【特別企画】

攻撃者目線で再検証する上半期セキュリティ事件簿 - ソフォス

9月27日、英国に本社を置くセキュリティベンダーのソフォスは「セキュリティインシデント「完全解説」セミナー ~攻撃者目線で再検証する、上半期セキュリティ事件簿~」と題したプライベートセミナーを、駐日英国大使館にて開催した。本稿では、企業のIT担当者や情報セキュリティ担当者が集ったセミナーの模様をレポートする。

セミナー冒頭、英国大使館 一等書記官が登壇。挨拶の言葉を述べるとともに、情報セキュリティ分野における日英連携とソフォスへの期待を次のように語った。

「情報セキュリティは、企業のみならず政府にとっても大変重要かつ大いに関心のある分野です。日本と英国は価値観を共有しており、セキュリティ分野においても緊密に連携することで合意しています。サイバーセキュリティの分野でソフォスは最も期待されている企業の1つなので、両国のパートナーシップが同社にとっても追い風となり、同社の製品・サービスが、より安心安全なビジネス環境を提供することに期待したいです」

セミナー会場内の様子

日本企業は内部対策にもしっかり力を入れるべき

次に、デロイト トーマツ リスクサービス シニアマネジャーの岩井博樹氏が、「浮き彫りになったサイバーセキュリティの弱点 攻撃検知とインシデント対応の勘所」と題して講演を行った。

ここ最近も、日本企業の情報漏えい事件が相次いでいる。果たしてなぜこんな事が起きてしまうのだろうか?──。その答えを見つけるべく岩井氏は、日本へのサイバー攻撃の特徴と対策に関する課題次項を事例から示していった。

現在、サイバー攻撃の標的トレンドは、政治家、組織のトップ、秘書、管理者権限保有者などの「特定個人」と、政府関連組織、外郭団体、協力企業等の「特定関連組織」であるという。ここで岩井氏は、今年の大手旅行会社に対する標的型攻撃や、昨年の政府系機関に対する標的型攻撃といった、ここ1、2年の報道で目立ったサイバー攻撃事例を解説。

デロイト トーマツ リスクサービス シニアマネジャー 岩井博樹氏

「統計を見ると、入口対策と出口対策に力を入れる傾向が強いのが日本の情報セキュリティ対策の特徴だ。しかし、入口・出口対策だけではすべての攻撃を見つけ出すことはできない。それらと合わせて、エンドポイントセキュリティやネットワークモニタリングのような、内部対策にもしっかり力を入れるべきだろう」と岩井氏は指摘した。

続いて同氏は、ベトナムの航空会社を狙ったサイバー攻撃の概要を紹介するとともに、攻撃内容の1つであるサウンドシステムが乗っ取られた様子をデモで示した。その後、現状のサイバー攻撃対策を困難にしている要因例として、暗号化や難読化を利用した入口・出口対策の回避策や、亜種のマルウェアが増加していることなど、攻撃側とのいたちごっこの仕組みが続いていることを挙げた。

現状のサイバー攻撃対策を困難にしている主な要因例。いたちごっこの仕組み

「現状、ネットワークの深部まで攻撃者が侵入することを想定した対策に投資をしている日本企業は少ない。攻撃側に先駆けて内部の侵害検知の仕組みを設けておくことはかなり効果が高いでしょう」(岩井氏)

最後に岩井氏は、今後のサイバー攻撃対策のポイントとして、「いかにリスクを最小化するかの観点で考えたとき、多層防御の肝は、ネットワーク対策とホスト対策とのバランスを取ることにある」と訴えて講演を締めくくった。

もはやシグネチャーベースの対策では限界に

次に、ソフォス セールスエンジニアリング本部 技術ソリューション部長 セキュリティエバンジェリストの佐々木潤世氏が、「巧妙化する脅威に対応する次世代エンドポイントを利用したソリューション」と題し、同社が提供するエンドポイントセキュリティの新製品「Sophos Intercept」の紹介を行った。

同製品は、9月22日にグローバルで発売を開始し、日本では10月1日に発売開始され、「アンチ・エクスプロイト」、「アンチ・ランサムウェア」、「根本原因解析/脅威の除去(感染元の自動特定)」といった機能を備えている。

現在、サイバーセキュリティ上の脅威は多様化・複雑化している。多様な犯罪組織が出現し、マルウェアの成長により日々40万個もの新しいマルウェアが生成されているのである。

ソフォス セールスエンジニアリング本部 技術ソリューション部長 セキュリティエバンジェリスト 佐々木潤世氏

「昨年のある報告によると、サイバー攻撃による不正侵入の成功率は実に70%以上にも及んでいます。他にも、あるネットワークセキュリティベンダーのレポートでは、今やサイバー犯罪による被害総額は全世界で5,000億ドルにも達しており、さらに東京オリンピック前になると1.5兆ドルにまで膨らむと予想されています。しかも最新の脅威は、ランサムウェアやメモリ常駐型マルウェアなど様々で、ほとんどの企業ではとても対策が追いつかない状況にあります」(佐々木氏)

そこでソフォスが世に送り出そうとしているのが、「Anti-Hacking」の仕組みである。この次世代防御の手法では、まず攻撃者の目的と使用される攻撃手法を理解した上でブロックが行われる。ただし、ブロックだけでは対処療法に過ぎないので、次のステップでは行為を追跡し、どこから侵入したのか、根本原因までを突き止めるのである。

自動インシデント対応も可能に

Sophos Interceptの主な機能的特徴としては、シグネチャレス検知、ランサムウェアの検知と復旧を行うCryptoGuard、インシデント対処レポート、フォレンジックマルウェア削除ツールなどが挙げられる。

「他社のアンチウイルス製品と共存が可能なのもSophos Interceptの特徴の1つです。シグネチャーベースのソリューションとは全く違うロジックで動作するからこそ可能となっています」と、佐々木氏は強調した。

そして同氏は、エクスプロイト防御、ランサムウェア対策、根本原因解析、それぞれの観点からSophos Interceptの具体的な機能を解説し、その内容を踏まえてこうコメントした。

「誰がいつどうやって侵入して、どのような被害を受けたのかなど、きちんと把握してはじめてすぐに打つべき防御策や有効な事後対策へとつなげることができます。Sophos Interceptには『Sophos Data Recorder』と呼ばれる機能があり、エンドポイントでの行動のログも保存される。そして、クラウドにデータを蓄積し、どのプロセスがどのプロセスと連携しているのかなど、解析結果を可視化できるため、セキュリティ運用の利便性と安全性の双方を高めることに貢献できるのです」

SophosのEndpointソリューション

続いて佐々木氏は、エンドポイントとファイアウォールをリアルタイムで相互に連携することで、自動インシデント対応をはじめとする卓越した保護対策を提供する「Security Heartbeat」について言及し、クラウドベース管理の「Synchronized Securityソリューション」の概要を解説した。これは、エンドポイントとネットワーク基盤とを管理基盤を経由せずとも連携でき、お互いのステータスを情報交換することが可能な世界初のソリューションである。

最後に佐々木氏は、メールに添付されたランサムウェアを自動的に検知してブロックし、攻撃ルートの解析までを行うデモを披露。「ソフォスのソリューションのメリットは、エンドポイントからネットワークまでの多層防御における豊富な製品の提供していることです。そして、自動インシデント対応等の技術により、インシデントの発生から対処までの時間を大幅に短縮でき、感染ルートの特定までが行えることにあります」と強調してセッションを締めくくった。

(マイナビニュース広告企画:提供 ソフォス)



人気記事

一覧

イチオシ記事

新着記事