『サイバー攻撃の最新動向と対策~効率的なセキュリティ運用による攻撃への備え~』②
ビジネスonIT勉強会 レポート(後半)

勉強会

ビジネスonITでは2015年11月19日、『サイバー攻撃の最新動向と対策 ~効率的なセキュリティ運用による攻撃への備え~』と題した無償の勉強会を開催しました。

定員10名という少人数制で、最新のセキュリティ事情について学びつつ、参加者どうしで情報交換を行える場として活用していただきました。最新のセキュリティ運用の理想と現状について、前回*に続き、レポートします。

*前半:~効率的なセキュリティ運用による攻撃への備え①~

侵入を前提とした内部不正への対策が必要

続いて、セキュリティビジネス部 セキュリティオペレーション課の真鍋奈津子が、『内部不正侵入に対する事前対策』について紹介しました。

最近は、標的型攻撃についてのニュースが後を絶たない状況です。2015年には、日本の組織をターゲットとした「BLUE TERMITE」と呼ばれる標的型攻撃が発見されました。もはや、対岸の火事ではないのです。

標的型攻撃の手法はますます巧妙になり、マルウェアの侵入を防ぐことはおろか、攻撃メールに気づくことすら困難になっています。したがって、「侵入を前提とした対策」を採ることが重要になっています。

標的型攻撃は、犯罪の計画から侵入、実際の攻撃に至るまで、大きく7つのステップで実行されます。侵入を前提とした対策というのは、このうちの「内部の脆弱性を悪用した侵攻」への対策です。

 標的型攻撃の流れ

こうした内部不正侵入への事前対策としては、「脆弱性の可視化」が現実的な解となります。

つまり、不正侵入や情報漏えい、サービス停止といった被害につながるおそれのある脆弱性が存在しないかどうか、内部環境の状態を明らかにして、対策を講じるための情報を収集する手法です。

実際の作業には、内部ネットワークからの診断が必要です。そのため、CTCのシステムリスク管理サービスにおいても、外部から実施する脆弱性診断とは分けて考えています。

実際のサービスにおいては、非常に細かな診断を実施します。あるユーザーでは、1万7,000のIPアドレスに対する診断と分析に約半年をかけました。その結果、数多くの設定ミス、パッチ適用漏れ、ベンダーサポート切れのシステムが発見されました。緊急性の高いものについては、すでに一次対応として修正されています。しかし、緊急度が低くシステムへの影響度が高いものについては、リプレースなどに合わせて順次対応していく計画です。

ここで「診断はどのような日におこなったのか」(E様)という質問を受けました。
たいていはビジネスに影響の小さい時間帯を選びます。このユーザーでは、CIOが先導し、「システムに影響が発生してもやむを得ない」という覚悟で臨んでいました。とは言え、問題が発生したときに備えて担当者が待機しなければならないため、業務への影響が少ない夕方から夜の時間帯に実施しました。

標的型攻撃対策、内部不正侵入対策の実施状況について真鍋が参加者に尋ねると以下の回答が寄せられました。

「最初の講義でも話題になりましたが、システムへの影響度が高いため、内部システムへのパッチ適用はなかなかできていません」(E様)

「社員に対する標的型攻撃メールのテストは行っています。しかし、内部システムのチェックはなかなか実施できていません」(F様)

やはり、内部システムの改善は手が出せないケースが多いようです。地道に実施していくほかないところでしょう。

ほかには、

「外部公開サーバーはほぼゼロで、クライアントもガチガチの対策で固めていますが、利便性の低下が課題となっています。バランスのよい対策を実施したいところです」(G様)

という意見もありました。

最新の技術があっても運用しなければ事故は起きる

最後は、セキュリティビジネス部 マネージドセキュリティサービス課の石黒真也が、「セキュリティオペレーションセンターの重要性」と題して、伊藤忠テクノソリューションズのマネージドセキュリティサービス(MSS)について紹介しました。

企業ITを取り巻く環境は、刻一刻と変化するものです。海外展開を図ったり、経営統合を行ったりする企業もあるでしょう。IT技術も、クラウドやモバイル/BYODといった新しい仕組みが次々に登場します。こうした変化に応じてセキュリティリスクも変化し、多様化・高度化が進むものです。

問題は、いかに最新のセキュリティデバイスを導入しても、運用がおざなりであれば、事故や事件が発生するということです。

ある米国のスーパーマーケットを運営する企業では、標的型攻撃対策の監視製品を全社導入していたにもかかわらず、4,000万件のクレジットカード情報と7,000万件の個人情報を漏洩しました。報告によれば、監視デバイスから発せられていた警告は無視されていたというのです。

最新の攻撃手法や脆弱性情報を収集し、新しい脅威に的確な対策を採り、検知したイベントを迅速に分析して対応する。そうしたセキュリティ運用を含めて、セキュリティライフサイクルを検討しなければなりません。

CTCが提供するMSSは、CTCのセキュリティオペレーションセンター(SOC)に所属する専門のセキュリティアナリストが、24時間365日体制でユーザーのシステム環境をセキュリティデバイスで監視、分析し、必要であれば通知や対策まで実施します。最も緊急性の高い脅威を検知したときには15分以内に電話やメールで通知するなど、厳しいSLAを設けているのが特長です。各ユーザーにはポータルサイトが用意され、監視状態などセキュリティインシデントの情報をタイムリーに得ることが可能です。

当社は、MSSの分野で歴史のある英国のBAE Systems提携し、セキュリティアナリストのノウハウや教育プログラムのほか、ワールドワイドのセキュリティ情報の提供も受けています。また、同社が米国・英国・フィリピンで提供しているMSSと連携し、グローバル対応を行うことも可能です。CTCのSOCも、東アジアをカバーするMSSとして活用されています。

「エンドポイントも監視対象なのでしょうか」(G様)という質問がありましたが、現状では対応していません。ユーザーの要件に応じて個別の監視体制を組むこともありますが、今後はMSSに組み込めるように準備中です。

 

今回の参加者は、積極的にセキュリティ対策を実施している企業が中心でした。まだまだ十分な対策を採れていない企業も数多く存在していることでしょう。

ビジネスonIT勉強会は毎月実施しています。この機会にセキュリティに関する最新情報や他社の現状について情報交換を行い、攻めのセキュリティ対策を実践していただきたいと思います。

 

講師:
クラウド・セキュリティ事業推進本部  セキュリティビジネス部
セキュリティオペレーション課  課長 柳澤典宏
セキュリティオペレーション課     真鍋奈津子
マネージドセキュリティサービス課   石黒真也
編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント