、マイナビのシステム統括本部で業務システム統括部の部長を務める薄井照丈氏にお願いした。経営にとって大きなリスクとなり得る標的型攻撃の実態とはどのようなものか。そして、システム面でできる有効な対策はどのようなものか。実際に、現場で情報セキュリティの確保にかかわる担当者の立場で、疑問をぶつけてもらった。

最新ITリスク対策 注目記事一覧

「どんな企業でも、攻撃のターゲットとなる可能性はある」

薄井 : 最近の情報セキュリティのキーワードとして「標的型攻撃」があります。従来のコンピュータウイルスと呼ばれるものには、画面に花火が打ち上がるような、どちらかといえば「愉快犯」的なものが多く、企業の情報システム担当としては、そうしたものが社内で広がるのが困るという意味あいで、ウイルス対策ソフトを導入していたように感じています。ところが、ここ2、3年で、この「標的型攻撃」という言葉をよく聞くようになってきました。

マイナビ薄井照丈氏

まず疑問に思うのは、標的型攻撃は、従来までのウイルスやボットと何が違うのか。そして、どのように対応すればいいかということです。非常に基本的なことなのですが、まずここからお聞かせください。

坂本 : はい。海外では4年ほど前から、標的型攻撃の危険性については知られるようになってきており、その危険性も認識されていたのですが、日本ではつい最近まで、その重要性を認識してもらうのが難しかったように感じています。

標的型攻撃は、従来の愉快犯的なウイルスなどと異なる、明確にある特定の組織や人物をターゲットとして、何らかの情報を引き出すために攻撃を行っている点が特長になります。また、その手法については、複数の段階を持った「多段攻撃」が用いられるケースが多いです。例えば、1段目の攻撃で抜き出したい情報を確保し、2段階目の攻撃で、それを外部に送り出すといった形です。

薄井 : 標的型攻撃は、何らかの目的があって仕掛けられる点に特長があるとのことですが、特に狙われやすい業種や業界、企業というのは存在しますか。

坂本 : ニュースなどでは、標的型攻撃を受けた企業として、防衛や原子力関連などが大きく扱われましたが、実態はそれだけではありません。顧客に関する情報や新製品に関する情報など「買い手」がある情報が存在する企業であれば、攻撃の対象となり得ます。その意味では、あらゆる業界、業種、規模の企業が狙われる可能性があると考えて間違いないでしょう。

三浦 : シマンテックでは、検知した攻撃に関して統計をとっていますので、その一部をご紹介しましょう。2011年において検知した標的型攻撃の件数は、約2万7000件にのぼります。世界規模で見ると、一番多く狙われているのは「政府・公共機関」なのですが、それでも全体の30%程度です。残り70%は、他の一般企業などであり、決して狙われにくいわけではありません。

業種別の標的型攻撃の状況