■標的型攻撃へは出口対策強化がセオリー 標的型攻撃への対策として、いわゆる「出口対策」が重要だという話をよく聞く。これが、まさに前回述べた「常に攻撃されているかすでに侵入されている前提」での対策となる。 出口対策とは、メールや外部からのアクセスを防御するフィルタやファイアウォールといった対策ではなく、内部から外部への通信やメールの監視、これらの操作の認証強化などの施策を指す。ビルなどの入館管理でも、通常は入る場合の認証やチェックの方を厳しくし、退出は簡単に出られるようになっている。もちろん、これは間違いではないが、内通者がいる、あるいは不審者が侵入したとなれば出口を封鎖したり、退出者のチェックや持ち物検査が必要となるだろう。 標的型攻撃の場合、侵入や感染は隠密裏に行われマルウエアの活動は発見しにくい。正規の通信を装って機密データなどを外部に送信したり、外部の攻撃サーバなどに攻撃や侵入のコマンドを送信したりする。これらのトラフィックが不正なものかどうかは、送信先や送信時のコンテキスト(そのアカウントで扱える情報なのか、業務として不自然さはないか、業務時間として適切か、など)を調べなければわからない。さらにやっかいなのは、標的型攻撃メールやソーシャルエンジニアリングによって、騙された内部の人間が実行するプログラムやクリックする操作は、システムからすれば正規のアカウントによる正規の操作でしかないため、本質的に禁止する手立てがない。■出口対策の具体例 出口対策の具体例としては、ファイアウォールやプロキシによるアウトバウンドのフィルタリング、IDS(Intrusion Deteciton System)、IPS(Intrusion Prevention System)といったトラフィックモニタリングやログ監視、およびログ解析技術、さらには重要データのアクセスへの多重認証やコンテキスト認証などのソリューションを挙げることができる。 アウトバウンドのフィルタリングとは、送信先URLやIPアドレスをブラックリスト、ホワイトリストによって管理し、通信を制限したりブロックすること。IDSは、ネットワークトラフィックやログを監視、解析して不正な動作を検出するシステムで、不正な操作などを検出しワーニングを上げたり報告書を作成するが、操作や動作そのものを止めることはしない。検出だけでなく疑わしいと判断したらそれをブロックする機能まで持たせたものがIPSとなる。 多重認証は、正規のユーザーが正常にログインできている状態でも、重要データのアクセスやコピーなどの操作に、別のパスワードや暗証番号の入力をさせることである。コンテキスト認証とは、パスワードを変更した直後に外部のサーバに接続した、機械的な操作、いままでにない操作、不自然な時間帯の操作、といった特定の動作ではなく複数の動作や状況の組み合わせで操作を制限することだ。■出口対策だけでは不十分 標的型攻撃に出口対策は重要なのだが、それをやっていればOKということではない。入口対策があってこその出口対策でもある。どのセキュリティ対策についてもいえることだが、いかなるソリューションもそれだけで十分というものは存在しない。さまざまなリスクに対して、さまざまな対策を施しリスクを下げることが必要なのだが、これが、セキュリティに対するモチベーションを下げる要因ともなっている。「じゃあ、なにをやっても無駄なんじゃないか。だったらお金をかけるだけ無駄」という発想を助長してしまう。しかし、「ドアはピッキングで破られるから付けても無駄。」といって鍵のついていない家に住むだろうか。機械式のシリンダー錠であっても相当数の被害抑止や防御になっているはずだ。現に、ハッカーたちは、少しでも脆弱性の高いところを探し、そこから狙いをつけていくという。 この意味で、標的型攻撃においても通常のファイアウォールやメールのフィルタリングといった従来からの入口対策は欠かせない。また、騙されてマルウエアを実行してしまったとしても、OSやアプリケーションのセキュリティパッチが正しくあたっていれば、実害を防ぐこともできる。■攻撃メールに免疫をつける方策 出口対策や入口対策といったシステム上の対策だけでは防ぎきれない、人間のエラーや弱点への対策手法もある。それは「セキュリティ予防接種」と呼ばれるものだ。ベンダーによっては別の名称やサービス名を使っているところもあるかもしれないが、これは偽の攻撃メールを送って、実際の攻撃メールへの耐性や取扱方法の訓練をする演習のようなものだ。 例えば、取引先、社長やシステム担当者を装ったメールを従業員に送り、添付ファイルを開かせたり、指定のURLをクリックさせるようにする。このとき、実行されるファイルや飛び先のURLは無害なものだが、「あなたは標的型攻撃メールに騙されました。」というような警告メッセージを表示させる。これによって従業員に、怪しいメールへの注意を促し、不注意な行動を戒めるといった教育効果を与える。 他愛もないいたずらにも思えるが、警告を受け取った従業員へのインパクトは大きく、「怪しいメールは開封しないようにしましょう」といった口頭での注意だけでは得られない効果が期待できる。 しかし、セキュリティ予防接種は簡単なようで、実施側には高度な知識や専門性が要求される。十分に準備され正しい方法で実施されなければ、文字通りタチの悪いいたずらや詐欺と同じで、効果がないどころか業務やシステムに支障をきたすことになる。実施は専門家に任せてほしい。■ログの保存は万が一の際の命綱 標的型攻撃とその対策について解説してきたが、いくら中小企業も狙われているからといって、これらの対策をすぐに導入するのが現実的でない企業も多いだろう。中小企業にとって予算の問題は切実だ。紹介したIDSやIPSは、一般に高価なアプライアンス製品を導入する必要がある。ログにしてもストレージやサーバなどを確保する必要がある。 この問題については、想定されるリスクや取引先の状況などを判断しながら、適切な予算配分を行ってほしいわけだが、その際、クラウド利用を積極的に考えてみるのも一つの手段だろう。 IDSの導入は無理でも、ログ管理のためにクラウドサービスのストレージや管理システムを利用し、侵入検知や不正操作などの解析を行う。解析や分析は自分で行うことになるが、これもクラウドで分析サービスを提供しているところもある。ログベースのため、リアルタイム性に欠けるが、前述したように標的型攻撃で侵入したマルウエアは、潜伏しながら活動を続けることが多い。最初の被害は防げないとしても手遅れになる前の発見や駆除は不可能ではない。 中小企業の場合、踏み台として狙われることが多いと述べたが、取引先や親会社が被害にあったとき、ログ管理の状態は保存の有無はその後の対応や損害を左右することもある。ログがしっかり管理されていれば、自社の責任や免責の範囲を特定する証拠ともなりえるからだ。■中小企業こそクラウド利用を考える クラウドにも、クラウド特有のセキュリティ問題や脆弱性は存在する。サーバーならば、FWの設定は可能か、独自のLANセグメントが利用できるか、バックアップはされるのか、ソフトウェアのパッチマネジメントは、など注意ポイントはいくつかあるが、逆にそれらの要件さえクリアできれば、クラウド利用のほうが手間がかからないというメリットがある。とくに中小企業の場合、自前でサーバーやITリソースを保有するが、予算もないしよくわからないからセキュリティ対策はしない、というのであれば、むしろクラウド利用のほうが安全である。 例えば、重要ファイルやデータベースなどは、ログやバックアップなどの対策を講じながら、あえてクラウド上のサービスを利用するという選択もある。サーバー側のセキュリティはサービスプロバイダに任せ、自社のITリソースと分離させるという発想だ。接続もVPNやクラウドアカウントへの認証が、多重認証の役目を果たしてくれる。 自社の業務や取引先の規模に応じて、さまざまな対策を工夫してほしい。
【世界のサイバー事件簿】夏の出張にご注意!! ホテルのフリーWi-Fiが危ない?
