侵入されることを前提にするサイバー攻撃対策

「入口対策」から「出口対策」へ

セキュリティの世界では機密情報の流出や書き換え、システム破壊などの事件を「インシデント」と呼びます。近年、このインシデントが著しく悪質化してきました。発生当初のパソコンウィルスは愉快犯によるものでしたが、現在では金銭や政治工作目当ての大がかりな犯罪となっています。サイバーテロという言葉も生まれ、国際問題にさえなっています。

日本国内で衝撃を与えたインシデントに日本年金機構の個人情報漏えい事件があります。2015年6月に125万件もの個人情報の漏えいが発覚し、世間を騒がせました。標的型攻撃の代表的な事例とされ、非常に巧みに仕組まれていました。これをきっかけに注目されるようになったキーワードに「出口対策」があります。

従来セキュリティ対策として重視されていたのは「入口対策」です。どのような攻撃を受けても侵入されないように、ファイアウォール、スパムフィルター、IDS / IPS（不正侵入検知・防御システム）などさまざまな対策をゲートウェイ（入口）に施していました。

これでも攻撃を防ぎきれないことを目のあたりにして「ある程度は侵入されてもしようがない。大事なのは機密情報を外に出さないことだ」と発想を転換させたのが出口対策です。この例からもわかるように、標的型攻撃に使用される悪質なメールは、従来の技術では防ぎようがありません。1人でも開いてしまったら、ウィルスが拡散して外部からコントロールされてしまいます。

そこで出口対策では、不審な動きのプログラムを観察するサンドボックス型の標的型攻撃対策や、データ内部まで確認できるWAF（Webアプリケーションファイアウォール）などを設置して情報の持ち出しを見張ります。これらツールはコンサルティングをセットにしたソリューションとして提供されるようになっています。

忘れてはならない「内部対策」の強化

出口対策と比較して、内部対策は早くから取り入れられています。出口対策と同じように侵入を前提とした対策で、犯行をいち早く見つけ、機密情報漏えいを未然に防ぎます。

最も基本的で重要といえるのがログ監視です。たとえば社内のデータベースサーバに権限のない人間がアクセスしている場合、警告を発します。ログ監視は社内犯行の抑止にも役立ちます。プロキシサーバやActive Directoryのログ監視に対応する製品もあります。

ファイル暗号化は非常に浸透してきている対策となっています。機密情報は持ち出されても解読できないように暗号をかけておきます。

特権ID管理も重視されるようになってきました。これも内部犯行の防止に役立ちます。すでに手作業での特権ID管理は限界となっており、専用のツールを導入する企業が増加しています。

「CSIRT設置」のススメ

CSIRT（シーサート）という言葉を目にする機会が増えてきました。Computer Security Incident Response Teamの略で、セキュリティ上のインシデントが発生した際に対応する企業内組織のことです。 ウィルス感染や不正アクセス、DoS（DDoS）攻撃などが発生してから慌てて対策本部を設置するのではなく、あらかじめ想定して組織しておき、窓口となって被害の拡大防止や関連情報の収集・告知、再発防止などの活動を行います。

多くの場合、システム運用などの業務に当たっている担当者が兼務し、日頃は一般利用者へ情報セキュリティに関する教育や啓発、広報なども行います。ほとんどの企業ではセキュリティ上の運用ルールを決めていますが、ともすればゆるみがちになりやすいもの。これを防ぐのもCSIRTの役割です。

まとめ　～ サイバー攻撃は入口、出口、内部の対策を～

すでにセキュリティインシデントは対岸の火事ではありません。大小を問わず、すべての企業が狙われていると考えてください。社員やお客様の個人情報は、金銭目当ての犯罪者にとっては魅力的な情報です。入口対策、出口対策、内部対策をバランス良く導入しましょう。