さまざまなサイバー脅威が溢れるなか、忘れてはならないのは「基本的な対策を実行しておくこと」である。本記事ではIIJのサービスを参照しながら、セキュリティ対策の基本を確認する。
ランサムウェア、標的型攻撃、個人情報漏えいなど、さまざまなサイバーセキュリティ事故・事件が報道されています。サイバーセキュリティに携わる者として「少し脅かし過ぎでは?」と思う反面、実際に発生してしまったインシデントの現場で対応にあたると、「もっと警告しておくべきだったか?」とか、「事前にアドバイスできることがあったのでは?」と反省することしきりです。
こうした状況のなか、組織のシステム管理者の方は「自分の組織の対策は十分か?」、「インシデントが発生したら、どう対応すればいいのか?」、「前回発生したインシデントの対応は間違いなかったか?」……等々、悩みは尽きないと思います。
IPA(情報処理推進機構)は毎年、大きな影響を及ぼした情報セキュリティの脅威を「情報セキュリティ10大脅威」として発表しています。そこでは「個人」と「組織」という異なる観点からそれぞれの脅威を順位付けしていますが、今回は「組織」の脅威について見てみたいと思います。(下表参照)
順位 | 脅威 | 前年順位 |
---|---|---|
1位 | 標的型攻撃による被害 | 1位 |
2位 | ビジネスメール詐欺による被害 | 3位 |
3位 | ランサムウェアによる被害 | 2位 |
4位 | サプライチェーンの弱点を悪用した攻撃の高まり | NEW※ |
5位 | 内部不正による情報漏えい | 8位 |
6位 | サービス妨害攻撃によるサービスの停止 | 9位 |
7位 | インターネットサービスからの個人情報の窃取 | 6位 |
8位 | IoT機器の脆弱性の顕在化 | 7位 |
9位 | 脆弱性対策情報の公開にともなう悪用増加 | 4位 |
10位 | 不注意による情報漏えい | 12位 |
※初めてランクインした脅威
最新の調査では「標的型攻撃による被害」、「ビジネスメール詐欺による被害」、「ランサムウェアによる被害」がトップ3を占めました。前年の順位と比べると、順位は多少入れ替わっているものの、この3つの脅威がトップ3で、組織にとって不動の脅威として継続していることがわかります。その一方で4位には「サプライチェーンの弱点を悪用した攻撃の高まり」という新たな脅威も入ってきました。
標的型攻撃は、2016年からIPAの10大脅威の1位にランクされ続けている脅威で、国内では某研究組織などが長期にわたり侵入されていたという事案も報じられています。
FireEyeのレポート「M – Trend 2019」によると、2018年、アジアパシフィック地域の組織では、外部からの指摘で侵害を検知した割合は41パーセント、また、セキュリティ侵害の発生から検知までに要した日数の中央値は204日と報告されており、気づくことが非常にむずかしい攻撃であると言えます。
ビジネスメール詐欺は、国際的な取り引きを行なうある企業において、巨額の被害が出た事案が報道されたり、日本語を使用したビジネスメール詐欺も報告されるなど、まだまだ被害の拡大が懸念されています。
ランサムウェアについても、攻撃の入り口が多様化しており、不正な添付ファイルを使用したメールやウェブサイトからの感染だけでなく、最近では、インターネット経由のリモートデスクトップで不正アクセスし、ランサムウェアを実行させるといった高度な攻撃も現れています。
では、ここに挙げたような脅威に対して、どのような対策をとるべきでしょうか?各々の脅威に特化した対策もあると思いますが、新たに出てくる脅威に対して付け焼き刃で右往左往するよりも、基本的な対策をしっかり行ない、何か不審なことがあればすぐに気づき、迅速に対応できる体制を整えておくことが重要です。
IIJでは、これらの脅威に対する基本的な対策として、下記のようなサービスを提供しています。
メールやウェブコンテンツのセキュリティを確保することで、一部の標的型攻撃のメール、不審なビジネスメール詐欺、ランサムウェアによるウェブへの誘導などに対する対策が可能になります。
次に境界防御ですが、組織の業務システムがクラウドサービスやSaaSなどの外部サービスを多用している昨今、システム・ネットワークの境界が曖昧になりつつあります。そこで、組織の根幹となる情報の管理サイトと外部との境界で適切なアクセス制御・監視を行なうことが重要になっています。
端末のセキュリティの確保(エンドポイントセキュリティ)では、発生してしまったインシデントへの対応を端末で検知・対応できるEDR(Endpoint Detection and Response)の提供を検討しています。
これらの対策を組み合わせたうえで、横断的かつ相関的にログを解析し、どの段階まで攻撃が進行しているのかを分析すれば、実際の脅威の重要度を判断できます。そして実際にインシデントが発生した際には、その発生源を複数のログから追跡し、被害の拡大を食い止められます。
IIJ C-SOCサービスは、この機能を実現するサービスです。多層防御でアクセス制御している複数の対策機器のログを相関的に分析し、発生した不審なログから実際の脅威の重要度を判断し、アラートとしてお客さまにお知らせします。実際にインシデントが発生した際は、その発生源を複数のログから追跡し、被害拡大を防止する機能を提供します。
このように考えていくと、組織のサイバーセキュリティにおける基本的な対策は、どんな脅威に対しても大きな違いはありません。これは私たちの身体の健康対策と似ているかもしれません。いろいろな病気の脅威がありますが、健康であることの基本は「適度な運動・適切な睡眠・適切な食事」を確保することです。そのうえで実際に調子が悪くなったとき、気軽に相談できて、普段から様子を見てもらっている「かかりつけ医」を持っておくと、大きな安心につながります。
IIJのセキュリティエンジニアは、組織ITのサイバーセキュリティの「かかりつけ医」でありたいと考えています。例えば、IIJ C-SOCサービスは24時間365日、組織のネットワーク・システムを見守り、不審な点が見つかれば通知し、不安があればご相談いただけるサービスです。
またIIJでは、最新のサイバーセキュリティに関する情報を収集し、観測データにもとづいたインターネット上の攻撃の傾向やセキィリティ事案を「wizSafe Security Signal」、「IIR」、「IIJ-SECTブログ」などで公開・発信しています。自組織の対策を検討される際、これらを参考情報としてご活用いただければと思います。
多くのサイバー脅威にさらされながらも、萎縮することなくITという技術をフルにご活用いただける環境を提供したい――それがIIJセキュリティエンジニアの願いです。
※ IIJグループ広報誌「IIJ.news vol.153」(2019年8月発行)より転載