セキュリティの重点はモノから運用へ

前回は、現在のサイバー攻撃が”人の脆弱性”を狙うものに変わりつつあるという話をしました。

ばら撒き型の攻撃は、相当数の部分をセキュリティ対策製品で防御することが可能ですが、標的型攻撃は攻撃者が手を変え品を変え、ターゲットに対して目的を達成するまでしつこく攻撃をするため、次々と新たな方法が考え出されます。

さらに、新たに発見される脆弱性やうっかりミス、パッと見、正常と思われるような巧妙に仕組まれた罠(ちょっと見ただけではわからないような1文字違いのメールアドレスなど)によって攻撃者の目的達成を許してしまうケースが増加している現状をお伝えしました。

今回はそれを踏まえ、どのような対策が有効であるのか考えてみます。

「無菌室」での潜伏を防ぐ

皆さん、「無菌室」という単語を聞いたことがありますよね?

病院などで患者をウイルス感染から防ぐために完全に密閉されており、人の入退出も最低限に絞られた部屋です。当然無菌室はウイルスを侵入させないことを前提に作られていますが、そもそも最初からウイルスが存在していれば、いくらウイルスの侵入を防ぐ仕組みを作っても無意味になってしまいます。

これはサイバーセキュリティについても同じことが言えるわけで、いかに高度な防御を施しても、最初からマルウェアが内部に潜伏していれば意味のないことになってしまいます。

そのため、CA(Compromised Assessment:侵害調査)などを実施して、マルウェアが潜伏していないか、もし潜伏をしていた場合には駆除し、侵入経路を確認し、対策を施すという流れになるかと思います。

CAで問題がなくても安心はできない

ただ、ここに問題が2つあります。

一つは、毎年予算を取ってCAを実施し、問題がないかどうかを確認するということです。

妙な書き方をしてしまいましたが、CAを毎年実施することが問題であると言っているわけではありません。重要なのはCAを実施して終わりではなく、その後も対策を行い、十分なセキュリティ対策・運用が継続的に実施されているか、ということです。つまり、危険なのはCAを実施することが目的にすり替わっているパターンです。

もう一つは、巧妙に偽装されたCAが本当にすべて1回のCAで発見できるのか、という疑問です。専門のセキュリティベンダーに委託するケースがほとんどなので、間違いはないと思い込む方も多いようですが、本当にクリーンになったかどうか確認するのは簡単ではありません。そのため、複数のセキュリティベンダーにCAを依頼する、つまりセカンドオピニオンを実施するというお客様もいらっしゃいます(ある意味、極端な例ではありますが)。

少し視点を変えてみると、仮に1年に１度のCAでマルウェアを見つけ、駆除し、対策を十分に施したとしても、それで完璧とは言い切れませんし、仮に駆除し切れていたとしても、翌日から次にCAを実施するまでの1年間が安全という保証はないと考えられます。

それは、前回もお伝えしましたとおり、攻撃者が次々と新しい攻撃方法を繰り出してくるという外部要因や、新たに導入された機器やソフトの設定ミス、既存システムで新たに発見される脆弱性や操作ミス、さらには、例えば買収した企業のシステムに存在するかもしれないセキュリティホール、働き方改革により増加している在宅ワーカー・モバイルワーカー向け接続環境の考慮漏れなどの内部要因が、複雑に絡み合った運用がなされている現状があるためです。

つまり、CAを実施してその時点ではクリーンな状態にあっても(あるいはクリーンな状態にしても)、外部環境と内部環境は日々変わっているため、明日クリーンである保障はない、ということです。

セキュリティ機器では防ぎきれない標的型攻撃

セキュリティ機器やソフトウェアは高度化していますので、大半はそれらで防げると考えていいと思います。特にばら撒き型と呼ばれる攻撃はほぼセキュリティ機器やソフトウェアで防げると考えてよいでしょう。

昨今ではセキュリティ機器もUTM(Unified Thread Management: 統合脅威管理)化しており、さまざまなセキュリティ機能が統合され、運用しやすくなっているとともに相対的に価格もリーズナブルになっています。

また、クライアントについても、従来のアンチウイルスより高度なEDR(Endpoint Detection and Response)も提供されており、相当高度な攻撃を検知・防御することが可能です。

問題はそれらで防ぎきれない攻撃です。防ぎきれない、と言うより、攻撃者が意図を持って高度なテクニックで高度なセキュリティ対策を施していてもすり抜けてくる攻撃、と言った方が正しいでしょうか。

これら個別の企業を狙う攻撃は十中八九明確な目的を持っており、その被害が経営や事業に与える影響は非常に大きいものとなります。個人情報を盗まれたときのことを考えるとイメージしやすいかもしれません。

鍵を握るSIEM

では、その対策をどのようにしたらよいのでしょうか。

もちろんセキュリティ機器は日々進化していますから、将来にわたってより高度な攻撃を防ぐことができる可能性はあります。

ですので、それらをきちんと運用していくこと(ブラックリストやホワイトリストを適宜更新していく、新バージョンをなるべく早く適用するなど)が重要です。

しかしながら、それを上回る攻撃に対応するには、継続的な監視が必要です。大雑把に言うと、平常時の状態を把握し、異常を検知したらすぐに対応をする、ということになります。

当然セキュリティ機器やソフトのアラートは重要な異常を検知するトリガーですので監視をする必要がありますが、多くのセキュリティ機器やソフトを導入している場合、その数だけでも膨大なものになります。また、その中から本当に危険なアラートを探し出し、調査・分析し、対応するために複数の機器や端末のログを調査し、事象を特定するのは、”干し草の山から針を探す”ように、非常に困難を伴います。それだけではありません。企業のセキュリティ担当者はインシデント対応するだけでなく、その前工程・後工程と実施しなければならないタスクは多くあり、非常に繁忙です。

そこで、SIEM(Security Incident and Event Management:セキュリティ情報イベント管理)を利用して機器のアラートを管理し、ログを取り込んでおいて相関分析を自動的に行う、という方法が考えられます。セキュリティ担当者がインシデントを発見したり調査したりする手間は非常に軽くなるはずです。

SIEMの有効活用は困難!?

SIEMが登場した時は、Firewallが登場した時と同じぐらいの衝撃を受けたのを覚えています。

というのも、当時は多段防御がはやっていて機器は増えるものの、ログはストレージで保存しているだけ、という状態が定常化していました。そこから得られるセキュリティ情報を可視化できる製品がSIEMです。 “セキュリティの中核でコントロールする”機能を持った製品にFirewall以来久しぶりにお目にかかった印象です。事実、私も何社ものお客様にSIEMをご採用いただきました。

しかしながら――。何年かしてお客様に伺ってみますと、SIEMをうまく運用されていないケースが多いことに気がつきました(最悪のケースは単なるログ取得装置になっていました)。

もちろん、今でも十分使いこなしていらっしゃるお客様もいますが、運用できているお客様とできていないお客様に大きく二極化されているようです。

お客様と話をしたり、考えたりして気がついたことは、冒頭に述べたように

1. 攻撃は絶えず変化し、多様化する
2. 自社の環境も刻々と変わり、それに伴ってセキュリティリスクも変化する

ということです。つまり、変化するファクターが2方向であるため、その対応を常にSIEMに反映していくことに並大抵ではない努力が必要だったのだと思われます。

導入当初の設定のままでは、陳腐化してしまい、せっかくセキュリティアラートやログを受け取っても、攻撃を見逃してしまうことになります。

社内の環境の変化は自社内のことですから努力すれば把握できます。攻撃に関してもネットやさまざまな団体、会合で情報を得ることができますが、それらは過去のものであるかもしれませんし、また、そこにすべての情報があがっているとは限りません。

そのような状況の中で”セキュリティのアウトソーシング”の有効性が叫ばれるようになってきています。餅は餅屋、セキュリティのことはセキュリティの専門家に任せよう、ということですね。

次回はセキュリティのどの部分をアウトソーシングできるのか、そもそもセキュリティ運用のアウトソーシングの有効性とはなんなのかをご紹介しようと思います。