入口での対策は白旗宣言? サイバー攻撃対策の焦点は出口、そして内部へ

2015/10/15

前回のコラムでは、世界最初のコンピュータウイルスにはじまり、これまで起こったサイバー攻撃の変化をふりかえりました。そして、年金機構を襲ったとされる APT 攻撃や標的型攻撃の前では、どんな組織も攻撃を「もはや防ぐことはできない」事態を迎えたと述べました。今回は、こうした新しい攻撃を前にして、守る側がどのような変化を強いられたかを見ていきます。

 

入口では攻撃を防げない時代の到来

最初が「出口対策」です。

この耳慣れない言葉が、セキュリティ業界で突然叫ばれ始めたのは、2011年秋頃のことでした。2011年は、前回のコラムでもふれたように、米ロッキードマーティン社や、日本の三菱重工など、世界有数の堅牢だったはずの企業が相次いで APT 攻撃の侵入を許した年でもあります。

「出口対策」とは、組織内に侵入したウイルスが、攻撃の指示を受けたり、盗み出した機密情報を送信するために、外部の C C と呼ばれるサーバと、通信のやりとりを行うところをブロックする対策です。たとえるなら出口対策は、銀行に入った泥棒を、金庫の外や、敷地の外に出さないようにする対策といえるでしょう。

出口対策は、一種のバズワードとして製品やサービスのセールスメッセージに多用されることになったのですが、長年セキュリティ市場を見てきた弊誌は、この動きに腑に落ちないものを感じたのも事実です。

なぜなら、出口があれば入口があるわけで、これまで長年企業は、「このセキュリティ製品やサービスを入れれば完璧に防げる」というお題目のもと、「入口」つまりゲートウェイに、ファイアウォールにはじまって、スパムフィルター、IDS / IPS(不正侵入検知・防御システム)、WAFWebアプリケーションファイアウォール)、ペネトレーションテスト(脆弱性診断)実施などのさまざまな製品やサービスを買わされ続けて来たからです。

「完璧に防げる」はずの製品群で防げなかった事実は華麗にスルーされ、まったく新しいコンセプトの製品が売り出された訳で、それは端から見ても、あまりに潔すぎる白旗宣言、変わり身でした。

少々意地悪な言い方をしましたが、国家予算を用いてサイバー攻撃が行われる時代の到来によって、セキュリティ対策が根本から変わった、という言い方がより事態を広く捉えているでしょう。ですから、これまでの入口対策の意義や効果が失われた訳ではまったくありません。

 

出口から内部対策へ

そして「出口対策」がある程度市場で認知され、お金のある企業が対策を実施したあとに言われ始めたのが「内部対策」でした。

内部対策は、IPA (独立行政法人 情報処理推進機構)が言うような、ネットワークを効果的に設計することでイントラネットを迷路化して、機密情報が盗まれにくくする対策方針全般を言う場合と、社内に潜入したマルウェアの不審な活動を検知することを目的に、SIEM (セキュリティ情報イベント管理)と呼ばれる高価な機器を、お金持ちの会社に売りつけるためのセールスワードとして使われる場合があります。

いずれにしても、入口では泥棒を完全に防げなかったため、外に出て行かないように出口にも対策したが、それでも足りず、泥棒にあっさり金庫を見つけられないようにしたり、泥棒が深夜ゴソゴソ動くのを感知するセンサーをつけるような、内部対策をしようという点では、冒頭に述べた「もはや防ぐことはできない」という言葉を裏付けるものです。

 

有効な対策はバズワードではなく足下にある

IPA が内部対策のガイドラインを示した資料「『高度標的型攻撃』対策に向けたシステム設計ガイド」に書かれていることは、アクセス制御や、管理専用端末設置など、ネットワーク管理の基本を組み合わせたもので、必ずしも新しい製品やサービスが必要となるものではありません。

この資料は配付開始後、記録的なダウンロード件数となったそうです。それは、多くの企業に求められる内容だったからでしょう。たとえ多くの対策予算がなくても、中小企業としてできる対策は足下にたくさんあると言えるでしょう。

ScanNetSecurity
1998年に創刊された日本初の情報セキュリティ専門のオンラインメディア。法人読者を対象に、国内外のセキュリティ脅威、脆弱性、新技術、新製品、調査レポートなどの最新情報を提供。
https://scan.netsecurity.ne.jp/

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る