テクノロジーの進歩や、多様なITリソースの価格対性能比の大幅な向上を受け、以前は取り扱うことが難しかった大量なデータを分析し、そこからビジネスなどに有用な知見を導き出そうとする「ビックデータ」への取り組みが、ここ数年注目を浴びている。

近年、高度化の一途をたどっている「サイバー攻撃」へのより有効な対策を打ち出すにあたって、この「ビッグデータの活用」というアプローチが重要さを増しているという。

なぜ「サイバー攻撃」への対策に「ビッグデータ」によるアプローチが行われるようになったのか。具体的にどのような取り組みが行われているのかについて、SCSK、ITマネジメント事業部門基盤インテグレーション事業本部グローバルセキュリティソリューション部サイバーセキュリティソリューション課シニアエンジニアの石崎夕香里氏に話を聞いた。

プロフィール

石崎夕香里(ISHIZAKI Yukari)
――SCSK ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課 シニアエンジニア


ネットワークセキュリティ関連のシステムエンジニアとして、設計、構築、導入を8年間担当。現在、「情報セキュリティ大学院大学」にも通い、攻撃側の視点から改めてネットワークセキュリティの最新技術について学んでいる。

資料のご提供

SCSK FireEye監視サービス

本稿内でもご紹介しておりますSCSK株式会社の「SCSK FireEye監視サービス」PDF資料を無料でご提供中です。既存の手法で防げない未知の攻撃や、攻撃のたびにカスタマイズされる標的型攻撃からネットワークを守りたいと思っている方は、この機会にせひご覧ください。

⇒資料ダウンロードはこちらをクリック

目的も手法も進化した「サイバー攻撃」に立ち向かう新たな武器

――石崎さんは、現在SCSKでどのような分野を担当されているのでしょうか。

私は、8年ほど、メールサーバやWebサーバ、ファイアウォールなどのネットワークセキュリティ関連のソリューションについて、設計、構築、導入に関わってきました。最近ではSCSK Global CSIRT/SOCにて脆弱性や攻撃の調査、分析を実施する傍ら、WAFやIDS/IPSなども担当しています。その中で、思うところがあり、現在、個人で「情報セキュリティ大学院大学」にも通っています。そこでの研究テーマとして、ビッグデータをベースとした異常検知などのセキュリティ対策について学んでいます。

――まず、セキュリティ対策に「ビッグデータ」が活用されるようになった背景について教えて下さい。

背景としては、サイバー攻撃自体の性質が大きく変化してきたことが関係しています。

20世紀に流行した「コンピュータウイルス」は、比較的作者の自己顕示を目的とした愉快犯的なものが多い傾向がありました。例えば、ウイルスプログラムの中に開発者の名前や住所が書いてあるというようなこともあり、どちらかと言えば「いたずら」に近い意識でウイルスプログラムを作っていたことが想像できます。

しかし、2000年以降、インターネットの利用者が爆発的に増え、実際の経済活動と深く関わりを持つようになるのに合わせて、攻撃者の目的は「経済活動」に変化しました。ボットと呼ばれる遠隔操作プログラムを使ったスパムメールの大量送信や、それと組み合わせたフィッシングによるパスワードやクレジットカード情報の詐取などによって、サイバー攻撃は、金銭的な利益を得るために行われることが主流になりました。

2010年以降は、それに加え、政治的、思想的な示威行為や諜報行為の一部としてサイバー攻撃が行われることも増えています。実際に、海外ではそうした行為のために、攻撃者のグループに対して、金銭を支払って攻撃を依頼するケースもあります。

――攻撃の目的が変化するのと同時に、技術や手法も変わってきています。

はい。技術的には、ファイルやプログラムに寄生する狭義の「コンピュータウイルス」から、電子メールやUSBメモリを媒体としてより感染力を強めた「ワーム」、PCの中に他のプログラムを偽装するなどの方法で入り込み、有害な動作を行う「トロイの木馬」などと進化を続け、現在では、外部からの遠隔指令によって、一斉に攻撃を行う「ボット」「ボットネット」と呼ばれるものが増加しています。攻撃手法は、これらの技術を複合的に利用して、常に進化し続けています。

――そうした攻撃側の進化に、セキュリティを守るための技術も追いついていかなければならないわけですね。

初期には、一般的なウイルス対策ソフトでも用いられている「シグネチャベース」や「ポリシーベース」による、攻撃の検知や対策も十分に有効でした。しかし、こうした「既に知られている」マルウェアや手法と照合を行う「静的」なアプローチだけでは、常に進化する攻撃手法に先手を打たれ、対応が難しくなってしまいました。

こうした状況を打開するために、セキュリティの世界では、よりアクティブに、かつリアルタイムに攻撃の「予兆」を察知し、対策を行う「動的」なアプローチが行われるようになり、近年特に注目を集めています。従来型の静的なアプローチと、リアルタイムに未知の攻撃を察知する動的なアプローチを組み合わせることで、より効果的な対策を行おうというものです。この動的なアプローチにおいて、「ビッグデータ」の分析が有効であることが分かってきています。