セキュリティ後進国、日本を蝕むサイバー攻撃
ここ数年、企業を対象にしたサイバー攻撃による被害は国の内外を問わず拡大する一方にある。なかでも標的型攻撃は、その手口の巧妙さ・複雑さから対策が非常に難しく、世界中の企業にとって深刻な問題となっている。サイバー攻撃の手法は日々進化を続けており、従来ながらのシグネチャ・ベースのセキュリティで対策を講じる事は限界に達していると言っても過言ではない状況にある。
前回の記事でもご紹介したが、ファイア・アイのセキュリティコンサルタント・チームであるMandiantの調査レポートによると、セキュリティ侵害の最初の痕跡から検知するまでの平均日数は205日にも及んでいる。つまり半年以上もの期間、攻撃者は侵入した組織内のネットワークで好きなように活動を続けられるということになる。
合計36P、最新セキュリティレポート配布中FireEyeが提唱するセキュリティ・アプローチ「Adaptive Defense™」(適応型の防御)とは--- 今なら合計36Pの最新レポートがダウンロード可能 Report セキュリティの再創造 第1部: デジタル時代のセキュリティ脅威に備える適応型のアプローチのダウンロードはこちら Report セキュリティの再創造 第2部:適応型インフラストラクチャの構築のダウンロードはこちら |
|---|
ファイア・アイ 技術本部の主席技術主幹、田中克典氏は、日本企業の場合はより事態が深刻な可能性が高いと見ている。「多くの日本企業が本格的にサイバー攻撃対策に力を入れだしたのは2012年頃からです。一方、アメリカではそれ以前にも様々なセキュリティ侵害事件が発生していたのを受けて、攻撃を防ぐための体制づくりも進んでいます。そうした事情を鑑みれば、日本企業はこの『205日』よりもさらに長い期間、攻撃者の侵入を許していると推測します」と語る。
|
ファイア・アイ株式会社 |
もう1つ警戒すべき点として、標的型攻撃を筆頭にサイバー攻撃のターゲットが大企業だけでなく中小規模の企業にまで広がってきている傾向があるという。比較的対策が進んでいる大企業を直接狙うのではなく、よりセキュリティ・レベルの低い取引先の中小企業にまず侵入し、そこを足がかりとしてターゲットとなる大企業を攻撃するといった手法がとられるのである。
「日本の場合、取引関係にある企業間同士のつながりが強い場合が多く、攻撃側もそうした密な関係を狙っていると思われます。例えば、開発した製品の設計図といった知的財産が取引の過程でサイバー犯罪者の手で盗まれたりすれば、関係するすべての企業が被る被害は想像もつかないほど甚大になるでしょう。そうした損失の大きさを十分に認識したうえで、必要となる対策のための投資を考えねばいけない時代になっているのです」(田中氏)
最新の脅威を踏まえた新たなアプローチ「適応型防御」とは
このように、深刻度を増す一方にある昨今の脅威に対して、迅速かつ柔軟に対応しリスクを最小限に抑えられるよう、ファイア・アイが打ち出したアプローチが「適応型防御」である。
適応型防御とは、
1. 未知の脅威に対応する検知テクノロジー
2. セキュリティ侵害を迅速に解決できる専門的知識・知見
3. 世界中で収集された最新の脅威情報(インテリジェンス)
の3つを統合したセキュリティフレームワークだ。このうちテクノロジーの要となるのが、ファイア・アイ独自の特許技術である仮想実行環境「Multi-Vector Virtual Execution (MVX)」である。MVX技術を用いたエンジンにより、シグネチャ・マッチングに基づくソリューションや一般的なサンドボックス技術では対応できないサイバー攻撃も検知することが可能となるのだ。また専門的知識・知見については、高度なサイバー攻撃に長年対処してきたファイア・アイの豊富な経験が土台となる。
そして脅威情報は、世界中で約800万台に及ぶファイア・アイのセンサーから収集した脅威に対する情報と、社内専門のアナリストの豊富な経験、それにMandiantのインシデントレスポンスで得られた知見からなる。これらを組み合わせて新たな攻撃やツール、手法を特定し、常に最新の脅威に対抗するのである。
|
テクノロジー、専門的知識・知見、脅威情報(インテリジェンス)を統合したセキュリティフレームワーク「適応型防御」 |
適応型防御での脅威対策では、脅威の検知と防御のみならず、検知したセキュリティを解析してフォレンジック調査等の迅速なインシデント対応を実施、さらにその評価に基づいて対策を検討する──といった4つのサイクルをまわしていく。
|
適応型防御における、防御、検知、解析、対応のサイクル |
「適応型防御のサイクルを回し続けることにより、マルウェアが侵入して目的を達成するまでの間に、脅威を最小化することが可能です」と、田中氏は強調する。
2つのプロフェショナルサービスで、侵入後のマルウェアにも適切に対応
マルウェアの攻撃サイクルのうち、初期侵入や潜伏に対しては、ファイア・アイのセキュリティアプライアンスやエンドポイントセキュリティ製品、フォレンジック製品が効果を発揮する。しかし侵入後にはマルウェアはステルスに行動するため検知が難しく、そこは人間の知見と技術が必要になる。このためファイア・アイでは、2つのサービスを立ち上げることで、侵入後のマルウェアへの対応を可能にしたのである。
その1つは、FireEye as a Service(FaaS)だ。FaaSは、セキュリティ侵害による被害の発生、拡大を防止する監視するサービスである。MVXエンジンにより攻撃を検知、防御するとともに、10万時間以上に及ぶ現場経験に基づく解析技術を活用して顧客のネットワーク環境を24時間体制で監視する。もしセキュリティ侵害の兆候が確認された場合には、脅威に関する詳細なレポートを提供する。FaaSには「Continuous Protection」と「Continuous Vigilance」という2つのメニューが用意されており、このうち後者では、脅威の予防的調査やさらに高度な調査活動など、企業全体のセキュリティレベルをもう一段高めるためのアセスメントまで提供する。
そしてもう1つのサービスがMandiantサービスである。FaaSが継続的に提供されるサービスなのに対し、Mandiantサービスはオンデマンドのコンサルティングサービス。企業が一定の期間で何をしたいのか、それがどういった結果をもたらすのかをあらかじめ決めて、そこに向けて専門的な知識を駆使して高度なサイバー攻撃対策を実行していく。具体的には、セキュリティ侵害に対するリスク評価(Vulnerability Assessment)、セキュリティ侵害有無の調査(Compromise Assessment)、インシデント対応体制の強化(Security Program Assessment, Response Readiness Assessment, ICS Security Gap Assessment)、セキュリティ侵害への対応(Incident Response)を実施する。
今後ファイア・アイでは、こうした適応型防御のアプローチによるサイバー攻撃対策を、国内においても積極的に展開していく構えだ。
田中氏は、こう力強く語る。「従来ながらのシグネチャ・ベースによるセキュリティのアプローチはほぼ通用しなくなっています。だからこそ、一旦セキュリティに対する考え方を白紙にして、これからのサイバー攻撃にも対抗できるような新しいセキュリティのあり方を考える必要があるのです。我々も、ワールドワイドでの経験をフルに生かして、日本企業の安心・安全を守れるようお手伝いしていきます。
従来型のセキュリティ・ソリューションの課題と、今求められているセキュリティ・フレームワークとは
--- ・セキュリティ・アーキテクチャの再創造が求められる理由 ・セキュリティ対策を評価する重要な指標 ・すべての攻撃を防御することが現実的ではない理由 — なぜ早期の対応が重要なのか ・断片的で不完全な情報がサイバー攻撃の検知と対応を妨げる理由 ・可視化の不十分な従来型のアーキテクチャがセキュリティ担当者の仕事を増やす理由など Report セキュリティの再創造 第1部: デジタル時代のセキュリティ脅威に備える適応型のアプローチのダウンロードはこちら Report セキュリティの再創造 第2部:適応型インフラストラクチャの構築のダウンロードはこちら |
|---|
[PR]提供:
