ヤマダの標的型攻撃対策/セミナーレポート(前編)内部侵入を前提とした対策が不可欠
多層防御で社内の重要情報を守れ!

猛威を振るうランサムウエアや標的型攻撃による情報流出などのサイバー攻撃が増えており、その対策が急務とされています。ヤマダ電機では、7月13日に東京新橋ツクモデジタルライフ館において、日本ユニシスとの協業による「標的型攻撃対策セミナー」を開催。会場は満席となる盛況ぶりで、セキュリティに対する関心の高さがうかがえました。プログラムは以下の通り。

セッション1:「未知、既知のマルウエアから如何に企業の重要情報を守るか~政府ガイドラインから読み解く多層防御の考え方~」
 セッション2:「セキュリティも働き方改革!~スマートアンドオートメーションセキュリティとは?~」
 セッション3:「エンドポイントにも多層防御化~FFRI yaraiを付加したこれからのハイブリッド防御~」

各セッションでは、最新の脅威動向や対策などが披露されました。2回に分けて詳細をレポート。今回はセッション1の「未知、既知のマルウエアから如何に企業の重要情報を守るか」を取り上げます。

●最新のセキュリティ対策に聞き入る参加者

攻撃の高度・巧妙化で100%の防御は難しい

セッション1の登壇者は、日本ユニシスのビジネスイノベーション推進部・ビジネス支援センター二室の永野田淳一氏。内閣サイバーセキュリティセンター(*1)で参事官補佐として活躍した経歴を持ち、講演内容は政府のセキュリティガイドラインをベースに、自身の経験も踏まえた最新の多層防御対策が中心となりました。
(*1)NISC。政府向けセキュリティ推進組織として、不正通信の監視や脆弱性検査はもちろん、サイバー攻撃や情報セキュリティに対する政府統一基準の策定や中央省庁などへの教育にも取り組んでいる

約50分の講演では、日本に対するサイバー攻撃の深刻度、攻撃手法、具体的な多層防御対策など話題は多岐にわたりましたが、最も印象的だったのは「これからは内部侵入を前提とした多層防御による対策が欠かせない。侵入をゼロにするのではなく、攻撃が成功する可能性をできる限りゼロに近づけるという考え方が大切である」という指摘です。

従来、セキュリティ対策といえば、マルウエアへの感染や不正アクセスをいかに未然に防ぐか(境界型セキュリティ対策)という考え方が一般的。それだけに、侵入を前提とするという発想に興味を覚えました。永野田氏は、その理由として以下のような点を挙げています。

・パターンマッチングによるウイルス対策ソフト、IPS(不正侵入予防システム)やIDS(不正侵入検知システム)は、既知のマルウエアには効果的だが新種を防御し切れない

・犯罪者はウイルス対策ソフトをテストした上でサイバー攻撃を仕掛けてくるので、検知が難しくなっている

・アイコンや拡張子の偽装など、脆弱性を悪用しない手口が増えている

・情報窃取を狙う攻撃では、感染しても気づかれないようなマルウエアを送り込んでくるため、感染を発見しにくい

・セキュリティ教育や標的型メール訓練をしても、攻撃が巧妙化していることから、人的ミスや判断遅れのリスクがある

要は、サイバー攻撃の高度化・巧妙化により、境界型セキュリティだけでは感染を完全に防御することは難しくなり、内部侵入も想定した対策を講じる必要があるというわけです。こうした考え方は、前述のNISCや経済産業省、民間の大手セキュリティベンダーなども指摘しているとのこと。今後、主流の考え方となるのは間違いなさそうです。

もちろん、これまでの対策に意味がないわけではありません。永野田氏は「既知のマルウエアや脆弱性を狙った攻撃もまだまだ多く、これまで通りの基本的なセキュリティ対策や人的教育をしっかりと行うことが重要」と指摘。実際、「アプリのホワイトリスト化」「アプリとOSに最新パッチを適用する」「OSとアプリの管理者特権を制限」といった対策だけでも、85%のサイバー攻撃を防御できると報告されているといいます。

基本対策&未知のマルウエアに多層防御で対抗

では、内部侵入を前提としたセキュリティ対策とは、どのようなものなのでしょうか。具体的なものとして、下記のポイントなどが掲げられました。

①守るべき重要資産の特定
 ②多層防御措置
 ③マルウエア感染リスクの低減
 ④ネットワークのセグメント分割
 ⑤早期発見・早期対応

まず、対策を講じる前に取り組むべきこととして、①守るべき重要資産の特定が必要とのこと。企業内に重要情報が点在していると、守る範囲が広くなり防御し切れないだけでなく、それぞれで対策を行うことで高コストとなってしまいます。自社にとって「重要情報は何か」「どこにあるか」「対策の状況」を整理すると共に、守るべき情報を集約して防御するという選択と集中の考え方が、セキュリティ対策にも必要です。

その上で、ゲートウェイや社内ネットワーク、エンドポイント(利用者端末)といったシステムの各レイヤーにおいて対策を行う②多層防御を講じるわけです。多層防御は攻撃を防ぐのはもちろんですが、システム内部を探索しづらくすることによりサイバー犯罪者に情報窃取などを断念させる効果もあるとのこと。例えば、「システム内を40時間探索して情報がなければ、6割の犯罪者が窃取をあきらめる」といわれているそうです。

多層防御の留意点として、「ゲートウェイ製品やサンドボックス製品などは未知のマルウエアに強いものを選ぶことが大事」といい、「最後の砦となるエンドポイント対策については特にこの点を重視したい」としています。

加えて、アプリやOSに更新プログラムを適用するといった従来型の対策により③マルウエア感染リスクを低減することも欠かせません。

そして、内部侵入された場合に被害を最小限に抑える観点から、④ネットワークのセグメント分割と⑤早期発見・早期対応の対策が必要です。社内LANはすべて一律にネットワーク化するのではなく、例えば「ユーザーセグメント」「サーバーセグメント」「運用管理セグメント」など、重要度に応じてセグメントを分離して、特に重要なセグメントはインターネットに接続させないこと。さらに、セグメント間のアクセスを制御(不要な通信を制限)したり、運用端末からはウエブ閲覧やメール送受信を禁止したりといった対策が求められます。

また、内部侵入の早期発見・早期対応には、通信ログの収集と分析を行います。ログを集めて分析することにより、例えば「一般的にはあり得ない社内におけるPC同士の内部間通信や接続が発見されれば、マルウエアによる遠隔操作の可能性がある」と判断できるわけです。最低6カ月、できれば1年以上、ログを保存しておくことが望ましいとしています。

こうしたセキュリティ対策を講じる上で、永野田氏は「攻撃が巧妙化かつ高度化している中では人的対策には限界がある。そこは自動化やシステム化により人的関与や判断を最小限にとどめてカバーするしかない」と指摘。感染の疑いがあればLANケーブルを抜けなどといわれていますが、これは感染を認識して初めて対応できること。最近は感染に気付きにくいマルウエアが多いことを考えれば、確かに人的対策では対応が遅れるリスクがあります。不正な通信や攻撃、不正添付ファイルなどの自動検知や自動ブロック機能、システム化されたログ収集・分析ツールなどを活用しないと、未知や既知を問わず早期対処は難しいのではないでしょうか。

自動化やシステム化が可能な多層防御対策ツールの例として、パロアルトネットワークス社の次世代ファイヤウォールやFFRI社のエンドポイント対策ソフトウエアなどが紹介(いずれも詳細は後編にて)されました。

さらに、自社セキュリティ環境を「可視化」する重要性にも言及。「気づかない標的型攻撃が増えているだけに、報告がないからといって感染していないわけではない」とし、まずは現状把握を推奨して講演を締めくくりました。ヤマダ電機では日本ユニシスとの協業により、マルウエアへの感染有無などを調査できる「リスク分析レポートサービス」を用意しているとのこと。これは無償なので、ご興味があればセキュリティ対策の第一歩としてヤマダ電機法人営業所に相談してみてはいかがでしょうか。(長谷川丈一)