「入口」・「内部」「出口」対策で標的型攻撃を防止する方法とは？

「入口」・「内部」・「出口」対策とは

日本国内で衝撃を与えたインシデントに日本年金機構の個人情報漏えい事件があります。2015年6月に125万件もの個人情報の漏えいが発覚し、世間を騒がせました。標的型攻撃の代表的な事例とされ、非常に巧みに仕組まれていました。これをきっかけに注目されるようになったキーワードに「入口対策」・「内部対策」・「出口対策」があります。

具体的には以下のような対策を指します。

■入口対策

マルウェアによる内部ネットワークへの侵入を防ぐ対策

■内部対策

不正侵入したマルウェアから機密情報を守る対策

■出口対策

不正侵入したマルウェアによる外部感染を防ぐ対策

従来サイバー攻撃対策の中心は「入口対策」でした。外からの侵入をいかに防ぐかに注力していたのです。しかし、公共団体や大企業サイトなど巧妙な侵入が行われるようになり、「出口対策」と「内部対策」が重視されるようになってきました。いずれも侵入されることを前提とした対策で、侵入後の機密情報流出を未然に防ぎます。ここからは入口対策、内部対策と出口対策について詳しく解説します。

入口対策とは

従来セキュリティ対策として重視されていたのは「入口対策」です。どのような攻撃を受けても侵入されないように、ファイアウォール、スパムフィルター、IDS / IPS（不正侵入検知・防御システム）などさまざまな対策をゲートウェイ（入口）に施していました。

これでも攻撃を防ぎきれないことを目のあたりにして「ある程度は侵入されてもしようがない。大事なのは機密情報を外に出さないことだ」と発想を転換させたのが内部対策と出口対策です。この例からもわかるように、標的型攻撃に使用される悪質なメールは、従来の技術では防ぎようがありません。1人でも開いてしまったら、ウィルスが拡散して外部からコントロールされてしまいます。

内部対策とは

出口対策と比較して、内部対策は早くから取り入れられています。出口対策と同じように侵入を前提とした対策で、犯行をいち早く見つけ、機密情報漏えいを未然に防ぎます。

内部対策の代表であるログ監視

最も基本的で重要といえるのがログ監視です。たとえば社内のデータベースサーバに権限のない人間がアクセスしている場合、警告を発します。ログ監視は社内犯行の抑止にも役立ちます。プロキシサーバやActive Directoryのログ監視に対応する製品もあります。

浸透しつつあるファイル暗号化

ファイル暗号化は非常に浸透してきている対策となっています。機密情報は持ち出されても解読できないように暗号をかけておきます。特権ID管理も重視されるようになってきました。これも内部犯行の防止に役立ちます。すでに手作業での特権ID管理は限界となっており、専用のツールを導入する企業が増加しています。

出口対策とは

出口対策では、不審な動きのプログラムを観察するサンドボックス型の標的型攻撃対策や、データ内部まで確認できるWAF（Webアプリケーションファイアウォール）などを設置して情報の持ち出しを見張ります。これらツールはコンサルティングをセットにしたソリューションとして提供されるようになっています。

CSIRT設置による標的型攻撃対策とは

近頃、標的型攻撃の広がりとともにCSIRT（シーサート）というセキュリティチームを表す言葉を目にする機会が増えてきました。ここからは技術的な対策だけではなく、ソフト面である組織的な対策について解説します。

セキュリティ・インシデントを防ぐ企業内組織

CSIRTとはComputer Security Incident Response Teamの略で、セキュリティ上のインシデントが発生した際に対応する企業内組織のことです。 ウィルス感染や不正アクセス、DoS（DDoS）攻撃などが発生してから慌てて対策本部を設置するのではなく、あらかじめ想定して組織しておき、窓口となって被害の拡大防止や関連情報の収集・告知、再発防止などの活動を行います。

幅広いCSIRTの役割

多くの場合、システム運用などの業務に当たっている担当者が兼務し、日頃は一般利用者へ情報セキュリティに関する教育や啓発、広報なども行います。ほとんどの企業ではセキュリティ上の運用ルールを決めていますが、ともすればゆるみがちになりやすいもの。これを防ぐのもCSIRTの役割です。

サイバー攻撃は入口、出口、内部の対策を

すでにセキュリティインシデントは対岸の火事ではありません。大小を問わず、すべての企業が狙われていると考えてください。社員やお客様の個人情報は、金銭目当ての犯罪者にとっては魅力的な情報です。入口対策、出口対策、内部対策をバランス良く導入しましょう。