昨年より日本国内の大企業や政府機関を対象とした情報セキュリティ侵害事件が後を絶たない。これらの事件に用いられた新たな攻撃手法として一刻も早い対策が叫ばれ続けているのが「標的型攻撃」だ。新たな脅威の登場を受けて、既に多くの企業が情報セキュリティ対策を強化していると言われているが、実際にどのような対策を行っていのるかまではセキュリティ対策という性質上あまり知られていない。
そうしたなか、企業や政府機関に対するセキュリティ施策のコンサルティングやアドバイスで数多くの経験を有するラック サイバーセキュリティ研究所 主席研究員 新井悠氏に、標的型攻撃を受けた企業がどのように対策を進めているのかや、日本における標的型攻撃の実態について語ってもらった。
対策は進んでも事故は増えるというジレンマ
ラック サイバーセキュリティ研究所 主席研究員 新井悠氏。ラックにて企業や官公庁向けのセキュリティ・アドバイザーとして活躍した後に現職。著書には『アナライジング・マルウェア』、『Bugハンター日記』など。TV・新聞コメント寄稿経験多数。9月20日の「標的型攻撃 対策セミナー」にて基調講演に登壇予定 |
新井氏は、日本の企業や政府機関で標的型攻撃をはじめとした新しい情報セキュリティ上の脅威に対する対策が進んでいると一定の評価をしつつも、「一方でセキュリティ侵害による事故は増えており、これはショッキングな事実だと危惧している」と語る。
標的型攻撃への世間の認知度は確実に高まっており、一定の投資を行って対策をこうじる企業も増えてはいるようだ。しかし、昨年ラックに連絡のあった情報セキュリティ侵害事故の件数は、一昨年の50件に対して実に3倍の150件にも及んだというのである。
「1つの企業や政府機関が繰り返し攻撃を受けて我々に連絡してくるケースも多い。これが日本における標的型攻撃の実態であり、対策そのものの見直しが迫られていると言えるだろう」(新井氏)
とりわけ新井氏が強調するのは、ほとんどの企業ではマルウェアなどを早期発見して早期駆除するための対策が整っていないという現実だ。というのも、マルウェアを作成している側は、マルウェア対策製品を自らも購入し、それでも見つけることができないことを検証した上で流布させる傾向にあるからである。
「つまり、攻撃を受ける側が当然実施していると思われるような対策については攻撃者も想定しているということだ。だからこそ、企業は現状の情報セキュリティ対策で安心せずに、万が一攻撃を受けたとしても、マルウェアに感染した端末を素早く発見して対応できるようにしておくべきだ。そして、最新の対策手法や技術動向などにも常に目をむけるようにしたい」と新井氏は訴える。
出口対策の効果を最大化するための秘訣とは
しかし、このように既存の情報セキュリティ対策についてはそれなりに進んでいる企業が多い一方で、それすらも行っていないと考えられる企業もまた数多く存在しているという。IPA(情報処理推進機構)が発表した標的型攻撃に関する統計データによると、電子メールの添付ファイルのうちの40%が実行ファイルとなっている。"電子メールに添付された実行ファイルをクリックするタブー"といった情報セキュリティの基本中の基本でさえも守られていないのである。
「まずは、従来からある情報セキュリティ対策については確実に行っておいていただきたい。それだけでも、やらない場合に比べてはるかにセキュリティ上のリスクを抑えることができるだろう」(新井氏)
現状で行うことができる標的型攻撃対策の中でも、とくに有効性が高いと新井氏が推奨するのがいわゆる「出口対策」である。これに加えて、機密性の高いデータをあらかじめ暗号化しておき、もしデータが盗まれたとしても閲覧できないようにしておけばさらに理想的だという。
「この2つを組み合わせることで、出口対策の真の効果が発揮できるはず」(新井氏)
ある国内企業が試験的に出口対策ソリューションを導入したところ、わずか1週間運用しただけで、マルウェアに感染するなどセキュリティ脆弱性のある端末を100台以上も見つけることができたというのだ。
人と組織の育成も忘れるべからず
標的型攻撃から企業や従業員、そして顧客を守るために、これまでに挙げたような技術面の情報セキュリティ対策と同様に大切なのが、組織や人、運用面での対策である。それを証明する事例として新井氏は、米国の航空機メーカー、ロッキード・マーティンのセキュリティ侵害事件を挙げる。同社では、人事部宛の電子メールを経由してマルウェアに感染したが、その事実を見つけたのは、セキュリティ対策ソフトや機器ではなく、異変に気づいた情報セキュリティ部門のスタッフだったのである。
新井氏は言う。「情報セキュリティを本質的に向上するためには、技術面での改革だけではなく、人や組織を育てていくアプローチが望ましい。そして、先進的な企業では本格的なセキュリティ人材育成に取り組みだすなど、その傾向は強くなってきていると感じている」
ここでは新井氏の言葉を通して簡単に標的型攻撃対策の実態を紹介したが、9月20日に開催される「標的型攻撃 対策セミナー」では、同氏が「国内における標的型攻撃の実態と対策の概況」と題した講演を行い詳細について解説する予定だ。参加は無料となっているので、多くの企業や政府機関での対策の現場を知る専門家の貴重な話に、ぜひ耳を傾けていただきたい。
『標的型攻撃 対策セミナー
- マイナビニュースITサミット Webセキュリティ -』【開催日時】
9月20日(木)13:00~16:30
【参加費】
無料
【場所】
東京都千代田区一ツ橋1-1-1
パレスサイドビル 9F マイナビルームA (東京メトロ東西線 竹橋駅直結)