最新レポートから読み解く企業が取るべきセキュリティ対策の次なる一手

企業ではさまざまなセキュリティ対策が講じられているが、日本IBMの最新版セキュリティレポートによれば、その対策が十分に機能しているとは言い難い状況が浮き彫りになった。企業が今後取るべきセキュリティ対策のアプローチとはどのようなものか。同社のエキスパートに話を聞く。

[PR／ITmedia]

PR

企業を取り巻く脅威の現実

　企業や組織は、これまでにアンチウイルスやファイアウォールなど、さまざまなセキュリティ対策を導入してきた。その多くは、内部ネットワークに侵入を試みる外部からの脅威を防ぐことに重点が置かれてきた。万一脅威が侵入した場合のケースについては、十分な対策がなされておらず、情報漏えいやWebサイトの改ざんによる閲覧者のマルウェア感染といった被害が多発し続けている。

　そうした現実は、日本IBMが年に2回公開している「Tokyo SOC 情報分析レポート」からもうかがえる。IBMは世界10カ所で365日24時間体制の「セキュリティオペレーションセンター（SOC）」を運用しており、日本IBMでは東京SOCで実際に確認されたセキュリティインシデントに関する分析結果を半年ごとに取りまとめ、レポートとして公開している。

日本IBM グローバル・テクノロジー・サービス事業 ITSデリバリー ユーザー＆コミュニケーションサービス セキュリティ・サービス担当部長の徳田敏文氏

　2013年上半期（1月〜6月）の動向を取りまとめた最新版レポートによれば、Webサイトなどからユーザーのコンピュータにマルウェアを送り込んで感染させることを狙う「ドライブ・バイ・ダウンロード攻撃」の発生は、2012年下半期（7〜12月）に比べて約4倍も増加した。Webサイトを管理するためのSSHやFTPのアカウントを搾取することが目的とみられる攻撃も増えている。一方で、標的型メール攻撃は4割ほど減少していた。

　日本IBM グローバル・テクノロジー・サービス事業 ITSデリバリー ユーザー＆コミュニケーションサービス セキュリティ・サービス担当部長の徳田敏文氏は、「まず最近のサイバー攻撃の傾向を正しく理解することが大切です」と話す。

　徳田氏によると、サイバー攻撃者の主な目的は（1）不特定の相手を標的に金銭を搾取する、（2）ごく限られた相手を標的に機密情報を搾取する――の2つに分かれる。上述のレポートに当てはめると、前者がドライブ・バイ・ダウンロード攻撃やWebサイトの管理アカウントの搾取、後者が標的型メール攻撃といえよう。それぞれの目的における脅威の内容と企業や組織側の問題点はどうだろうか。

　まず、ドライブ・バイ・ダウンロード攻撃やWebサイトの管理アカウントを狙う攻撃の増加は、企業や組織のWebサイトがサイバー攻撃の踏み台になっている事実を裏付けるものだろう。ドライブ・バイ・ダウンロード攻撃では攻撃者が企業や組織のWebサイトを改ざんし、Webサイト内にマルウェアをダウンロードさせるリンクなどを埋め込む。サイト訪問者が閲覧するとコンピュータにマルウェアが送り込まれ、脆弱性などを悪用して感染を試みる。感染に成功すれば、攻撃者はマルウェアを使って、ネットバンキングなどの情報を盗んだり、あるいは遠隔操作によってスパム送信などに悪用したりする。

　こうした手口によって金銭を獲得すべく、攻撃者は最初にWebサイトを改ざんするためのSSHやFTPといった管理アカウントを入手しようとするわけだ。

　徳田氏は、「当社の解析から"admin"などシステムのデフォルトのパスワードをそのまま使用している実態が多いと分かりました。攻撃者はブルートフォース（総当たり攻撃）や辞書攻撃（想定されるパターンのアルゴリズムを使って仕掛ける攻撃）によって簡単にパスワードを搾取します。Webサイトのセキュリティ対策ではファイアウォールなどの設定も大切ですが、管理者権限の管理など基本に立ちかえった対策の実施が緊急課題になっています」と指摘する。

　なお、Webサイトの改ざんではブルートフォースや辞書攻撃によって管理アカウントを搾取される以外にも、SQLインジェクション攻撃やWebアプリケーションサーバソフトなどの脆弱性を突いてシステムに侵入し、管理アカウントをはじめとするさまざまな機密データを盗み取る場合も少なくない。

　こうしたケースでは侵入対策やアカウントの適切な管理に加えて、脆弱性を修正するパッチをこまめに適用することや、ウイルス対策ソフトを常に最新の状態に維持することといった基本的なセキュリティ対策を確実に実施していかなければならない。

　徳田氏によれば、2013年上半期にみられたWebサイトの改ざん被害は、世界の中でも日本だけが突出して多い状況だ。「日本はブロードバンド網が発展しており、サイバー攻撃者にとっては理想的な環境でしょう。企業や組織のサーバが相次いで乗っ取られ、サーバによるボットネットを形成されてしまうと、日本がサイバー攻撃の世界的なインフラになってしまうかもしれません」と警鐘を鳴らしている。

　最新版レポートでは標的型メール攻撃の検知件数の減少も報告された。一見すると標的型メール攻撃の脅威が減退しているように思えるが、同社ではセキュリティ機器の検知を逃れる手口が巧妙化しているためだとみている。

　「かつての標的型メール攻撃には文章に不自然な点がみられるなどの特徴がありました。しかし、今では違和感を覚えないほど巧妙な文章が使われ、"不審なメールを開かない"といった啓発や教育だけでは防ぐことができません。社内連絡に添付ファイルを使わないといった運用も考慮しなければならないほどの状況です」（徳田氏）

　巧妙な内容で作成されている標的型メール攻撃は、人間の目で確認しても判別が難しいだけに、これを対策システムで技術的にブロックするというのは非常に困難なものといえるだろう。

「侵入される」ことを前提にした対策

　最新版のTokyo SOC 情報分析レポートでも明らかになったように、侵入を防ぐことに重点を置いた従来型のセキュリティ対策――入口対策だけでは、常に新たな手口を次々に開発しながら企業や組織への侵入を試みてくる脅威に十分に対応できないだろう。

　そのため近年は、脅威が侵入するということを念頭において、情報漏えいなどの被害を抑え込むため「出口対策」もクローズアップされるようになった。しかし徳田氏は、入口対策と出口対策だけではなく、その中間にある「内部対策」にも目を向けることが重要だと話す。

　「もはや脅威は侵入してくるものと考えるべきです。万一侵入を許しても内部でそれを迅速に見つけ出し、いち早く対処することができれば、被害を最小限に食い止められる可能性が高まります」（徳田氏）

　そこで徳田氏が推奨するのが、これまでポイントごとに導入、運用されてきた既存のセキュリティ対策機能を組み合わせ、総合的に対応できるものにしていくことだ。「従来の対策は個別に機能していたため、攻撃者がそのすき間を突くことに成功しているわけです。例えば、ウイルス対策ソフトベンダーはマルウェアの解析技術に強みがあり、当社のSOCのようなベンダーには通信の監視や解析技術に強みがあるように、それぞれの強みを連携させる仕組みが不可欠です」

　総合的なセキュリティ対策の仕組みは、どのように実現すればいいだろうか。まず技術面からのアプローチとして最近注目を集めるのが、「セキュリティインテリジェンス」と呼ばれる内部の脅威を可視化する方法だ。

　例えば、日本IBMが提供している「IBM Security QRadar」ではセキュリティ機器やITシステムが出力するログ、同社などのセキュリティ機関が提供する脅威情報、また、脆弱性やリスクに関連したデータを収集、蓄積して、それぞれの相関関係を分析することにより、組織内部に潜む脅威を可視化する。脅威を見つけ出すことができれば、迅速な対処が可能になるだろう。

　「自社の内部においてどんなことが起きているかを把握することが大切です。コンピュータの性能や情報を蓄積する技術の進歩によって、膨大なログを分析することが可能になりました。これによって、従来の対策技術は検知が難しかったマルウェアの挙動や不正な通信といった行動を可視化できます」（徳田氏）

　また、可視化された脅威や万一の被害が発生した場合に即応できる体制作りも重要になる。この役割を担うのが、「コンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRT）」と呼ばれるものだ。

　CSIRTは、企業内の経営関連部門やIT部門、業務部門など垣根を越えた組織横断型の仕組みで、脅威や被害実態の把握、原因究明、再発防止策の策定・実施、社内外への状況説明といった役割を担う。国内でもIT関連企業や製造業、官公庁などを中心に、CSIRTを構築する取り組みが徐々に広がりつつある。

総合的セキュリティ対策にはパートナー活用を

　上述したような入口から内部、出口までをカバーする総合的なセキュリティ対策は、現時点で企業や組織にとって最も理想的なアプローチといえる。ただし、こうした総合的なセキュリティ対策はツールなどを導入してすぐに実現できるものではない。基本的なセキュリティ対策を日頃から適切に実施していることはもちろん、自社にとって最も重要なポイント、あるいは解決を急ぐべき脆弱なポイントについて、限られた予算や人的リソースの中からバランス良く対応していかなければならない。

　また、標的型メール攻撃などの脅威は自社を含めた周辺を巻き込んで展開される場合も少なくないだけに、企業や組織が単独で対応するのには限界がある。総合的なセキュリティ対策を実現していく上では、セキュリティのエキスパートをパートナーに選び、そのサポートを活用していくことをお勧めしたい。

　日本IBMではSOCによるネットワーク監視サービスやインシデント対応の支援、QRadarなどのセキュリティシステムの提供といったセキュリティ対策に関する多様な製品およびサービスを顧客企業に提供している。これらの多くは、実はIBM自身の経験をもとにしている。

　例えば、日本IBMでは社員の業務PCにセキュリティ監視のエージェントツールをインストールして24時間体制でインシデントに対応できる仕組みを運用している。万一PCにウイルス感染などの兆候がみられた場合、社内の監視システムでこれを検知して、エージェントツールで自動的に駆除を行うという、先進的なセキュリティ対策システムだ。

　徳田氏によれば、同社のようにSOCを運営するセキュリティ各社で、サイバーセキュリティに関する情報を迅速に共有するための仕組み作りが検討されている。「官民ボード（警察庁、総務省および経済産業省と民間事業者で作る官民の意見集約会議）の取り組みにも参加しており、ユーザー企業や組織のセキュリティ対策を今後もより強力に支援していきます」（同氏）という。

　セキュリティインシデントは、もはやどんな企業や組織でも起こり得る重大なリスクになっている。それにも関わらず「当社に重要なデータは無いので、セキュリティ対策もほどほどに……」と脅威の現実から目をそらす経営者は少なくない。

　徳田氏は、「"対岸の火事"と無関心を決め込まず、だれもが被害に遭う時代になっていることを認識してほしいと思います」と話す。自社にとって最適なセキュリティ対策をどう実現すればよいか分からないという企業は、ぜひ日本IBMのようなセキュリティのエキスパートをパートナーとして活用し、その取り組みをスタートさせてはみてはいかがだろうか。

,