[インタビュー]ソリトンシステムズ荒木粧子氏に聞く、「年金機構」以降のサイバー攻撃とマイナンバー対策（前編）

2015年10月にマイナンバーの配布が開始され、2016年1月に本格運用が開始となるマイナンバー制度。マイナンバーを取得した企業や自治体の「安全管理措置」の考え方は、日本年金機構のインシデント以降、内部不正防止からサイバー攻撃対策へと劇的に変化している。

そこで、ソリトンシステムズプロダクトマーケティング部部長の荒木粧子氏に、サイバー攻撃とマイナンバー対策、同社の取り組みになどについて話を聞いた。

──年金機構のインシデント前後で、マイナンバー対策はどのように変わりましたか

インシデント前は、一般的なマイナンバー対策と呼ばれる個人情報保護、例えば、PCの操作ログを利用した「内部不正対策」に関する問い合わせが中心でした。それがインシデント後は、マイナンバーのサイバー攻撃対策に関する問い合わせが急増しています。

当社で開催するプライベートセミナーでも、インシデント前は、具体的な対策を検討するというよりも、マイナンバーについて勉強したい、あるいは、情報系システムと基幹系システムのネットワーク分離や、PC操作ログ、アクセス管理ツールなどの具体的な技術的対策に関する情報を求めていらっしゃるお客様が大多数でした。

──なるほど。対策の考え方も、どちらかというと内部不正対策に重点が置かれていたのですね

万一、情報漏洩が発生した場合に、PC操作ログが残っていないと、どの情報が漏洩したのか、誰が関与したのかなどの事実関係を裏付ける記録が不十分で、原因究明が難しくなります。裏を返すと、マイナンバーを取り扱う事務にかかわる方の無実を証明することも難しくなり、最悪の場合は冤罪につながりかねないということで、マイナンバー対策は内部不正対策や社員を守るための対策に重点が置かれていたと思います。また、昨年の大規模な個人情報漏洩事件を踏まえ、内部不正対策の強化に本腰を入れて取り組むお客様も多くいらっしゃいました。

──年金機構のインシデント後は、サイバー攻撃対策がクローズアップされてきたということですが、年金機構の事案から、教訓として一般企業が得られるポイントは何ですか

様々なポイントがありますが、サイバー攻撃に関しては「教訓」という生温い表現で良いのかどうか、個人的には違和感を覚えています。今まで気が付かなかった、あるいは見て見ぬ振りをしてきたサイバー攻撃によって自組織がどんどん骨抜きにされている現状に、ようやく、「どうも今までとは違うようだ」と気付きはじめたということではないでしょうか。

──では、サイバー攻撃対策という観点で話を聞かせて下さい。パターンファイル型のアンチウイルスでは対抗できないマルウェアへの対策としてはどういったものが有効でしょうか

ここ数年人気だったのは「ゲートウェイ型」の対策で、通信を監視し、ブラックリストやレピュテーションデータベースの参照、サンドボックスなどの技術を活用してマルウェア感染を検知するタイプの製品です。これは、エンドポイント（端末）には特に手を加える必要が無いため導入しやすく、自組織が被害を受けていないかどうかを洗い出す「検知」という意味では一定の効果を期待できます。

しかし最近では、こうした対策を導入していても、サイバー攻撃被害が後を絶たないという事実に目を向ける必要があります。ゲートウェイ製品の設定にも依ると思いますが、新種マルウェアをサンドボックスで調査する間は、そのマルウェアを防御できないケースもあるほか、ゲートウェイを経由しない攻撃ベクトル（例えば、USBストレージ、テザリングなど）があるため、やはり、「攻撃防御」よりも「検知」に重きを置いたソリューションと言えるのかもしれません。

最近になってお客様の関心が高まっているのが、「エンドポイント型」、つまり端末側で実施する対策です。パターンファイルに依存しない振る舞い検知技術や、脆弱性攻撃を防御する製品は、従来製品で対抗できなかった攻撃も検知・ブロックできるケースがあるため、防御力を重視して「エンドポイント型」ソリューションの採用に踏み切るお客様が増えてきました。

──御社のマルウェア対策製品「Zerona（ゼロナ）」は、振る舞い検知技術と脆弱性防御を搭載したマルウェア対策製品ということですが、年金機構インシデントで使われた攻撃にも有効なのでしょうか？

弊社でも検体を入手して、「Zerona」でテストし、一連の情報漏えい事案で用いられた「Emdivi(エンディビ)」をはじめとする遠隔操作型マルウェア（RAT：Remote Access Trojan/Tool）が検知できることを確認しています。こうしたRATの挙動を、振る舞い検知技術で洗い出すほか、RATが利用すると言われる脆弱性攻撃も防御できているため、同種の攻撃防御には有効と言えます。

──なるほど。エンドポイントでのサイバー攻撃対策は「Zerona」で十分ということでしょうか

弊社では「Zerona」に加え、カーネルレベルで記録できるPC操作ログも合わせて活用いただくことを強くお勧めしています。サイバー攻撃による情報漏洩の場合、被害範囲の把握や、マルウェアの動作内容・侵入経路、そして拡散の有無を確認していくことになりますが、「Zerona」に限らず、一般的な脅威対策製品では、異常を検知して記録してくれるものの、すべてのPC操作を記録しているわけではありません。端末での事実関係の洗い出しには、やはり信頼できるPC操作ログを取得しておかないと、インシデント対応がかなり大変になってきます。

また、PC操作ログなら何でも良いわけではなく、カーネルレベルで取得できるものがベストです。弊社の「InfoTrace PLUS」であれば、マルウェアによるファイル生成なども記録できますが、内部不正の抑止を目的としたPC操作ログ製品だと、カーネルレベルでの取得ではないため、コマンドプロンプトでのファイル操作は記録できないなどの制限があり、情報漏洩などのインシデント調査には不十分な場合もあります。

──つまりサイバー攻撃というと、脅威対策ばかりに注目しがちですが、情報漏洩対策としては、PC操作ログも重要となってくるということですね

はい。情報漏洩の確認は、もともとフォレンジックを駆使しても非常に難しいものです。しかし、PC操作ログがあると重要な判断の根拠となるので、マイナンバーを含む重要情報を狙う内部不正・サイバー攻撃対策として今やPC操作ログは欠かせないものとなってきています。

このあたりは、インシデント対応やフォレンジックに携わっていないと、何が重要なポイントなのかが分からないかもしれません。サイバー攻撃被害が深刻化する今日、PC操作ログ製品を開発し、かつ、インシデント対応やフォレンジックも行っている当社から、お客様にご説明していくべき点だと考えています。

──ありがとうございました

後編に続く