目的を持って特定の企業に対して攻撃を仕掛けてくる「標的型攻撃」は、長期間にわたってターゲットに関する情報収集を行い、目的を達成するまで執拗に攻撃を繰り返す。そのため対策を講じることが非常に難しいというのが実情だ。マイナビは2月28日(金) 、最新のセキュリティ事情を踏まえた上で、この標的型攻撃をテーマとしたイベント「2014年版! 標的型攻撃対策セミナー」を開催する。本稿では、同イベントの基調講演に登壇するNTTデータ先端技術 セキュリティ事業部 辻伸弘氏の講演内容をお伝えしよう。
「2014年版! 標的型攻撃対策セミナー ~最近の事件から学ぶ、攻撃手口と運用留意点~」の参加申し込みはこちら(参加費無料、2月28日(金)開催、東京都千代田区、開場13:00~) |
まずはしっかりとした情報と知識を身につけること
NTTデータ先端技術 |
標的型攻撃という言葉がよく聞かれるようになったのは2008年頃から。それから今日に至るまで、いくつもの企業が標的型攻撃による被害を受けてきた。重要な情報の窃取やシステム乗っ取りによる業務妨害など、特定の目的を持って行われるため被害も大きく、様々な企業や団体から注意喚起が行われている。
それらの情報が広がるにつれ「自分たちは大丈夫だろうか」と不安に思う企業担当者も増えてきているようだ。だが辻氏は「標的型攻撃を、無暗に恐れないでください」と明言する。
「標的型攻撃という言葉は知っていても、具体的にどんな手段で、何を目的として攻撃をしてくるのかは知らないという人が多い。情報が漠然としているので、不安ばかりが募ってしまうのです。しかし、情報を整理して、正しく理解すれば、誰でも”正しい対策”を行うことができます」(辻氏)
「守るべきもの」の優先順位を明確にする
では、標的型攻撃に対する知識を深めたとして、実際にどのような対策をとるべきか。その疑問に対して辻氏は、「何を守りたいのか、その優先順位を明確にすることです」と回答している。
どんなに知識を深めても、攻撃からすべてのものを完璧に防ぐことは、現実的には不可能だ。
「すべてを守ろうとすると時間もコストも掛かってしまうので、結果的に諦めてしまう場合も多くなります。ですから、まずは何を護るべきかを明確にして優先順位の高いところから重点的に手を付けていくことが大切です」(辻氏)
「攻撃は防げない」を前提とすることが大切
セキュリティ対策は、最終的には人に帰結するといわれることがある。そのため運用によるセキュリティ対策に力を注ぐ企業も多い。ただ、それもやり方次第では無意味なものになる。
例えば、標的型攻撃メールの開封率を下げる訓練を行って、その開封率が一般社員が10%、役員が1%だったとする。この場合、数字だけ見ると新入社員からの情報流出リスクが高いと感じるだろう。しかし辻氏は、「どちらが重要な情報にアクセスできるかを考えると、新入社員の10%よりも役員の1%の方が、圧倒的にリスクが高くなります」としている。
そもそも、開封率を下げる取り組みそのものの有効性について辻氏は疑問を投げかけている。
「標的型攻撃メールだと理解して開かないのならいいのですが、メールそのものを見落としていたとなると、それはそれで大きな問題です」(辻氏)
標的型攻撃メールは、人間の心理に付け込んでくるもの。実は、情報収集に積極的な人であるほど引っかかる可能性は高い。
「セキュリティ会社を装ったウイルス情報などのメールが送られてきたら、私でも開いてしまうかもしれません。それくらい今の標的型攻撃メールは高度で巧みになっています。誰もが開いてしまう可能性を持っているものなのです」(辻氏)
― もはや標的型攻撃メールを開くことは止められない。
セキュリティ対策を行う場合は。それを前提に考えなくてはならないと辻氏は断言する。
「標的型攻撃は、新しいタイプの攻撃といわれていますが、必ずしもそうではありません。古いものから新しいものまで、いろいろなものを組み合わせて行われます。過去の例も含めて、知識を深めていくことは決して無駄にはなりません。そうして知見を蓄えておくと、攻撃を受けたことにも気付きやすくなり、早期対策を実現することができるわけです」(辻氏)
2014年2月28日に開催される「2014年版! 標的型攻撃対策セミナー」では、辻氏によって、より具体的な標的型攻撃に対する整理、考え方、向き合い方が紹介されることとなっている。 なお今回の取材後に、当日たまたま居合わせた株式会社アズジェントの駒瀬 彰彦氏と辻氏の間で、標的型攻撃対策についての意見交換が行われた。少々過激なその内容は、残念ながらここでは紹介できない。ぜひとも当日会場に足を運んでほしい。
|
|
