マイナビは10月9日(水)、「脅威が侵入することを前提にした対策を講じるべし! ~情報セキュリティー投資の効果的な組み合わせが企業利益を守る~ セキュリティー・インテリジェンスセミナー」(東京・竹橋/参加費無料)を開催する。同セミナーに登壇するデロイト トーマツ リスクサービスの岩井博樹氏に、最新の脅威をいちはやく把握し、企業としてどのように取り組むべきかについて話を伺ったので、本稿ではその内容をお伝えしよう。

岩井氏が登壇する「セキュリティー・インテリジェンスセミナー」(10月9日(水) 東京・竹橋)の参加申し込みはこちらから(参加費無料) もれなく参加者全員にAmazonギフト券1000円分贈呈。

デロイト トーマツ リスクサービス株式会社 マネジャー 岩井博樹氏

サイバー攻撃技術は日々高度化しており、脅威自体に気づくことも難しくなっている。そしてたとえ脅威を検出できたとしても、従来の対応技術だけでは根本的な対策が困難という場面が増えてしまった。とりわけ、脅威が組織の内部にまで潜入してしまった場合には、検出するにも対応するにも極めてハードルが高くなってしまう。そこで、組織内に潜む脅威をいかに可視化し対応すればいいのかについて、デロイト トーマツ リスクサービスのマネジャー、岩井博樹氏に話を聞いた。

この夏頃から目立ち始めた新たな脅威とは?

Webコンテンツや電子メールを悪用した脅威といえば、「EXE」ファイルのようなプログラム実行型のファイルに不正コードを埋め込まれるというパターンがよく知られている。標的型攻撃でも、攻撃者がターゲットにマルウェアをダウンロードするための悪性コード付きの文書ファイルを添付した電子メールを送りつけるというのはもはや定番となっている。しかし、定番であるだけにその対応策もまた進んでおり、現在ではこうしたEXEファイルのような形態のマルウェアは、ほとんどがセキュリティー製品で検知できるようになっている。

しかし、ここに来て新たな脅威が生まれてきていると、岩井氏は警鐘を鳴らす。

「この7月ぐらいから、EXE形式以外の構造を持つ不正プログラムを使った標的型攻撃が報告され始めています。それらは、Javaコードを圧縮した「JAR」形式であったり、フラッシュに埋め込まれていたりするので、主に実行ファイルを検知対象とする既存のセキュリティー製品では検知することができません。こうした巧妙化したマルウェアに社内の端末が感染してしまうと、脅威に気づかないまま延々と機密情報を窃取され続けるなど、甚大な被害を受けてしまう可能性があります」と、岩井氏は語る。

最近のセキュリティー製品では、マルウェアの疑いがあるファイルを見つけると、クラウド上などにある隔離領域で敢えて実行させて危険かどうかを判断するという、いわゆる「サンドボックス」を活用したものが増えている。しかし流行のこのサイドボックスも、フラッシュのような Webコンテンツを悪用されると、まだまだ十分な効果が発揮できないのが現状だ。結果、組織内にやすやすと脅威が潜入することになるのである。

ただ防ごうとするだけでなく、ダメージコントロールの観点から対策を!

こうした組織内部に潜む脅威は、何よりも優先してまず可視化する必要があることは言うまでもないが、既存のセキュリティー製品でも検出するのが難しいとすれば、企業はどうやって対応すればいいのだろうか。岩井氏が自前でもすぐにできる対応策として推奨するのが、URLフィルタリングソフトのちょっとした応用だ。

一般的にURLフィルタリングソフトでは、膨大な数のURL(サイトドメイン)をある程度カテゴリー分けしている。しかし、最近のマルウェアが感染後に通信を行うドメインは、早ければ取得後1日か2日で消えてしまうことから、カテゴライズされていないことがほとんどである。そこで、カテゴライズされていないドメインへのアクセスをチェックするだけでも、ある程度は組織内部の端末のマルウェア感染を見抜けるというわけだ。

「ただこの方法だと正規のWebサイトが改ざんされてしまった場合にはまったく役に立ちません。そこまで対策するとなると、最新の脅威の情報についてテクニカルなレベルまで把握しておく必要があるでしょう」と岩井氏は言う。

また岩井氏は、「サイバー攻撃による被害を防ぐだけではなく、被害を受けてしまった後にいかに素早く適切に対応するかも重要です」と訴える。

そのため、日頃から通信機器やセキュリティー機器のログを取得しておき、万が一の時にはそのログを解析できるようにするサイバーフォレンジックの必要性が高まっているのだ。

「サイバー攻撃による被害を受けた組織を調べると、大抵は複数の被害を生じています。そのような場合に被害範囲を推測するには、サイバーフォレンジックは欠かせません。ただし、ここ数年で脅威自体に変化が起きていますので、取得するログが適切なのか、ファイアウォールとIPSのログだけで本当に足りるのか、といった事柄を見直す必要があるでしょう。その場合、ダメージコントロールという観点から考えることが、効果を出すための鍵になると思いますね」と岩井氏は話す。

組織内部に潜む脅威を可視化する方法はまだいくつか存在する。それらの手法の詳細と、企業が実施するにあたっての留意点などについては、10月9日に開催されるセミナー、「脅威が侵入することを前提にした対策を講じるべし!~情報セキュリティー投資の効果的な組み合わせが企業利益を守る~ セキュリティー・インテリジェンスセミナー」における岩井氏のセッション「組織内部におけるサイバー攻撃の脅威を見える化する意味と効果」で明らかにされる予定である。新しい脅威に対抗するための新しい手法について知るために、ぜひ会場へ足を運んでみてはいかがだろうか。


※Amazon.co.jpは、本キャンペーンのスポンサーではありません。
※Amazonギフト券細則についてはhttp://amazon.co.jp/giftcard/tcをご確認ください。
※Amazon、Javari.jp、Amazon.co.jp およびAmazon.co.jp のロゴはAmazon.com, Inc. またはその関連会社の商標です。
※mynavi.jpドメインのメールを受信できるようにして下さい。
※Amazonギフト券配布のご連絡にはお時間を頂く場合がございますので、あらかじめご了承ください。
※キャンペーンに関してのお問い合わせ:mj-event@mynavi.jp