サイバー犯罪の脅威に対するクライシスマネジメント第5回「入口での防御と重要情報の保護と監視」

ソニー米国子会社へのサイバー攻撃による史上最大規模の情報漏えいや、イランの原子力施設を対象としたサイバー攻撃にみられるように、昨今では、特定の団体、組織を標的とし、高度な技術を用いて徹底的な攻撃を仕掛けるケースが増加しており、経営に対してより深刻な影響を与える脅威となっています。一方で、管理対象としての情報システムは、クラウドコンピューティングやスマートフォンの普及などにより、複雑さを増しており、サイバー攻撃への対処がより困難な状況になりつつあります。

本稿では、昨今のサイバー犯罪の傾向とグローバルの動向を踏まえ、経営者がどのように深刻化するサイバー犯罪の脅威に対して向き合い、対応すべきかについて考察します。

2．サイバー犯罪の脅威へどう対処するか

これまで述べた通り、ますます高度化するサイバー攻撃の脅威に対して、入口で完全に防御する事は事実上不可能な状況となっています。従来のセキュリティ製品やソリューションは、入口での防御、検知を目的としたものが中心ですが、こうした製品を駆使して適切に運用しさえすれば、サイバー攻撃の侵入を完全に抑えられると考えるのは、幻想でしかありません。

もちろん、こうしたセキュリティ製品の適切な導入・運用は、入口対策として攻撃の防御・検知を行う上で必要不可欠ですが、サイバー攻撃の脅威から企業をより確実に守るためには、これに加えて、「攻撃の侵入を許した後に、いかに情報窃取やシステムの停止といったインシデントの発生を防ぐか」というリスクマネジメントの視点、「インシデントが発生した場合にいかに早期に発見し、適切に対処するか」といったクライシスマネジメントの視点が重要となります。

（1）入口での防御

ウイルス対策ソフトの多くは、世の中に発現しているウイルスを収集し、そのウイルスの情報を登録することで、ウイルスを検知しています。そのため、不特定多数向けに行われるマス向けの攻撃には大きな効果を発揮しますが、セキュリティ企業がウイルス検体を入手する機会の少ないAPTや標的型攻撃については、ウイルス対策ソフトで検知できる可能性が低いということになります。

また、ウイルス対策ソフトで検知できなくても、メール受信者が、そのメールを不審に思い、添付ファイルを開かなければ、ウイルスに感染する可能性はほとんどありませんが、メールの内容や送信元を巧妙に偽装するような標的型メールにおいては、ウイルスメールと気付かずに開いてしまう可能性が高くなります。

このような攻撃の侵入に対する最初の砦は、メール受信者の適切な判断となります。従来のようなソフトウェア、ハードウェアによるセキュリティソリューションに加え、脅威に関する知識を従業員に周知徹底することが重要です。例として、以下のような知識と対応を身につけておくことが必要です。

・日本語のウイルスメールも増加している
・差出人のメールアドレス詐称は容易である
・PDFなど実行形式でないファイルから感染するウイルスもある
・原則、実行形式の添付ファイルを開くべきではない
・原則、脆弱性の修正プログラムが公開されたらすぐに適用する
・ウイルス対策ソフトを導入していても、100%防げるわけではない
・ウイルスに感染しても、目に見える症状が出るとは限らない

尚、従業員の攻撃に対する耐性確認と意識向上を目的に、標的型攻撃メールを疑似体験させる「予防接種」という教育手法があり、効果が期待されています。
また、標的型攻撃の中で、未知の脆弱性を狙うゼロデイ攻撃はわずか5%に過ぎず、大半は既知の脆弱性を狙った攻撃が成功しているという報告もあり、パッチマネジメントを適切に実施し、既知の脆弱性を確実に塞ぐことで、入口対策としては相応の効果が期待できるということになります。

（2）重要な情報やシステムの保護と監視

標的型メールを見抜くことができなかったなどの理由で、ウイルスの侵入を許してしまった場合、情報窃取や重要なシステムの障害などのインシデントを回避するため、以下のような対策が必要となります。

・ウイルスの活動（組織内蔓延や外部通信）を阻害、抑止する
・重要な情報やシステムのアクセス制御を行う
・情報にアクセスされても保護するため暗号化を行う
・ログ証跡を監視・分析し不審な行為を早期に発見する

新しい手口のサイバー攻撃やウイルスは日々出現し、これに対して入口対策を追加していっても導入コストや管理コストばかり膨れ上がる一方、同じような対策をいくら厚くしても効果には限界があります。一方で、高度化された攻撃は、実力誇示など自己満足を目的とした攻撃ではない事は明らかで、明確な目的を持ち、相応のコストをかけて組織的に準備されたものであり、そうしたコストに見合うだけの見返りを求める必要があるため、目的は特に価値のある情報資産の窃取であると推測することができます。つまり、この種の攻撃の最終目的が「重要な情報の窃取」であるという点は不変であり、重要な情報にアクセスし、持ち出すという本質的な攻撃の仕様は大きな変化がありません。侵入したウイルスによる情報資産の窃取を防ぐためには、重要な情報資産のライフサイクルを理解し、その情報資産を利用する業務プロセス、システム機能、アクセス権などを棚卸した上で、インシデント回避の対策をデザインする事が効果的です。

例えば、多くの製造業や金融業等では、重要な情報を保持する基幹システムをインターネットに直接接続しないクローズ系のシステムとしています。クローズ系システムは、インターネットには直接接続しないものの、USB等の外部メディアでデータのやり取りを行います。APTなどを行う攻撃者は、PCなどオープン系システムから感染させたウイルスを、USBメモリ等に紛れ込ませます。そのUSBメモリ等を企業内の人間がクローズ系システムに差し込むことで、クローズ系システムもウイルスに感染します。そして、そのウイルスがクローズ系の情報を抜き取り、再びUSBメモリ等がオープン系システムに差し込まれることによって、その情報が攻撃者に送られるという手口です。このような場合、オープン系システム全体を監視して漏洩を防ぐより、関所となる外部メディアのデータ授受を厳格に監視したり、授受されるデータの暗号化などルールを徹底することにより、情報窃取など重大なインシデントに発展するリスクを効率的に抑えることができます。

最近では、多くのセキュリティ専門家から、標的型攻撃やAPTなどに対しては出口戦略が有効であると提唱され、企業の内部から外部に対しての通信を監視する「ネットワークフォレンジック」が注目を浴びています。確かに、攻撃に侵入された後の対策として、インシデントの兆候を早期発見することは非常に重要であり、ネットワークフォレンジックなどのモニタリングは有効な手段といえるでしょう。しかし、ネットワークフォレンジックでは、取得した大量のログをどのように管理するかなど多くの課題があり、出口の監視に多くのリソースを振り向けることがどの組織にとっても有効とは限りません。アクセス権やデータフローの設計によって、あるいは重要な情報の所在やライフサイクル、運用ルールによって、どのポイントをモニタリングする事が最も効果的で、効率的かが決まるのです。

こうした施策は、企業内の人間による情報の持ち出しなどに対しても、大いに効果を発揮します。情報流出インシデント全般のリスクを減らすためにも、どこにリソースを配置し、どのようなルールを制定し、何をモニタリグするか、といったデータ管理の方法について、十分に検討する必要があります。

（堀田知行）

著者略歴：株式会社KPMG FAS　フォレンジックサービス部門　ディレクター
2005年、KPMG FAS入社。デジタルフォレンジックの技術を用い、情報漏えい、インサイダー取引、資金横領・粉飾などの不正調査および危機対応支援を担当。また、インテリジェンス（情報分析技術）、データ分析技術、IT知識を活かし、M&Aにおける戦略評価、競合分析、ITデューデリジェンス、企業分割・統合支援などにも従事。KPMG入社前は、株式会社電通国際情報サービスにて、製造業向けコンサルティングおよび戦略企画立案に従事。慶応義塾大学環境情報学部卒業