ガートナー ジャパンは7月11日~13日、年次イベント「セキュリティ&リスク・マネジメント サミット 2016」を開催した。「ビジネス変化のスピードに合わせて信頼とレジリエンスを築く」をテーマに掲げた同イベントでは、ガートナーのアナリストをはじめ有識者が20名以上登壇し、セキュリティの最新動向や事例紹介など、さまざまなセッションを繰り広げた。本稿では、2日目に行われた基調講演「2016年:日本におけるセキュリティ・アジェンダのトップ5」をレポートする。
サイバー攻撃のトレンドと対策
 |
|
ガートナー ジャパン リサーチ部門 リサーチディレクター 礒田 優一氏 |
当日、登壇したガートナー ジャパン リサーチ部門 リサーチディレクター 礒田 優一氏は、まず2015年から2016年にかけて起きた代表的なサイバー攻撃を紹介。それらの攻撃は、外部公開サーバを正面から攻撃する「トラディショナル型」と既存のコントロールをすり抜ける「アドバンスド型」に分類されるという。
トラディショナル型の代表例であるDDoS攻撃(Distributed Denial of Service attack)は、2016年も継続して発生している。日本企業を狙う攻撃も増えているとのことで、ガートナーに寄せられるDDoS攻撃関連の問い合わせには、「DDoS対策にはどのような種類があるのか?」「DDoS対策とWAF(Webアプリケーションファイアウォール)をどのように考えたらよいのか?」「どの製品/サービスが良いか?」といったものが多いという。
一方、アドバンスド型は標的型攻撃や未知のマルウェアなどが代表的なものとして挙げられた。高度な標的型攻撃の1つとしては近年、世界的にランサムウェアが急増しており、企業には早急な対策が求められている。
ガートナーでは、このアドバンスド型攻撃への対策を「ネットワーク・トラフィック分析」「ペイロード分析」「エンドポイント挙動分析」「ネットワーク・フォレンジクス」「エンドポイント・フォレンジクス」の5つの防御スタイルに分類している。このほかにも「無害化」や「分離」といった対策もあるが、ディテクト(検知)テクノロジーからは外れるため、ここには入っていない。
礒田氏は「現在、注目されているのは『エンドポイント挙動分析』と『エンドポイント・フォレンジクス』です」と説明する。この2つに共通しているのは、シグネチャなどに頼らずにエンドポイント、すなわちPCで何とかするという点である。どのスタイルを採用するにしても、注意すべきは「完璧な製品は存在しない」ということだ。「どれか1つというわけではなく、異なる防御スタイルを組み合わせて使うべきでしょう」と礒田氏はアドバイスする。
 |
|
Advanced - 未知の脅威を検知するテクノロジ/出典:ガートナー(2016年7月) |
しかし、企業によって可能な対策は異なる。端的に言えば、「人」と「予算」をどこまでかけられるのかという話だ。
「人材も予算も豊富にあるなら、専用製品を採用して極力自動化し、自社の人員で対処できます。予算はあるが人が足りないのなら、MSSP(マネージドセキュリティサービスプロバイダ)のような外部の専門家と連携すればよいでしょう。予算が乏しく、人材も不足しているのであれば、ファイアウォールやIPS、UTMなどのリプレース時にその一機能としてペイロード分析やEDR(Endpoint Detection and Response)を採用するか、SaaS型も視野に入れます」(礒田氏)
サイバー攻撃の脅威は、こうしたアウトサイダーからのものだけではない。礒田氏は続けて、インサイダーの脅威に話を移した。
インサイダーの脅威とは、内部関係者からの情報漏えいなどを指す。そのターゲットとして、個人情報はもちろん、顧客情報、発明情報など企業が保有するあらゆる情報資産が狙われる可能性がある。
その対策としては、情報漏えいを防止するDLP(Data Loss Prevention)専用製品やファイル単位で閲覧を制御するEDRM(エンタープライズデジタル著作権管理)、EPP(Endpoint Protection Platform)などが有効だが、やはりオールマイティな製品はなく、対策を重ねるほどコストがかかってしまう。そのため、どこまでやるのかという判断が重要になる。
そこで礒田氏が特に重要視するのは「ディテクト&レスポンス」。すなわち、「予防網を突破した脅威を早急に検知し、対策する」ことだ。今後数年単位のスパンで考えると、予算の多くをここに投資する必要があるのだという。
