世界中で発生しているサイバー攻撃を、リアルタイムに可視化するサービスがあるのをご存知でしょうか?
「【サイバー攻撃マップ】可視化ツールでセキュリティ意識を高める」の記事で紹介していますが、各セキュリティベンダーが自社サーバなどに対する攻撃の一部を可視化し、Webで一般公開しているというものです。
それらのサイバー攻撃可視化サービスは、情報セキュリティの世界においてどれほどのサイバー攻撃が発生しているかを知り、セキュリティ意識を高めるには効果的なサービスの一つです。
しかし、あくまで世界のサイバー攻撃を可視化しているだけであり、自社に向けて実行されるサイバー攻撃を可視化するわけではありません。サイバー攻撃対策において重要なのは、
第一に自社に対するサイバー攻撃を可視化することでしょう。
そこで今回は、自社に対して実行されるサイバー攻撃を、リアルタイムに可視化するポイントについて紹介します。
9割以上がサイバー攻撃の存在に気付かない
トレンドマイクロ社の調査(www.trendmicro.co.jp/jp/security-intelligence/sr/sr-2015q2/index.html)では、9割以上の企業がサイバー攻撃(標的型攻撃)の存在に気付かず、外部からの指摘によって初めて気付くとされています。
攻撃者は長時間内部ネットワークに潜伏し、秘密裏に重要情報を搾取しているのです。これは多くの企業が「リアルタイムに可視化する仕組み」がないことを示しています。
サイバー攻撃可視化のポイント
前述したサイバー攻撃可視化サービスのように、サイバー攻撃を可視化するにはどうすればいいのでしょうか?ここでは2つのポイントで可視化方法を解説します。
CSIRTの構築
CSIRTとは組織内に設置するセキュリティ専門チームであり、「Computer Security Incident Response Team」の略で「シーサート」と言います。
近年、経済界全体のセキュリティ意識が高まっていることからCSIRTを設置する企業が増加しています。
CSIRTは主に、発生したセキュリティインシデントに対し原因の調査と対応策の検討、そしてサービス復旧などを適切に行うことが目的です。さらに、内部ネットワークの監視まで行うCSIRTも増えています。
セキュリティ専門チームとしてCSIRTを設置する効果は2つあります。まずは内部ネットワークの監視により、サイバー攻撃を受けてリアルタイムに検知することができるということです。
そしてもう一つは、対処の迅速化です。サイバー攻撃が発生した場合、迅速な対処で実害を防いだり、ダメージを最小限に抑えるためにCSIRTは重要な組織だと言えます。
サイバー攻撃のリアルタイムな可視化はもちろん、重要情報を守ることまで考えるのであれば、構築は不可欠でしょう。
社内システムの監視
CSIRTを設置しただけではサイバー攻撃をリアルタイムに可視化することはできません。やはり、可視化するためのソリューションが必要となります。
例えばWebサイトへのサイバー攻撃を可視化するならWAF(ウェブアプリケーションファイアウォール)を導入したり、ウイルス対策ソフトやファイアウォールといった一般的なセキュリティ製品も欠かせません。
そして、社内システム全体を一つのソリューションで監視したいのであれば、改ざん検知システムがおすすめです。
改ざん検知システムは社内システムやネットワーク機器など、内部ネットワークを構成するあらゆるモノを監視することができます。サイバー攻撃によりファイルやコードの改ざんがあれば、改ざん検知システムが攻撃を迅速に察知し、その後の対処まで迅速化することができます。
サイバー攻撃とは、つまるところファイルやコード、あるいはシステムの改ざんです。その改ざんを検知するということは、サイバー攻撃をリアルタイムに可視化することと同義なのです。
その他サイバー攻撃対策のポイント
サイバー攻撃への対策で重要なことは、リアルタイムに可視化するだけではありません。ここではその他のサイバー攻撃対策ポイントについて紹介します。
情報共有体制を整える
CSIRTを設置していようとしていまいと、社内で情報共有体制を整えておくことはとても大切です。
例えば組織内の誰からが標的型攻撃(標的型攻撃メール)に遭い、かろうじてサイバー攻撃だと気づき、事なきを得たとしましょう。しかし、標的型攻撃はかなり執拗なサイバー攻撃なで、手段や攻撃対象者を変え、何度も同じ企業に攻撃を実行します。
このとき情報共有体制が整っていれば、最初の標的型攻撃の特徴やその他の情報を拡散することで、その後の標的型攻撃を未然に防止することができます。しかし、情報共有体制が整っていなければ、どこかのタイミングで被害に遭う可能性が大いにあります。
実際に情報共有体制が取れていなかったことで、重大な情報漏えい事件を起こしてしまった事例があります。
脆弱性をカバーする
脆弱性とはシステム設計上で生じた欠陥であり、そのままセキュリティホール(セキュリティ上の弱点)となってしまった部分を指します。そして、脆弱性はすべてのソフトウェアに存在します。
問題は、脆弱性の存在をサイバー攻撃者に気付かれ、さらにベンダからのセキュリティパッチ(修正プログラム)がまだ適用されていない場合です。
この場合、サイバー攻撃による情報漏えいなどを簡単に許してしまいます。従って脆弱性のカバーはサイバー攻撃対策において非常に重要です。
対策の基本としては、ベンダからのセキュリティアップデートに対し都度対応することです。また、企業においても脆弱性診断を定期的に行うことで、常に脆弱性の存在を把握し迅速に対応することができます。
出口対策まで考える
サイバー攻撃対策における出口対策とは、攻撃者の侵入を未然に防ぐための対策だけでなく、内部から情報を外部へ持ち出させないための対策となります。
出口対策を講じることで、万が一内部ネットワークへ侵入されたとしても、重要情報が外部に漏えいすることはないので実害は出ません。ただし、セキュリティに100%はない以上確実とは言えないので、出口対策だけでなく入口対策や内部対策までしっかりと講じる必要があります。
セキュリティニュースを把握する
情報セキュリティ事情は常に変化の連続で、日々新たなサイバー攻撃が誕生しています。そうした情報を把握しないということは、無防備に企業の重要情報を晒してしまっているという状態です。
このため、経営者を含め情報セキュリティに関わるすべての人間が、常にセキュリティニュースを把握する必要があります。
CSIRTから定期的にセキュリティニュースを共有する、という体制があると尚いいでしょう。
まとめ
現在皆さんの企業では、サイバー攻撃をリアルタイムに可視化する環境が整っているでしょうか?「まだ」というのであれば、早急に可視化体制を整えることをおすすめします。また、リアルタイムに可視化するだけでなく、その他の対策ポイントについても十分考慮した上で、総合的なセキュリティ対策を講じていただきたいと思います。
サイバー攻撃による情報漏えいやその他重大な被害に遭わないためにも、各対策ポイントを実践していきましょう。
