APT攻撃への完全な防御とは（CA Security Reminder）

アメリカのラジオ局の朝の番組でレポートをやっていました。狙いを定めた特定の欧米企業から知的財産やその他の企業秘密を得ようとする中国からの攻撃に焦点を当てた話だったのですが、この種の攻撃は、APTと呼ばれています。

特集特集

2012.8.20 Mon 8:00

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

ネットワークセキュリティの分野において倫理的ハッキングに詳しい CA Technologies の Russell Miller氏によれば、USではAPT攻撃は防ぐ手段がないとみなされており、そのため常に侵入されていることを前提に行動しなければならないという。

--

アメリカのラジオ局NPR（National Public Radio）の朝の番組で、“Cybersecurity Firms Ditch Defense, Learn To ‘Hunt”（防御をやめ侵入者探しを始めたサイバーセキュリティ・ベンダ）と題したレポートをやっていました。狙いを定めた特定の欧米企業から知的財産やその他の企業秘密を得ようとする中国からの攻撃に焦点を当てた話だったのですが、この種の攻撃は、Advanced Persistent Threat (APT－持続的標的型攻撃)と呼ばれています。

近年、APTの問題は、間違いなくその深刻さを増しています。Google、Adobe、Rackspaceなどの企業がAPT攻撃を受けていたことを公表していますし（詳細はこちら）、セキュリティ・ベンダのRSAでさえ、2011年にAPTの被害にあったと言っています（詳細はこちら）。

しかし、NPRの番組で最も驚かされたのは、CrowdStrike社の共同創業者Dmitri Alperovitch氏が「実際、この種の攻撃を防ぐことができる企業/組織はありませんし、官公庁も例外ではありません。ですから、考え方を変えて、常に侵入された状態にあるのだと想定し、ネットワーク上で侵入者を探す方法を考え始めるべきなのです」と言っていたことです。

これは実に正しい考え方です。すべての企業/組織は「ネットワークに攻撃者が侵入したらどうなるのか？何をするだろうか？どのような被害が発生するだろうか？どうすれば違反を検知できるだろうか？」と考える必要があります。

ネットワーク侵入者は、まず管理者アカウントにアクセスして、いわゆる万能鍵を手に入れようとすることが多いと思います。NPRの番組では、情報を収集して積極的に攻撃グループを探索するベンダを紹介していましたが、APTに対しては「アイデンティティ管理」という補完的防御が必要です。アイデンティティ管理を実施すれば以下が可能になるため、最大の被害を与えうるアカウントを制御してセキュアにすることができます。

・特権「管理者」アカウントへのアクセスを管理する。

・特権アカウントですら必要最低限のアクセス権しか持たないようにアクセス制限を付加する。

・これらのアカウントを使って実施されるアクションを監視する。

こうすることで、「多層防御」のコンセプトを適用して、A PTの影響を軽減し、違反検知能力を高めることができます。要するに、APTなどの外的脅威に対する最善の防御は、ネットワークの内側も外側も完全にセキュアにすることなのです。

（Russell Miller）

筆者略歴：CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括