サイバー攻撃対策は「正しく怖がる」ことが第一歩

前回に引き続いて、デジタルトランスフォーメーションを推進する上で重要な課題であるセキュリティ対策を取り上げます。今回は、マイクロソフトでセキュリティ アーキテクトとして従事し、公認情報セキュリティ監査人や Certified Information Systems Security Professional (CISSP) などの資格を持つとともに日本 CISO 協会の主任研究員を務めている蔵本雄一が、サイバー攻撃の現状や対策を解説します。

-蔵本雄一 プロフィール-
音楽活動に夢中になったことが原因で、大学を 6 年かけて卒業。音楽の代わりに夢中になれるものを探していた時にプログラミングをいじったことをきっかけに、その後熱病に取りつかれるようにプログラミングに没頭。

それが高じて IT 系の企業に就職。セキュリティ製品の開発・販売・プロモーション等の工程を一通り経験したことを転機に、セキュリティの専門家としてのキャリアを志すようになった。

近著に『もしも社長がセキュリティ対策を聞いてきたら』(日経 BP 社) がある。

サイバー攻撃が「愉快犯」から「経済犯」に変質

この 10 年ほどの間に、サイバー攻撃は大きく変質しています。一昔前は、マルウェア (コンピュータ ウイルスを含む悪意のあるソフトウェア) を世の中に広めることによって、自身の技術力を誇示する、あるいは自己顕示欲を満たすことが攻撃者の目的として見られましたが、現在は、企業が保有する情報資産を何らかの手段でお金に換えることを目的とした攻撃が見られるようになりました。

単に、機密情報を盗み出して外部に売るだけではありません。企業が持つ情報を暗号化して、これを元に戻すのに身代金を要求する「ランサムウェア」というマルウェアを使った手口も増えてきています。

同時に、マルウェアの開発ツールや盗み出した情報を売買するブラック マーケットが高度に成長してきました。攻撃者の投資 (攻撃に要したコスト) のリターンは、1,425% という調査結果もあります。ブラック マーケットは年々規模を拡大しており、サイバー攻撃は今後も増加すると予想されています。

サイバー攻撃の手口が高度化・複雑化し、新たな手口も開発されていますが、それに対する防御策が追いついていない企業も少なくありません。攻撃者の手口を知って、きちんとした防御策を立てることが重要です。例えば、インターネットと組織内のネットワークの出入口に対する防御にいくらお金をかけても、攻撃者の侵入を完全に防ぐことは難しいと言えます。これまでに多くの企業で発生した個人情報漏えい事件でも見られたような、入念に標的を下調べした上で行われる「標的型メール攻撃」を受けたら、侵入を防ぐことはかなり難しいと考えたほうがよいでしょう。

勘違いしたままではセキュリティ投資がムダに

標的型メール攻撃に備えて、不審なメールの添付ファイルを開かないように、膨大なコストをかけて社員を訓練しているという企業もあるかもしれません。しかし近年のサイバー攻撃ではたった 1 台の PC に侵入できれば、そこから侵入を拡大する動きを行います。そのため、不審なメールの開封率を下げる訓練だけでは対策として十分とは言えません。サイバー攻撃が内部ネットワークで広がる速度は非常に早いため、「メールを開いた社員が CSRIT (セキュリティ対策部門) 等に開いたことを報告し、CSRIT のチームがそのインシデントをどれぐらい短時間でクローズできたのか」までをみることがより効果的な訓練となります。

ファイルの盗難に備えて、重要なファイルをパスワードで保護しているという企業もあるでしょう。しかし、これも、今日では十分な防御策とは言えません。高性能なグラフィック演算処理装置 (GPU) を使えば、どんなに複雑なパスワードでも短時間で解析される可能性があります。通常の CPU を使った解析では数か月かかるようなものであっても、攻撃者は簡単に手に入る GPU を使うことで解析処理の速度を向上し、攻撃に要する時間を大きく短縮することができます。

攻撃者の目的や手口をきちんと理解していないと、サイバー攻撃の脅威を軽減することはできません。勘違いしたままの防御策では、せっかくのセキュリティ投資がムダになりかねないのです。正しく理解し、正しく怖がる――サイバー攻撃には、このような姿勢で取り組むことが求められます。ボクシングやサッカー等で対戦相手を研究することと全く同様です。

侵入されることを前提とした防御策が必要に

セキュリティ対策の考え方 - 以前) サイバー攻撃を受けないようにする対策。現在) 攻撃者の費用対効果を下げる対策。

サイバー攻撃への防御策を立案する上で重要なことは、侵入を防ぐための対策だけでなく、侵入された後の対策も講じておくことです。よく言われる通り、侵入するための方法は無数にあり、攻撃と防御の関係は攻撃者有利のいたちごっこと言えます。そのため、侵入されないことにこだわるのではなく、侵入された後の対策が非常に重要になります。

自動車に例えると、侵入を防ぐ対策は、事故を起こさないように運転することに相当します。しかし、事故を 100% 防ぐことは不可能です。ですので、事故が起こった際に被害を最小限に抑えるために、自動車にはシートベルトやエア バッグが装備されています。セキュリティ対策でも攻撃者の侵入に備えて、シートベルトやエア バッグに相当するような防御策が必要になります。

米国立標準技術研究所 (NIST) が公表している コンピューター セキュリティ インシデント対応ガイド (NIST SP 800-61) を少しカスタマイズしてみると、セキュリティ対策の考え方としては以下の 4 つを提示しています。

(1) 防御力向上=やられないようにする
(2) 検知分析=やられていることをすぐに検知する
(3) 被害軽減=やられても被害を小さくする
(4) 事後対応=やられた後でも情報を保護する

アンチウイルス ソフトなどが該当する (1) の対策は、ほとんどの企業が導入しているでしょう。(2) は不正侵入検知・防御システム (IDS・IPS) などが該当しますが、こうしたシステムも普及しつつあります。現状では、多くの企業において (3) と (4) が手薄なので、ここを強化することが課題でしょう。

Windows 10 と Office 365、EMS がサイバー攻撃を防御

マイクロソフトでは、OS である Windows 10、クラウド サービスの Office 365、各種のデバイスを管理するクラウド サービスの Enterprise Mobility Suite (EMS) を通して、(1) から (4) に該当するセキュリティ機能を提供しています。

例えば、PC におけるマルウェア対策として Windows 10 には Windows Defender という機能を搭載しています。2016 年にリリースした大型アップデート Windows 10 Anniversary Update では、攻撃者が侵入した後の対策を強化しています。このアップデートで Windows 10 の標準機能として新たに追加した Windows Defender Advanced Threat Protection は、ハッキングの際の典型的な動きが検知されると、アラートが上がる仕組みになっています。そのため、万が一侵入されたとしても被害を抑えることが可能になります。

Office 365 に含まれる Exchange Online Protection (EOP) と Advanced Threat Protection (ATP) を利用すれば、標的型メール攻撃を防ぐことが可能です。EOP が既知のマルウェア、ATP が未知のマルウェアを検出します。各種デバイスの監視機能を備える EMS によって、マルウェアが侵入した際の拡散を防ぐことが可能です。

万が一、攻撃者にファイルを盗まれた場合でも、それを追跡する仕組みもあります。Azure Information Protection という機能です。これを利用すればファイルに対して、印刷や転送、コピー、編集、画面キャプチャといったデータ保護のための利用条件を設定できます。さらに、いつ誰がどこでファイルを使用したのかを確認できるようになります。地図上に表示されたアイコンをクリックすることで、そのファイルに対する利用状況がタイムラインとして提示されます。

ドキュメントを追跡して失効させる 追跡ポータルサイト - 付与されているアクセス コントロールに基いて「いつ」「誰が」「開いたか」「拒否されたか」「転送したか」などの追跡が可能。アクセスされた時間帯や件数をグラフで表示。どの場所からアクセスしたのか地図で確認。
Azure Information Protection のイメージ

マイクロソフトは世界的に見て、米国防省の次にサイバー攻撃を受けているといわれていますが、これらを駆使することで、サイバー攻撃の脅威を大きく軽減しています。

数十億のソースから得られる情報を分析

セキュリティ対策におけるマイクロソフトの強みは、「マイクロソフト サイバークライムセンター」等を含むセキュリティのリサーチ活動により、数十億のソースから得た数兆件ものシグナルをもとに、独自の洞察によって「インテリジェントセキュリティグラフ」を構築し、エンドポイントの保護や、対処の加速といったセキュリティ強度の向上に活用することができることです。

ここで得られる洞察を基に、実際に稼働している製品やサービスのセキュリティ レベルを検証することにも取り組んでいます。セキュリティの専門家で構成される「レッド チーム」を編成して、製品やサービスが実際のサイバー攻撃に対して耐性があるかを検証します。今やレッド チームは、マイクロソフトのクラウド基盤、プラットフォーム、サービスを、開発・保護するのに必要不可欠な存在となっています。

マイクロソフトは、これらの取り組みを通じて得られたナレッジやノウハウを製品やサービスにフィードバックし、サイバー攻撃の脅威の軽減に継続的に取り組んでいます。

関連リンク

»「デジタル トランスフォーメーションの衝撃」 トップページに戻る
» 第 6 回 デジタル化が進む中で求められるセキュリティ対策は?
» 第 8 回 地球上のすべての人と組織のために最新技術のメリットを届け続けたい

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。