標的型攻撃対策ツール導入後にまずやること

標的型攻撃対策ツール導入後にやること

多層防御の再確認

標的型攻撃は大変防御が困難であり、国際的な問題にまで発展しているほどです。そのため世界には、標的型攻撃に備えた「多層防御」の指針を示している国さえあります。

多層防御とは、標的型攻撃のステップに合わせて、それぞれ複数の防御策を設けることです。標的型攻撃には「接触/侵入」「準備/拡散」「流出」のステップがあり、多層防御はこれらに合わせた対策を講じていきます。対策ツールを新規に導入した場合も、このステップに準じて自社の防衛対策を確認し、マッピングする作業が必要となります。

「接触/侵入」ステップで利用される攻撃方法が、標的型メール攻撃と水飲み場型攻撃です。これらの対策としては、ファイアウォール/次世代ファイアウォール、アンチスパム/アンチウィルス、IPS/IDS、UTM、Webフィルタリング/URLフィルタリングなどがあります。

「準備/拡散」ステップでは、侵入してしまった不正プログラムの活動を検出し、隔離/削除します。対策としてはログ管理ツールを活用する方法があります。

「流出」ステップでは外部からの指示を受けた不正プログラムが、機密情報の流出を図ろうとしたときに、狙われた機密情報を検知して、流出を阻止します。対策ツールとしては、ファイアウォール/次世代ファイアウォール、UTM、DLP（Data Loss Prevention）などがあります。

なお、レイヤによってマッピングする方法もあります。物理環境、ゲートウェイ、内部ネットワーク、エンドポイント、アプリケーション、データのレイヤでツールと対策を棚卸ししていきます。

セキュリティポリシーと運用ルールの整備

早くから内部統制を整備し外部監査等を受けている企業では、セキュリティポリシーが作成され、運用ルールも整備されています。しかし、マイナンバー制度の施行にともなって、新たな整備を迫られている企業も多いことでしょう。

セキュリティポリシーの作成に当たっては、すでに多くのガイドラインやサンプルが公表されていますので、それを参考にすることをお勧めします。まったく何もないところから作成するのは無理がありますし、見落としもあるでしょう。

運用ルールの策定においては、「攻撃者の気持ちになって対策を練ること」が重要です。まず、攻撃者が自社を攻撃する場合、何を狙っているかを想定します。会員制のサービスを提供している企業であれば、会員の個人情報が狙われますから、その顧客データベースは暗号化しなければなりません。

また、顧客データベースにアクセスできる権限も絞らなければなりません。閲覧できてもデータをダウンロードできないようにしたり、コピーやメール添付、画面キャプチャの禁止ツールなどを採用することも考えられます。さらには、アクセスログの記録も必要となります。

マイナンバーにおける個人情報の保護も、同じように考えていきましょう。

運用ルール啓蒙と模擬訓練

運用ルールが決定したら、社員に徹底します。手順書を作成し、セキュリティの重要性を訴えます。また、社内において、日常の操作を監視していることも公表し、不正操作の抑止力とします。

運用ルールの徹底や啓蒙には、強いリーダーシップが必要です。従来のワークフローを変えられると多くの人は不満を感じるものです。その不満を押さえつけることのできる、経営層に近い人間をリーダーにしましょう。

いくら重要性を訴えたり手順書で指示したりしても、徹底することは簡単ではありません。とりわけ、標的型メール攻撃の手口は巧妙なので、訓練が必要となります。練習用のメールを社員に送り、開いてしまうかどうかのシミュレーションをしましょう。うっかり開いてしまう社員は、当初多いかもしれませんが、それを再教育していきます。これを定期的に繰り返すことで、社員に危機意識を植え付け、緊張感を持続させます。

標的型攻撃には全社一丸となり、地道な対策が必要です。トップも巻き込んで推進していくことをお勧めします。