TOP>企業情報>コラム>特集>今必要とされる、標的型攻撃に対する備えとは?(ラック×アシスト対談)

今必要とされる、標的型攻撃に対する備えとは?
(ラック×アシスト対談)

security_taidan

昨今、年金情報流出事故をはじめとした標的型攻撃による被害が相次ぐ中、マイナンバーの運用管理を控えた自治体や企業から、具体的な対策に関するご相談が急増してきました。特に、「不正アクセス」や「標的型攻撃」といったキーワードがよく聞かれます。
そこで、今回の対談では、情報セキュリティ分野におけるあらゆるサービスに定評のある株式会社ラックより、取締役 専務執行役員 CTO 標的型対策本部長 西本逸郎様をお招きして、「今必要とされる標的型攻撃への備え」についてお話を伺いました。対策の検討を迫られている情報セキュリティ担当者の方に知っていただきたい情報が満載です。


nishimoto

西本 逸郎様

株式会社ラック
取締役 専務執行役員 CTO
標的型対策本部 本部長

shigematsu

重松 俊夫

株式会社アシスト
システムソフトウェア事業部
仮想化推進室 技術部長

ito

伊藤 雄介

株式会社アシスト
システムソフトウェア事業部 
技術統括部 技術支援3部 部長


標的型攻撃が相次ぐ中、企業規模問わず問い合わせが急増している

アシスト(以下青文字):今年の大規模な標的型攻撃のニュースを受け、アシストへのお問い合わせ件数が急増しています。貴社の状況はいかがですか?


西本様(以下黒文字):ラックへのお問い合わせ件数も非常に増えており、対応が追い付いていないのが現状です。相談内容としては、現状診断が多いですね。マルウェアに感染して外部に情報が漏れていないか、Webサイトが改ざんされていないか、といったことを気にされているようです。

2011年に標的型攻撃が大きく報道されて以降、中央官庁や大手製造業では一気にセキュリティ対策が進みました。次世代ファイアウォールや新しいタイプのウイルス対策ソフトが導入されています。一方では、こうした対策を講じたとしても、標的型攻撃を完全に防ぎきることは難しく、事故は起こる前提で考えて、できるだけ早く問題を見つけて対処しようという考え方も定着してきました。

ある側面では、こうして中央官庁や大手製造業がしっかりとした対策を始めたがために、他の組織にまで攻撃が及ぶようになった、ということも言えるでしょう。攻撃の目的も、政府や重要インフラを担う企業の機密情報の奪取だけではなく、一般の個人情報にまで広がっていると見るべきです。あらゆる組織にとって標的型攻撃は他人事では無いのです。


マルウェア感染時、経営者がとるべき行動は「被害拡大の阻止」

monitoring
         図1.モニタリング範囲

――アシストでは、バックドア通信を検出する「 BlackDomainSensor 」というソリューションを取り扱っています。数十社以上でモニタリングしたところ、なんと全ての企業でバックドア通信の可能性が検出されました(図1)。どのお客様も、侵入されている事実を一様に驚きつつ、「わかって良かった」と言われていましたが、次にどのようなアクションを取ればよいのか悩まれていました。


マルウェアに感染していることがわかったら、まずやるべきは被害の拡大を止めることです。よくある感染経路としては、最初に感染した端末が遠隔操作の踏み台にされます。その後、他の端末のアカウントが奪われ、同一ネットワークの内部が制圧されていきます。その際、マルウェアを使うのではなく、Windowsの管理系コマンドを使って乗っ取ることが多いです。ですから、まずは遠隔操作の入り口となっている端末を特定し、その予備機を洗い出して封鎖しなければなりません。次に、その端末からどれだけの情報が持ち出されているかを確認しなければなりませんが、ほとんどの組織ではここまでできていません。


――「封鎖」とは、感染した端末のネットワーク・ケーブルを抜いてしまう、ということですか?


いいえ、感染した端末だけではあまり意味が無いでしょう。感染は数ヵ月、場合によっては1年以上前に始まっている可能性があります。特に、小規模企業の多くはプロキシサーバやUTMが導入されておらず、組織内部から外部への通信が制御されていません。となると、すべてのネットワークを封鎖するしかありません。


標的型攻撃は、「3ステップ」で正しく対処すること

実は多くの企業が誤った順番で対策している

――貴社が公開している「 標的型攻撃 対策指南書 」によると、一般企業や組織だけでなく、ITの提供側であるSIerでさえも、何から手をつけるべきかわからない状況だと思われます。

document
          図2.標的型攻撃 対策指南書


指南書は、何をどこから手を付けるのかを極力わかりやすく伝えるために作っています。お伝えしたいのは、標的型攻撃への対策は3ステップで行うべきということです。

年金機構の事件以来、数十の別の組織で同種のウイルスに感染したという報告がありますね。そのほとんどが、JPCERT/CC(※1)や警察からの連絡で感染を知りました。とすると、1つ目のステップは、「外部から連絡を受けたら何をするのか」を考えておかないといけません。「何をすれば良いかわからない」はもう通用しません。年金機構の件でも、「なぜインターネットを遮断しなかったのか」と国会でも論議されるような時代ですから。被害の封じ込めができない組織の経営者は、インターネットを遮断して、被害を封じ込めるという決断が必要です。要は、こうしたことを予め考えておくということです。

2つ目のステップは、「外部から指摘を受ける前に自分で気付く」ということです。一般的に、マルウェアが侵入してから内部が制圧されるまでには少し時間が必要です。ですから、スパイ活動が本格化する前に手を打つことができれば、被害が拡大する前に阻止できます。

最後のステップは、さらなる予防策や防御策を講じて「強い体力をつける」ということでしょう。

nishimoto-2


本来はこの3ステップで考えるべきなのですが、世の中的には取り掛かる順序が逆になっていて、「予防策を取れば万全」という勘違いがあります。これは本来最後にやるべきステップですよね。まずは、最悪の事態を回避するほうから先に対策をしていかないと。


――とはいえ、官公庁や自治体ではできても、一般企業がそこまで準備するのは現実的に難しくないですか?


難しくても、JPCERT/CCからの指摘を無視して対応を怠ったり、何もしていなかったことが後から発覚すれば、それは会社にとって致命傷になります。

例えば一般企業の場合でいうと、大企業をターゲットとした標的型攻撃の踏み台にされたり、取引先とのメールのやり取りが窃取されたり、Webサイトが改ざんされ、そのサイトを閲覧した大手企業にまで感染が広まるといったことが起きたら大変です。取引先から、「あなたの会社にはスパイがいる、スパイがいる間はうちの情報は全部消せ」と言われるのが普通です。スパイがいなくなったと証明できるまでは仕事も止められ、下手したら二度と取引をしてもらえない恐れがあります。となると、致命傷です。こういったビジネスインパクトを経営者はしっかり認識して、JPCERT/CCから連絡がきたら何をすべきか決めておく必要があります。


大企業でさえ対策は不十分

――2つ目のステップ、「外部に指摘される前に自分で気付く」という点においては、インターネット通信の通り道となるプロキシサーバ、データが置かれるファイルサーバ、データベースといったところのログ取得が大事になりますが、まだ一部の企業でしかしっかりとした運用はされていないようです。流出を未然に防止するための特権IDの管理も、まだまだこれからといった印象を受けます。

アシストは、データベースが得意な会社なので、お客様のデータベースの特権IDを借りて作業をすることがあります。残念なことに大企業のお客様であっても、実際に作業担当者が何をしたのか調べる習慣が無いようです。特権IDも、一度申請が認められると長期間に渡って利用できてしまいます。そういうお客様に対しては、特権IDの適切な払い出しと、何かが起きた時に我々の潔白を証明するためにも、データベースのアクセスログを取って下さいとお願いをしているのですが…。

ito-2


そうですね。結局、標的型攻撃対策もそこに行きつきます。特別な権限を持っている人に対しては、濡れ衣を着せないためにも監査が行き届くような仕組みがないと。今の日本の現状は、スパイに情報が抜き取られても誰も気付けないから、原因を作った張本人を責め立てる構図になってしまっている。「なぜ怪しい添付ファイルを開けたのか?なぜメールのリンクをクリックしたのか?」などと。


経営者は、丸投げ体質を改めて、ルール違反の存在を早急に認識する必要がある

日本は、丸投げ体質を改めるべきですね。欧米のように、任せる代わりにちゃんとしているかをチェックするという「目付け」の役割を持たせなければなりません。今は、現場(末端)の人にデータ運用を丸投げして、任せた側は実体を把握していないことが多いです。経営者の監査が末端にまで行き届くように、結果の責任は経営側がきちんと取る必要があります。

年金情報流出事故でも、一番反省すべきは、事故が起きた時、「経営者が年金情報取り扱いルールが違反された事実を認識していなかったこと」にあります。結果論にはなりますが、標的型攻撃に遭っていると気付いた時、もし共有フォルダに置かれたルール違反の個人情報を削除していれば、あの大量流出は起きなかった可能性があります。

つまり、これは誰の責任か。ルール違反を犯した現場ではなく、ルール違反の存在を認識せず、若しくは見て見ぬふりをして放置した経営者の責任なのです。「一律禁止」もある時は必要ですが、収益を上げ、コストを下げろと言われ続けていれば、現場は我慢しきれずルール違反が横行し始めるのが普通です。我々はこれを「割れ窓」と呼びます。ルールが守られるのは大体3ヶ月くらいが限界です。ですから、違反が起きる前に、現場が納得する解決策を用意するか、監査などにより、緊張を再度浸透させなければなりません。経営者は割れ窓を放置してはなりません。


――せっかく個人情報を安全に扱うために安全な環境を作ったのに、業務効率を優先させるため、インターネットにつながっている環境に大事なデータを置いてしまったということですよね。業務効率とセキュリティは、どこで折り合いを付けるべきか難しいですね。


自治体が直面している「ネットワーク分離」への対応

個人情報取扱ネットワークを、早急にインターネットから切り離す必要がある

――ところで最近、全国の自治体が、個人情報取扱ネットワークをインターネットから分離する準備を進めていらっしゃいます。

情報を調べるためにインターネットを使う程度であれば、普段の業務で使っている端末とは別のインターネット専用端末を使うので問題ありません。でもメールはどうしたらいいのか、という問題が残ります。多くの企業では、メールはインターネットと繋がっています。たとえば自分の端末で開かなければならないファイルが添付されていた場合、どうやってそのファイルを安全に個人情報取扱ネットワークへ持っていけるか、といった細かい運用上の問題に悩まれています。これが「割れ窓」になってしまわないか懸念されます。

shigematsu-2


今、自治体が取り組むべき内容は、総務省から県を通じて各自治体に指令が出ているようです。それはやらなければいけません。メールの場合は、専用のメール端末を用意して、受信は止めないが送信には制限をかける。インターネット端末と業務端末間のデータ連携は諦めて紙などでやる、といったような。マイナンバーの運用開始が近づいた今、個人情報取扱ネットワークをインターネットから切り離せと言われるのは、ある意味仕方がありません。年金情報流出事故で感染が発覚した時も、なぜインターネットから切り離さなかったのかを国会の場で追求されたぐらいですから。長野県上田市役所の前例にある通り、自治体で同様の事故が起きたら住基ネットや行政ネットワーク(LGWAN)を切り離す必要があります。ネットワークが切り離されれば、業務効率が大きく低下することは目に見えています。


対応策として「仮想的なネットワーク分離」に注目が集まっている

ネットワークを分離する対応策としては、物理的に端末を分けず、仮想環境を使う方法もありますね。やり方は二通りあって、キレイな環境から手袋をして汚いもの(インターネット)を触るのか、汚い環境(インターネット利用環境)で手袋をしてキレイなものを触るのか。現状、どちらが要望として多いですか?


――圧倒的に前者、個人情報を扱うキレイな環境から仮想環境上のインターネットを使うニーズが多いですね。アシストは、「仮想セキュリティルーム」というソリューションをもっています。大事なデータを扱う際は、仮想的な無菌室の中でやりましょう、また、悪いことができないよう監視カメラですべての記録を取りながら作業しましょう、というソリューションです。物理的なセキュリティルームを作るより安価に実現できるため、以前、内部犯行による重大なセキュリティ事故が発生した際は多くの引き合いをいただきました。

ここ最近はというと、大規模で執拗な標的型攻撃が立て続けに起こり、インターネットからの脅威が広く認識されるようになりました。自治体や個人情報を取り扱う企業からは特に、「インターネットと業務ネットワークとを完全分離したいけれども、インターネットは業務に欠かせないから、接続する時だけ仮想化の手袋をつけるようなやり方がしたい」という問い合わせが急増しています。

そこで、アシストではこのニーズを実現する「
ダブルブラウザ・ソリューション 」をリリースしました。

具体的には、業務ネットワークとインターネット間のWeb通信はファイアウォールで完全に遮断します。その代わり、インターネットが使えるネットワーク上に仮想ブラウザを公開して、業務端末からはその仮想ブラウザへアクセスできるようにします。ただし、社内のWebシステムを使うときは、業務端末上のローカルブラウザを使います。要は、イントラネット用ブラウザとインターネット用仮想ブラウザとを使い分けることになりますので、こうした意味をふまえて「ダブルブラウザ・ソリューション」と呼んでいます。

現場の効率を落とさずに、安価にインターネットと業務ネットワークとを分離できる手段として、非常に多くの問い合わせをいただいているソリューションです。

doublebrowser_system

    図3.ダブルブラウザ・ソリューション概念図


今後の課題は、セキュリティ人材不足を解決するための地産地消

――貴社は、自治体や一般企業に向けてどのようなセキュリティサービスを提供されていますか?


ラックとしては、日本全国の自治体の標的型攻撃への対策を支援するため、2015年9月15日に「ラック標的型攻撃対策パートナープログラム 」をリリースしました。今、全国的にセキュリティ人材が不足しています。東京が全国から吸い取ってしまっていて、地方でいくらお金を用意しても人が集まらない状況です。かといって全国にラックの技術者を派遣することはできません。そこで、地場のSIerさんに対して、ラックのノウハウとサービスを提供することで、地方のエンドユーザ企業にセキュリティ提供できるモデルというものを作りたいと考えています。目指すは、セキュリティ対策の地産地消です。

アシストさんは「パッケージインテグレーター」という表現で、自社のユニークな立場をご説明されていますが、この考えには同感です。せっかく優れた既成品のソフトウェアがあっても、正しく使えていなければ効果はありませんので。長期に渡って運用をしていくとなると、今度は「パッケージオペレーター」も必要になってきますよね。これも同じように、アシストさんの技術者が全国に出張ってオペレーションをするわけにはいかないですから。ラックのパートナープログラムの中でも、先に議題に挙がった特権ユーザの管理も取り組む必要があると考えています。そういった面では、ラックの全国のパートナーさんと一緒に、パッケージの適切なオペレーションができるように協力していきたいですね。


――はい。本日は貴重なお話をありがとうございました。

西本 逸郎様 プロフィール

株式会社ラック
取締役 専務執行役員 CTO
兼 標的型対策本部 本部長
兼 スマート・ビジネス・ファクトリ GM
西本 逸郎(にしもと いつろう)

◆プロフィール:
 1958年 福岡県北九州市生まれ
 1986年 (旧)株式会社ラック入社
 2007年 同社 執行役員
 2013年 同社 取締役 CTO
 2014年 同社 研究機関 サイバー・グリッド・ジャパン GM
 2015年 同社 情報システム部門 スマート・ビジネス・ファクトリ GM
 2015年 同社 標的型対策本部を設立 本部長

 プログラマとして数多くの情報通信技術システムの開発や企画を担当。2000年より、情報通信技術のさらなる
 利活用を支えるため、サイバーセキュリティ分野にて新たな脅威への研究や対策に邁進。
 サイバーセキュリティ対策の観点で、官庁、大学、その他公益法人、企業、各種イベントやセミナーなどでの
 講演や新聞・雑誌などへの寄稿、テレビやラジオなどでコメントなど多数実施。

 ・ 一般社団法人 日本スマートフォンセキュリティ協会 理事、事務局長
 ・ 特定非営利活動法人 日本ネットワークセキュリティ協会 理事
 ・ データベースセキュリティコンソーシアム 理事、事務局長
 ・ セキュリティキャンプ実施協議会 事務局長
 ・ 内閣官房 情報セキュリティ政策会議普及啓発・人材育成専門委員会 歴任
 ・ 総務省 スマートフォン・クラウドセキュリティ研究会 歴任
 ・ 経済産業省 サイバーセキュリティと経済 研究会 歴任
 ・ 警察庁 総合セキュリティ対策会議 委員
 ・ 産業技術大学院大学 運営諮問 委員
 ・ 2009年度情報化月間 総務省 情報通信国際戦略局長表彰
 ・ 2013年情報セキュリティ文化賞

◆書籍:
 『国・企業・メディアが決して語らない サイバー戦争の真実 』中経出版

◆コラム:
 ・日経新聞 電子版「ネットの落とし穴 」コーナー記事一覧
 ・日経BP ITPro「西本逸郎のIT社会サバイバル術 」記事一覧

(対談日:2015年10月)

アシストが提供する標的型攻撃対策ソリューション

アシストでは標的型攻撃対策を単にマルウェア対策としてだけではなく、情報漏洩対策の一つと捉えています。次々と新しく出てくるマルウェアに対して、入口・出口で場当たり的な対策を実施するのではなく、守るべき情報(データ)を中心に、具体的なリスクを想定した3つの切り口で内部対策をご提案しています。

1.監視する

 ● BlackDomainSensor
   組織内に存在する既存のログを活用した信頼性の高いレポートにより、組織内のマルウェアの侵入と挙動を
   可視化します。


2.情報を外部に出させない

 ● マルウェア遮断
   マルウェア侵入の恐れのある端末をネットワークから遮断することでC&Cサーバへの不正通信をブロックし、
   攻撃によるデータの不正持ち出しや侵害拡大を防止します。

 ● ダブルブラウザ・ソリューション
   マルウェアが侵入したとしても、標的型攻撃の出口となるC&Cサーバとのインターネットアクセスを
   禁止することで、攻撃を無効化します。


3.情報を扱わせない

 ● 特権ID管理
   マルウェアが特権IDを奪取したとしても、重要サーバへのアクセスは決められたワークフロー経由でないと
   利用できない仕組みをつくっておくことで、不正アクセスを防止します。

 ● ファイルサーバ情報漏洩防止
   ファイルサーバにアクセスできる端末を専用モジュール導入端末のみに限定し、Windowsのアクセス権限
   とは別にアクセス権を設定しておくとともに、ファイルサーバのデータを暗号化し、万が一持ち出されても
   被害を防止します。


solution

                  図4.アシストの標的型攻撃対策ソリューション全体像



アシストでは、特定のベンダーに偏らないパッケージインテグレータとして、すべてのお客様の業務やコストに応じた最適な標的型攻撃対策をご提案しています。小さなご不安でも、どうぞお気軽にご相談ください。
お客様のご要望に応じて、専任のスタッフが対応いたします。


関連セミナー開催中!

ダブルブラウザ・ソリューション紹介セミナー

本ページでご紹介した、インターネット分離施策「ダブルブラウザ・ソリューション」の紹介セミナーを開催します。
内部ネットワークとインターネット間のWeb通信を完全に遮断して情報漏洩を防止しつつ、仮想ブラウザを利用することでユーザ利便性を保つダブルブラウザ・ソリューション。セキュリティ強度の高さと、導入コストを安価に抑えるLinuxブラウザ対応等が評価され、発表から半年で15社以上で採用、数万ユーザに利用されています。

■お申し込みはこちら


アシストからお役立ち情報をお届けします

e-mail magazine

無料のセミナー/イベント開催情報や、事例、最新の製品情報など、お客様の情報収集に役立つトピックをお届けします。是非一度お試しください!

メルマガ会員登録はこちら



Facebookで情報をお届けしています

Facebookでは、アシストの「今」を週3回のペースでお届けしています。「めげない、逃げない、あまり儲けない」を合言葉に日々頑張っておりますので、応援よろしくお願いします。



ページの先頭へ戻る