特定の組織をターゲットに静かに忍び寄る標的型サイバー攻撃の脅威。その対策にどう取り組むべきか。
本誌は、標的型攻撃の脅威の本質と対策の取り組みについて、日本セキュリティオペレーション事業者協議会(ISOG-J)のメンバーとして、また日本ネットワークセキュリティ協会(JNSA)の幹事としてサイバー・セキュリティ対策の最前線で活躍する、インターネットイニシアティブ(IIJ) セキュリティ情報統括室 シニアエンジニアの加藤雅彦氏、およびサービスオペレーション本部 セキュリティ情報統括室長の齋藤衛氏に話を聞いた。
プロフィール
加藤 雅彦(KATO Masahiko)
インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア。IIJ-Technologyでセキュリティ検査サービス立ち上げるなど、セキュリティのスペシャリストとして知られる。同社以外にも、日本セキュリティオペレーション事業者協議会(ISOG-J) 標的型攻撃対策検討WGや、日本ネットワークセキュリティ協会(JNSA)、内閣官房情報セキュリティセンターWG、日本クラウドセキュリティアライアンス、情報処理推進機構WG、日本セキュリティ監査協会WG、ASP・SaaS普及促進協議会WGなどに参加し、セキュリティの啓発活動を広く展開している。
7月5日(木)に開催される『企業攻撃の"今"と近未来の展望をまとめて解説! 2012年度版 最新脅威対策講座』にて講演予定。
標的型攻撃が本当の意味で危険な理由
APT(Advanced Persistent Threat)とも呼ばれる標的型サイバー攻撃は、攻撃の実態を把握することが難しく、攻撃のターゲットになっていることさえわからないケースも少なくない。当初は、ターゲットにされるのは国の機関や関係組織がほとんどだったが、2009年頃から、一般の民間企業がターゲットになるケースも増えてきているという。
IIJ サービスオペレーション本部 セキュリティ情報統括室長 齋藤衛氏。法人向けセキュリティサービス開発などに従事の後、2001年よりIIJグループの緊急対応チームIIJ-SECTの代表として活動し、CSIRTの国際団体であるFIRSTに加盟。Telecom-ISAC Japan、日本シーサート協議会、日本セキュリティオペレーション事業者協議会など、複数の団体の運営委員を務める。 |
標的型攻撃の危険性について、加藤氏は、「メールにマルウェアを添付して攻撃を試みるといったことが脅威の本質ではない」と指摘したうえで、「攻撃を企てる側は、ターゲットとする組織の重要な情報を詐取するといった明確な目的を持っており、ありとあらゆる手法を駆使してそれを達しようとする。そういう意味で、標的にされているという状態そのものが脅威であると認識すべきだ」と警鐘を鳴らす。
この種の攻撃は、特定の組織にターゲットが絞られることから未知の脅威であることが多い。また、組織内のネットワークに侵入しコンピュータを乗っ取って攻撃を行うことから、従来のアンチウイルスやIPS(Intrusion Protection System)といった対策システムで対抗するのは難しく、単独の組織や情報セキュリティ対策事業者だけで対抗するのも困難だ。そのため、行政機関やIT業界が総力を結集して情報を収集・共有し、協力して対策に取り組むことが望まれる。
こうした状況を受けて、日本セキュリティオペレーション事業者協議会では、2011年7月に標的型攻撃対策検討ワーキンググループを新設し、対策の検討を開始した。その目的は、標的型攻撃に関する情報を集約して、攻撃のターゲットになっている組織に迅速に警告を発し、その対策を適切にアドバイスできるようにセキュリティオペレーション事業者各社が態勢を整えることにある。
同ワーキンググループでは現在、「総務省や経済産業省、警察庁などの下で標的型攻撃対策を推進する複数の団体と協議し、情報の共有や連携などについて調整を進めている」(齋藤氏)という。
「多層防御」で標的型攻撃に備える
標的型攻撃への対策を難しくしている要因の1つは、これまでの情報セキュリティ対策が「境界防御」という概念の下で行われてきたことにあるという。これは、組織内のネットワークでは悪いことをする人はいないという前提の下で、危険なインターネットと接続する境界で攻撃を検知・防御すれば安全を確保できるという考え方がベースなっている。
しかし、標的型攻撃は、あらゆる手法を駆使してその境界を越えて内部ネットワークに侵入し、内部のコンピュータを乗っ取ったうえで目当てのターゲットに近づこうとする。そのため、従来の境界防御による対策では、十分な安全を確保することはできない。
加藤氏は、標的型攻撃から組織を守るためには、内部からの攻撃にも対応できる多層防御の仕組みを構築する必要があると指摘する。「標的型攻撃においては、社内ネットワークを管理するためのIDやパスワードなどの情報が格納された管理サーバを狙うのが定石になっているため、そこに特別な境界を設定し、攻撃を防御することが望ましい」(加藤氏)
経営的な視点で運用ルールを見直す
対策が難しいと言われる標的型攻撃に対して、一般の企業はどのように備えればよいのだろうか。加藤氏は、情報セキュリティ技術の導入だけではなく、運用を適正化することも対策のカギになるとアドバイスする。
そのためには、本当に守らなければならない情報とは何かを経営的な視点であらためて精査し、社員一人ひとりが社内でアクセスできる情報は何か、その情報に対して可能な操作は何かといった運用ルールをもう一度見直す必要がある。
そして、社員が情報の重要性を認識しながら安心して仕事を遂行でき、狙われていることが判明した際に、重要な情報を適切に隔離・保護できる態勢を確立することが望まれる。また、重要な情報が簡単に流出しないように、分散管理するといった情報セキュリティ技術の導入も検討する必要があるだろう。
本誌では来る7月5日(木)に『企業攻撃の"今"と近未来の展望をまとめて解説! 2012年度版 最新脅威対策講座』を開催する。そこでは、加藤氏が「標的型攻撃とセキュリティオペレーション」のテーマで講演を行う予定だ。
講演では、ISOG-Jの標的型攻撃対策検討ワーキンググループでの取り組みのほか、標的型サイバー攻撃の最新動向とその対策の最新事例などを紹介することになっている。標的型サイバー攻撃に不安を感じている経営者やセキュリティ担当者にとっては大いに参考になるはずだ。