サイバー攻撃による情報流出は一瞬も、発覚までは半年以上 - FireEye CIOが語る標的型攻撃対策とは

ファイア・アイはこのほど、「日本企業におけるセキュリティ侵害対策向上のための方策」に関する記者説明会を開催した。説明会には、米FireEye バイスプレジデント兼最高技術責任者(CTO)のトニー・コール氏が登壇し、日本企業に対する"セキュリティ指南"を行った。

日本企業は侵入されたことに長期間気づいていない

米FireEye バイス・プレジデント兼最高技術責任者トニー・コール氏

コール氏は現在の社会インフラにインターネットが深く関与しており、結果としてサイバーセキュリティは生活を脅かす重要な問題になっていると冒頭に説明。世界平均では侵入されてから企業が気づくまで205日かかっており、一方侵入から最短7分でデータ漏えいが起こっているという。

さらに日本では、侵入から発覚までの日数が900日を超えていると日本の対策の遅れを指摘する。特に、外部からの指摘で問題が発覚した割合は69%と、内部で確認できていない現状も説明した。

セキュリティ侵害から発覚までの中央値は205日とほぼ7カ月。一方で侵害から流出の最短時間は7分だという

日本のファイア・アイの顧客で言えば、2割が標的型攻撃を受けており、標的型攻撃が原因となる「内部からC&Cサーバへの通信回数」「不正アクセス、マルウェアのダウンロード数」の両方が、アジアで第2位とあまりよくない現状だという。その理由の1つには、中国拠点の5つの攻撃グループが日本をターゲットに設定していることが挙げられる。狙われている業界のトップ5は「航空宇宙・防衛企業」「運輸」「ハイテク・エレクトロニクス」「建築・製造」「通信」だ。

同社顧客の5社に1社はターゲットにされており、今年上半期には、少なくとも5つのグループから標的型攻撃を受けていた。政府機関がリストアップされていないのはターゲットにされていないか、もしくは、検出機構がないからと指摘していた

企業の規模と抱えている情報価値によって、対応能力(≒予算)に差があるという。もちろん重要機密や多くの顧客情報を抱えている会社はより高い対応が必要となる

一方で、セキュリティ脅威をテクノロジーだけで防ぐのは難しく、変化する脅威に対応することが必要だという。しかし、一般企業においてこれらの脅威状況の変化の把握や対策を行うには、「人材的確保とコスト的に難しい」としていた。

相手は最新の手法やツールを使用してくる。そのため、防御に関しても現状の脅威に即した対応が必要な一方、人材・情報不足が問題となる

最悪の事態を想定し、経営陣を巻き込んだ対策を

そこで、コール氏は「セキュリティ侵害はなくならない」という前提で、侵害が起こった時の準備やインシデントレスポンスの責任者をあらかじめ決めておくよう提言した。また、侵害が起こった際の財政的なインパクトの見積もりや、それに見合う補償保険の手配なども必要だという。

このように、セキュリティ侵害が企業の財政に影響をもたらすことを経営陣に示して改善の予算を割り当て、現在侵害がないかどうかの調査を行うことが有用であるようだ。さらに、被害を最小限にとどめるため、セキュリティ意識と攻撃の手法に関して、社員やパートナーなどに教育し、ログ取得と可視化、ベストプラクティスの対策に投資することを推奨している。


コール氏の過去の経験からセキュリティ侵害を受けると、組織内での状況確認が取れずパニックになるという	情報漏えいの発覚から、インシデント評価、短期的、長期的な対応が求められる	セキュリティ侵害に備えるには具体的な対応策を計画・評価・テストが必要だという。この計画も事業や攻撃、法規制に応じて適宜見直しが必要だ

セキュリティ侵害が生じた際にかかるコストは多岐にわたる	侵害が起こると経営陣の責任が問われる。そこで計画段階で経営陣を巻き込み、必要に応じた予算、現状の把握、そして現状に即したセキュリティ契約が必要だという	社内や取引先も含めた教育、ログ取得強化と可視化、防御策の投資と実行で影響を最小化する