標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと 第4回:標的型サイバー攻撃の新たな対策の導入その前に(最終回)

2012/02/02

昨年は国内企業や官公庁における特定の人物や情報をターゲットとしたサイバー攻撃が猛威を振るいました。企業活動がITに依存し効率化するに伴い、重要な戦略や研究データなど、知的財産と言われる電子化された情報は企業規模に問わず増えてきています。それらが何者かに詐取されれば、顧客や取引先を含む、企業へのダメージは計り知れません。 標的型サイバー攻撃が会社にとってどのような脅威なのか、また自社を守るために企業としてこれから何を優先的に取り組み、取るべき対策とは何なのか。 マカフィーでは、全4回にわたって標的型サイバー攻撃をテーマとした情報を、様々な視点からお伝えします。 企業の重要情報や社員を守るための事前対策のヒントになれば幸いです。

第4回:標的型サイバー攻撃の新たな対策の導入その前に(最終回)

※本記事は、マカフィー株式会社 プロフェッショナルサービス 担当部長 兜森 清忠によるものです。

日本の中央官庁のWebサイト改ざん事件から10年、内閣情報セキュリティーセンターでセキュリティのガイドラインが作成され、多くの官公庁、企業においてセキュリティへの対策が行われてきました。昨年、実際に被害にあった組織は、セキュリティ対策が疎かだったわけではありませんが、対策上の脆弱点からインシデントが発生したものと推測しています。標的型サイバー攻撃によるインシデント発生を機に、各々が取り組んでいるセキュリティ対策における「これまでの運用状況」の見直しと「今後の運用方法」を検討する局面にあると思われます。

標的型サイバー攻撃は、目的を達成するために特定の組織・個人を標的に、メールおよびWebサイト等を利用し、利用者のPCにマルウェアをインストールするケースが多くあります。マルウェアをインストールするためには、ウイルス対策ソフトをすり抜けて、Webブラウザ、文書を参照するアプリケーション等の脆弱性を突いたものが多く発見されています。これらの侵入方法は、実行形式のものから既知の脆弱性を突くものと、簡易なものから複雑かつ高度な技術を利用しているものがあります。その中で、セキュリティパッチがリリースされていない状態のゼロディ攻撃の比率は、多くはありません。そのため、ユーザーが導入している技術的対策を十分に機能させることにより保護が期待できるものも多くあります。新機能を有する製品の新規導入も一つの手段ではありますが、既存の製品の対策が十分に発揮されていない状況では、インシデント発生のリスク低減とはならないこともあります。

標的型サイバー攻撃における対策の前に、もう一度、みなさんの会社や組織が採用している技術的な対策が機能しているかどうか確認しましょう。ここでは、その一つであるウイルス対策が機能しない例を次に示します。

・組織全体でマルウェア対策をしているが、管理されていないサーバーが存在し、対策が行われていない。 ・OSのサポートが切れた製品の管理ができない状態にある。 ・ネットワーク境界での対策は実施しているが、エンドポイントの対策は優先度が低い。 ・業務を優先するために、セキュリティの設定レベルを低くしている。

このように、既存の技術的な対策が機能しているか評価し、必要に応じて改善を検討しなければなりません。 なお、組織が構築した情報セキュリティポリシー等の技術的な管理策とセキュリティ製品に関連する項目から技術的対策を項目として抽出し、それぞれの対策についての成熟度を測るという評価方法があります。成熟度のレベルは、COBITの成熟度モデルを利用し、「不在」となっている箇所については、対策を検討・導入することで、セキュリティレベルが向上します。また、対策レベルの低い箇所を見える化し、さらなる向上を図ることも可能になります。技術的な対策は、人的依存度が低いため、適切に使用することで効果的に機能します。

セキュリティ対策製品の機能を効果的に利用するために、ネットワーク、OS、ミドルウェアをセキュアにすると同様に、適切な設定をする必要があります。ひとつの対策として、製品の適用元のグッドプラクティスと組織の対策の設定を比較し、乖離している点については、評価・分析を行うことと、結果として残存リスクが存在する場合には、その認識と対応手順を準備しましょう。

現状の評価・見直しの実施後、標的型サイバー攻撃に対するさらなるリスクを低減するためには、監視により平常時と異常時を識別できるような新たなプロセス等により対策が可能になります。また、定期的な対策の評価と脅威の変化に伴うリスク分析等を継続的に実施する必要があります。

標的型サイバー攻撃から企業を守るためには、まず自社の対策が機能しているかを改めて確認、評価し、被害を想定して、必要に応じた見直しがセキュリティ事故を防ぎます。 自社に最適な手法と運用を検討し、セキュリティ対策製品を有効活用した技術的な対策を行い、セキュリティレベルを向上させましょう。