日本マイクロソフトはセキュリティブログを更新し、頻発するサイバー攻撃に対し、企業や組織がどう対処すればよいか、ブログで解説している。

6月は、深刻なセキュリティ侵害が立て続けに起こった。特に、日本年金機構のウイルスメールを発端とした個人情報流出事件は大きな話題となった。ブログの冒頭では、「サイバー攻撃を受けることは、もはや特別なことではありません」と、サイバー攻撃の被害にあうのは人ごとではないと考えを示している。

日本国内におけるボットの活動状況

マイクロソフトでは、サイバーセキュリティへの取り組みを強化している。その一環として、2月にサイバーセキュリティの情報発信/連携拠点として「サイバークライムセンターサテライトー 日本サテライト」を開設。日本サテライトでは現在、ボットに感染したPCの活動を観測している。収集したデータによると、日本国内におけるボットの感染数は相当数で、しかも長期間にわたって活動をしていることが明らかになった。

感染したボットの多くは、端末にインストールしたウイルス対策ソフトで検知・駆除が可能なもの。それでもセキュリティ対策の不備などから、駆除を逃れてPCへ感染し続けているのが現状だ。

一方で、特定の企業を狙ったボットによる攻撃は「成功する可能性はきわめて高い」という。また、発見までに長時間かかっており「どのネットワークでも、既に侵入を受けている可能性がある」と示した。

セキュリティ事件の当事者になった場合の対応

セキュリティ事件が明らかになったときには、既に何らかの被害が出ていることが想定できるため、事件の当事者としての視点・責務をするべきと主張しており、次の4つのポイントを挙げている。

その1つがネットワークを遮断する・しないの判断だという。ネットワークを遮断することで当然業務に支障が出る。遮断期間が長期ともなると、収益に影響を与えるばかりではなく、顧客へのサポートや、売上の計上、支払いなど、問題が広範囲に波及する。

そこで、「誰が、どのような手順で、何を根拠に判断をし、実施するのか、影響を最小限にとどめるためには何をすればよいかなど」を明確にする必要があるという。

そのほか、「遠隔地を含めて指示が実施されるまでの時間」「夜間や休日の対応」「報告の流れの確認」が重要なポイントだと主張している。

再発防止を防ぐために

事件の当事者になった場合、再発防止策をする必要がある。「今、攻撃が明らかになったとしたら、どんな再発防止策を立案するか」という視点で考えると、現状の対策で欠けている事がらを明らかにし、これから実施する対策の優先順位が明確にすることが重要だという。具体的な対策は以下を挙げている。

  • 対応手順の確認

インシデントが発生した際の手順を確認し、対応すべき人がこれを理解する。さらに、訓練やシミュレーションを受けられれば効果的だという。

  • 機密情報の保護状況の確認

機密情報に対して、アクセス権や暗号による保護が適切に実施されていることを実査し、場合によっては、実査の前に「機密情報」の定義を確認する。

機密情報の保護にドキュメントのパスワード機能を使っている場合は、他の技術への置き換えを検討する。ドキュメントのパスワードは、十分な機密保護とは考えにくいため、技術的な担保(保証)ができる手法を採用する。

  • ホストレベルのセキュリティ対策の確認

セキュリティ更新プログラム等アップデータの適用状況や、セキュリティソフトやアプリケーションの更新状況を確認する。単に指示するだけではなく、何らかの方法で実査を行うことが重要だという。

アカウントの権限を確認し、場合によっては権限を見直す。特にAdministratorなどの高い権限を持つアカウントやグループには注意だという。企業によっては、役職に基づいて権限を付与する場合もあるが、実際にオペレーションを行わない人に高い権限を付与することは「百害あって一利なし」だと危険性を示した。

  • ログの確認

必要なログがきちんと取られていて、管理されていることを確認する。この作業は莫大な時間がかかる。すべてログ情報を収集し、そこから疑わしいログを調べる。時間と手間はかかるが、「なにがしかの疑わしい記録は、必ず残っています(侵入の痕跡とは限らない)」という。なお、megrepができる人以外は、何らかの機械的な処理を併用することを推奨している。

  • 企業経営・組織運営への影響の分析 自社が保有する情報の、どの情報が、企業運営、組織運営への影響が大きいのかを分析する。IT部門だけでは判断できない場合は、経営部門や事業責任者と一緒に分析を行う。日常的に使っている情報やデータが思わぬ影響を与えることがあるため、あらゆる可能性を考慮する必要があるとしている。

最後に、企業のセキュリティ担当者は、経営層や事業責任者と会話をする機会を持つことが重要だという。セキュリティの専門外の従業員と情報共有することが有益な結果へとつながるためだ。

セキュリティ事件が頻発している今は、経営層に「うちの会社は大丈夫か?」と興味を持っている可能性も高い。「機会を積み重ねることが、組織に有効なセキュリティ対策を組み込む上で、欠かせないものになる」と締めくくった。