サイバーセキュリティの変遷

企業がセキュリティ対策を考える上で、アウトソーシングを視野に入れることも多いと思います。しかし、セキュリティ運用が重要なことは理解できても、アウトソーシングのメリットはどこにあるのでしょうか？

本連載では、セキュリティ運用のアウトソーシングを考えている企業、セキュリティ運用の担当者などに向けて、セキュリティ運用の重要性やアウトソーシングするメリットについて紹介していきます。

*　　*　　*

1994年の秋に日本では商用のインターネットサービスが開始されました。弊社ではその約半年後の1995年の5月からファイアウォール製品の販売を始め、私はその製品の担当でした。ある意味、そこからインターネットセキュリティのビジネスに携わってきました。

もちろん、一製品担当としてインターネットセキュリティに携わってきたので、全体のセキュリティやテクニカル部分を見通せていたわけではないですので偏りがあるかと思いますが、インターネットの黎明期からセキュリティの変遷を見てきた者としてその歴史を紐解きたいと思います。

インターネット黎明期

1995年当時の一般の企業のインターネットの接続回線は64Kbpsの専用線でした。64Mbpsではありません。64Kbpsです。現在の4G LTEの受信速度が約150Mbpsであることを考えると、相当回線速度が遅いことがおわかりでしょう。

当時はブラウジング(httpのセッションを1本しか張らないMosaicがメインのブラウザ)とメールぐらいのアプリケーションしかありませんでしたが、自由に世界中の情報にアクセスできるインターネットは、とても便利なツールでした。

当時ファイアウォール製品を販売するためにお客様先を訪問して、必要性を説明していましたが、たいてい以下のような反応でした。

• ウチには盗まれて困るようなデータはないから
• ハッカーは外国人でしょ？日本語が読めないからデータを盗まれても平気だよ

まさか、と思われるでしょうが、本当のことです。アンチウイルスすらクライアントPCにインストールしていない状態ですから、当然の反応といえば当然の反応だったかもしれません。もっとも、2000年代後半にマルウェアによる被害が出始めた頃にもう一度同じような話をお客様から聞くことになるのですが。

ここに1998年に私があるセミナーで講演した際の資料があります。

1998年にあるセミナーで講演した際の資料

すでにこの頃になるとマクロを使ったウイルス(よくExcelで提供される仕切り表などが感染していることがありました)や外部からのスパムメールが問題になり始めていました。

また、社内からは業務中に仕事に関係のないサイトにアクセスするのを防ぐためにURLフィルタリングの必要性についてもいわれるようになりはじめます。

通信の機密性についても課題となりVPNの機能も搭載します。つまり、ベーシックなファイアウォール機能だけでは外部からのセキュリティの脅威には対応できなくなってきていることがわかります。

ファイアウォールはゲートウェイとしてインターネットの出入り口にありましたので、そこにインターネットセキュリティの機能が集中することになります。一部はネットワークAPIを利用し、サードパーティ製品と連携して処理を行う機能を備えていました。

ここで当時のサードパーティの機能を含み、弊社が提供していたファイウォールの機能を列挙します。

• アクセスコントロール
• アンチウイルスサーバ
• URLフィルタリング
• スパムフィルター
• VPN(PCによるリモートアクセスを含む)
• ワンタイムパスワード(クライアントのチャレンジレスポンス)

この頃からいわゆるUTM(Unified Thread Management)の概念がすでにあったことがお分かりいただけるかと思います。また、いくつかの機能はその後Proxyに搭載されることになったのはお気づきでしょう。

当時のファイアウォールはUnixのOS上で稼動するソフトウェア製品が主流でした。後にWindows NTで稼動する版も提供されたのですが、いずれも元々汎用のOS上で機能過多な状態で稼動していたことと、MS Blasterのような通信量を増大させるワームが発生したことにより、ネットワーク間でのゲートウェイとして稼動していたソフトウェアタイプのファイアウォールはOSごと落ちてしまう、という問題にあたったのです。

DDoS攻撃も同様です。ただ、当時はDDoS攻撃を行うにはボットネットを作り上げる必要があり、それなりに攻撃者も工数と時間を使うものであったため、それほど大規模なものはなく、また一般の企業が狙われるといったようなこともあまりなかったように記憶します。

その後、これらの問題を解決するために、ASICを搭載したハードウェアタイプ(アプライアンス)型のファイアウォールが登場し、高速・大容量の処理が可能なUTMとなって上記のような複合機能を持つ製品が市場に投入されることになります。

一方、同様の機能はProxyにも搭載されるようになりました。Proxyはその特性からコンテンツをキャッシュできるため、一度精査したコンテンツが期限切れにならない限り、社内のユーザはそのコンテンツを利用できるため、クライアントから見た見かけ上のパフォーマンスは飛躍的に向上したのです。

2000年代の頭にはサイバー攻撃に関するニュースがマスメディアで報じられるようになりました。2000年の1月には科学技術庁のホームページが改ざんされたのを皮切りに、短期間に多くの省庁のホームページが改ざんされました。おそらく海外のハッカーの犯行といわれています。また、インターネット経由での個人情報漏洩がメディアにとりあげられるようになりました。

企業が自社のPRやビジネスにWebサーバを活用し始めましたが、前述のような改ざんや作業ミスや脆弱性を突かれたセキュリティ事故が発生する中、Web Application Firewall(WAF)やDLPといった製品が市場に投入されることになります。

ここに2005年に私が行った、当時弊社で取り扱っていたWAFのセミナー資料があります。

2005年に使用したWAFのセミナー資料

1990年代後半のFirewallと比べるとより上位レイヤでのセキュリティ対策を行えることが伺えるでしょう。逆にいうと、攻撃がより上位レイヤで行われるようになったため、WAFのような製品が市場に投入された、ともいえます。

ユーザ側でのベーシックなセキュリティ対策は一巡し、攻撃者はより高度な攻撃を仕掛けてくるようになったこと、インターネットがインフラ化し、ビジネスにおいてより依存度が高まった＝インターネットを利用できないことでビジネスに及ぼす損害が大きくなったということがいえると思います。

2000年代の後半になると、現在に続くマルウェアがクローズアップされるようになります。それまでの業務妨害(公開サーバの改ざん)や愉快犯とは異なり、最初から情報の詐取や重要データの破壊を目的としたものになります。さらに、今までのばら撒き方攻撃とは異なり、ターゲットとした企業や組織を徹底的に狙い撃ちする、という方法に変わっていきます。

おそらくは個人が行うだけでなく、組織的に(場合によっては国家レベルで)行われるようになったと思われます。インターネットにおける秘匿性、手軽さ、コンピューティングパワーの向上がよりそのような攻撃に傾いていったものだと思われます。

また、一度利用されたマルウェアは他のハッカーにより亜種(少し改変をされる)として作りなおされ、今までのアンチウイルスのようなブラックリスト型のセキュリティ対策製品では防げなくなっていきます。

そのため、パターンを見るのではなくマルウェアの振る舞いで検知をする次世代型のIDSやIPS製品が投入されることになります。

一方、サンドボックスのような実際に仮想環境でマルウェアを動作させ、その振る舞いとコールバック先のリストにヒットをすることでマルウェアか否かを判定するセキュリティ製品も出現します。

ウイルスと違いマルウェアは、攻撃者によって目的をもって作られているケースが多く、一見無害に見えるツールをいくつも組み合わせてやりとりを盗み見たり(つまり、個々のツールは正常通信をしているように見えるので発見しにくい)、感染してもすぐには動き出さなかったり、短時間のみ活動してまたスリープするといったように、攻撃者が目的を達成するための知恵と工夫がこらされているように思われます。

このようにして見ると1990年代後半からインターネットの普及やビジネス利用、インフラ化とともに多種多様なサイバー攻撃がより高度に、個別に行われるようになっていきましたが、中には愉快犯のようなものもあり、誤解を恐れずに言えば、インターネットの黎明期のサイバー攻撃は現在よりは牧歌的だったように思われます。

もちろん、当時は初めて見る攻撃にはみんな大騒ぎはしましたが、その多くはばら撒き型の攻撃だったため、対策もすぐに施され、被害範囲も限定的であったように思われます。

一方、現在のサイバー攻撃は物理的・金銭的に直接的なダメージを与えるだけでなく、標的となった企業は社会的信用の失墜・株価への影響など、実際の企業活動や実経済に影響を与えるものとなっている気がします。

次回は”人の脆弱性”を軸に現在のサイバーセキュリティの現状についてお届けします。