近年、テレビのニュース、新聞といったメディアで「標的型攻撃」という言葉を多く目にするようになった。日本においても、今年に入ってから電力会社などの重要インフラ企業や防衛産業メーカーなどが攻撃対象となった事例が表面化し、一気に注目度を増した。企業ITのセキュリティ担当者は、その対策をいかに実施し、自社が標的となった場合にどのように対処すればよいかを真剣に検討する必要があるだろう。
従来のような不特定多数のPCやサイトを狙った愉快犯的な攻撃と異なり、標的型攻撃は特定の企業・組織を攻撃対象として定め、そこから機密情報を詐取することを目的としている。そのため、これまで一般的に行われてきたセキュリティ対策だけでは、被害を完全に防ぐことが難しくなっているという。
経営にとって大きなリスクとなり得る標的型攻撃の脅威から企業内の情報を守るため、ITシステムの観点から行える有効な対策は何か――フォティーンフォティ技術研究所代表取締役社長の鵜飼裕司氏とSCSK SCSカンパニーIT基盤ソリューション事業部基盤営業部基盤営業第1チーム セキュリティ技術セクション主任の手柴雄矢氏に聞いた。
セキュリティを経営リスクと認識させた「標的型攻撃」
--現在、標的型攻撃に対する注目が集まっていますが、現在の状況をどのように見ていらっしゃいますか。--
鵜飼氏: 現在、至るところで標的型攻撃が注目を集めていますが、実際にはずいぶん前から存在していました。昔からあったものがここにきて表面化しているという印象を持っています。
フォティーンフォティ技術研究所を始めた2007年頃から、重要な情報を抱える企業において現在の標的型攻撃のような攻撃を受けている事例はありました。当時は「不審なメール攻撃」などと呼ばれていました。しかし、それが観測できた期間は短かったため、深刻な脅威でありながら、一般のメディアであまり取り扱われず、専門メディアのみが情報を扱うといった程度でした。今年に入り数多くの有名企業や団体が攻撃にさらされた事実によって、ようやくその存在が一般的に認知されてきたと感じています。
手柴氏: SIerとしても、同様の印象を持っています。グローバルで展開する家電メーカーが大規模な攻撃を受けたのに続き、今年に入って国内でも大手の複数の企業が攻撃を受けたと大きく報道されたのに合わせ、当社のお客様も敏感になり、多くのお問い合わせをいただくようになりました。
当初は、標的型攻撃に対し「脆弱性対応のパッチやアップデートを実施する」といったマニュアル的な方法で対処できると考えていたSIerも多いのですが、実際にその手口を調べていくと、どうやらそれだけでは難しいということがわかってきました。
鵜飼氏: 標的型攻撃は既存の技術だけでは防御できません。その理由は大きく2つあります。
これまでマルウェアに対する防御は「ウイルス対策ソフト」で行うものでした。しかし、標的型攻撃は、特定の企業や組織を対象とするため、新種もしくは亜種といったウイルス対策ソフトのパターンファイルで検知できないマルウェアによる攻撃を行うのが一般的だからです。したがって、標的型攻撃にはウイルス対策ソフトが通用しません。これが1つ目の理由です。
もう1つの理由は、システムにおけるセキュリティの脆弱性を攻撃するものが主流になってきているためです。本来、脆弱性は定期的にパッチを当てるといった作業で修正するわけですが、企業にとってパッチマネジメントを迅速に行っていくのはかなり負荷が高い作業です。そのため、脆弱性が発見されてからパッチが適用されるまでの空白の期間に攻撃を受けるケースも出てきています。さらには、まだ対策パッチが提供されていない「ゼロデイ脆弱性」が突かれるケースもあり、対応はさらに難しくなっています。セキュリティの分野では、数年前に有効だった対策や投資が現在も適切であるとは限らないのです。
--よく、セキュリティに対する投資は「投資対効果」が見えづらいという意見も聞きますが。--
鵜飼氏: 確かにかつてはそうも言われていましたが、現在、経営層の方々は「事業リスク」に敏感になっています。近年の標的型攻撃の表面化により、ITセキュリティを事業リスクとしてとらえ、十分に取り組むべきだと考える方が増えているようです。
手柴氏:** 従来、企業ITのセキュリティを考えて導入するのは現場の方々が中心でした。しかし、最近は企業の経営層の方から「標的型攻撃」や「DoS攻撃」といったキーワードを軸にしてご相談を受けるケースが多くなっており、現在起こっている脅威と従来型の脅威との違いを説明する機会が増えています。
重要なのは「問題の切り分け」と「対応のバランス」
--では、そうした「標的型攻撃」に有効な対策としてはどんなものが考えられるのでしょうか。--
鵜飼氏: まず、自社のITセキュリティの現状を理解して対策を立てるという流れが一般的なのですが、標的型攻撃に関しては「現状が把握できない」ケースも多いのです。なぜなら、ウイルス対策ソフトでもチェックができず、標的型攻撃でどんなトラフィックが発生しているのかも一義的でないためです。
フォティーンフォティ技術研究所は、標的型攻撃への対策として「FFR yarai」という標的型攻撃対策のソフトウェアを提供しています。FFR yaraiは、いわゆるパターンファイルによる照合ではなく、ヒューリステックな検知技術を用いて標的型攻撃マルウェアを検知し、防御します。また、こうしたソフトウェアの導入の前に、まずは標的型攻撃による影響を可視化したいというニーズにこたえるために、「標的型攻撃マルウェア検査サービス」も提供しています。このサービスでは、FFR yaraiの検出エンジンをカスタマイズしたインストールレスのプログラムを利用して、標的型攻撃マルウェアの有無を洗い出し、検出したものについて専門のアナリストが詳細な解析を行った上で、ビジネス上でどのようなリスクがあるかをレポートし、その後の対策についても支援するサービスです。
「標的型攻撃」というキーワードが注目を集めていますが、従来の脅威との違いをきちんと理解して切り分け、それぞれに対応する必要があります。もちろん、セキュリティ投資が際限なくできるわけではありませんので、そこは自社のビジネス内容や現状のセキュリティ状況に応じた「バランス」が必要になってくると思います。
手柴氏: SCSKでは、Webアプリケーションとプラットフォーム向けのセキュリティ導入・監視のサービスとして「Protection Expert」を提供しています。これは、WAF(Web Application Firewall)やIDS/IPS(不正侵入検知・予防システム)、ファイアウォールといったセキュリティ対策を効果的に導入し、その稼働状況を継続的に監視することで、企業システムが高いセキュリティレベルを維持できるようサポートするものです。
当社では、重要な情報が存在する場所と外部との「境界面の防御」、クライアント端末へのアンチウイルス導入による「エンドポイントセキュリティの確保」、「内部トラフィックの監視」による水際での情報漏洩の防止といった3点を継続的に実施することに重きを置いています。運用においては、疑わしいイベントやアラートの発生時に、セッションデータやフルパケットの相関分析などを行い、不正アクセスの可能性を調査したうえで適切な対応を行います。
フォティーンフォティ技術研究所のFFR yaraiも、「Protection Expert」のソリューションラインアップに加えており、標的型攻撃への対応も可能にしています。
鵜飼氏: ITシステムにおける脅威は日々進化しており、単体ですべてのサイバー攻撃からシステムを守れる製品は存在しません。先ほど、セキュリティ対策は「バランス」が重要だと述べましたが、まずは現状のセキュリティ対策の状況を正確に把握し、パッチ適用のような一般的な対策を、計画的に行っていくのが第一歩でしょう。そのうえで、標的型攻撃のような脅威には、問題を切り分けて対処していく形がよいのではないでしょうか。実際に問題を切り分けナビゲートしてくれる専門家と一緒に包括的な対策を進めることで、脅威全体に対するリスクを下げていくことができると思います。
株式会社フォティーンフォティ技術研究所
代表取締役社長
鵜飼 裕司
2003年に渡米し、カリフォルニア州 eEye Digital Security社に入社。セキュリティ脆弱性分析や脆弱性診断技術、組み込みシステムのセキュリティ脅威分析等に関する研究開発に従事。
博士号(工学)を取得し、多数の政府関連プロジェクトの委員、オブザーバーを歴任。米国BlackHat ConferenceのContent Review Board Member。
2007年7月、セキュリティコア技術に関する研究、コンサルティングサービス、セキュリティ関連プロダクトの開発・販売を主事業とする、株式会社フォティーンフォティ技術研究所を設立し、代表取締役に就任。
SCSKカンパニー
IT基盤ソリューション事業部
基盤営業部
基盤営業部第一チーム
セキュリティ技術セクション
主任 手柴 雄矢
SCSKのWebセキュリティ分野のエキスパート。脆弱性診断やセキュリティ対策のコンサルティング業務に従事する。F5ネットワークス社より『2010年 Award of Excellence』に選出された。
国内初の試みである脆弱性診断とWebアプリケーション・ファイアウォールを相互に連携させた新しいセキュリティモデルを確立し、政府機関、大手金融機関などを中心に導入が進んでいる。
現在は、Webセキュリティを普及させるための講演や執筆活動を精力的に行い、社外の研究機関と共同で企業システムのさらなる安全性向上を目指した研究活動に従事している。
「今、企業が狙われている! 標的型攻撃の読み解き方
オンラインセミナー配信中
こちらから→http://www.scs.co.jp/sys/