事後レポ

情報流出への備えと事後対応のスピードが命運を分ける!

事例と最新手法に学ぶ、 外部攻撃や内部不正の検知と事後対応のあり方

ますます高度化し、悪質化するサイバー攻撃にどう対応するか。2015年12月に東京・中央区で、サイバー攻撃への対応をさまざまな角度から検証する「サイバーセキュリティ・フォーラム2015 Winter」が開かれた。満員となった会場に向け、セキュリティ専門家やセキュリティベンダーなどが実例なども交えながらサイバー攻撃への備えを強化するよう訴えた。

主催/東洋経済新報社
協賛/ファイア・アイ、ネットエージェント、Splunk Services Japan、ラック

【キーノート】
政府のサイバーセキュリティ戦略と
これからの企業における情報セキュリティ対策

イプシ・マーケティング研究所 代表取締役社長
サイバーセキュリティ戦略本部 有識者本部員
野原 佐和子

日本でも今やサイバーセキュリティ政策は、安全保障やIT戦略と同等に位置づけられるようになった。2015年に策定された新たなサイバーセキュリティ戦略では、①経済社会の活力向上及び持続的発展、②国民が安心して暮らせる社会の実現、③国際社会の平和・安定及び我が国の安全保障、という三つの方向性が示された。その中で、産業界にかかわることとしては、安全なIoTシステムの創出と、セキュリティマインドを持った企業経営の推進が重要だと、イプシ・マーケティング研究所の野原氏は指摘。人材育成については、他分野の知識も併せ持つハイブリッド型人材の育成促進、高等教育などにおける産官学連携の推進・実践的演習の充実などが重要だとした。

また、情報漏えい事件等、最近の重大情報セキュリティ事案を詳細に解説したうえで「サイバー攻撃は今後もさらに巧妙化する。サイバー攻撃を完全に防御することは困難。『多重防御策』を打ってほしい。セキュリティベンダーは、より使い勝手のいいものをつくってほしい」と要望した。

【Session Ⅰ】
攻撃者の行動を丸裸に!
インシデント対応ソリューションご紹介
標的型攻撃対策No.1*1のFireEyeフォレンジック製品群

ファイア・アイ
プロダクト・セールス・スペシャリスト
堀田 昌昭

昨今の標的型攻撃は多くの場合プロによる実行であり、背後に国家や企業などのスポンサーがついている。組織化され、資金も潤沢、ゴールも明確なので、目標達成まで執拗に攻撃してくる。結果として、ウイルスばらまき型等の一般的なサイバー攻撃より組織に対する被害が大きくなりがちだ。ファイア・アイの堀田氏は、最近のサイバー攻撃の傾向や特徴をそう分析した。さらに既存のセキュリティツールは、既知の脅威に対応しているものが多く、未知の脅威には対応できない。攻撃する側はつねにすり抜ける方法を研究しているので、標的型攻撃を100%防止することはできない。侵入されることを前提に考えるべきだと提起した。

そのうえで、同社のFireEye PXおよびHXは、侵入された跡を解析して攻撃者を特定するフォレンジック技術を採用し、サイバー攻撃を受けてから修復までの時間を劇的に短くできると指摘。どのような状況で侵害されたか調査し、侵害されたエンドポイントを隔離することもできる。したがって「フォレンジック製品をうまく活用することで攻撃を防ぐだけでなく、侵害されたときも被害を最小限に抑えることが可能になる」と述べた。

*1 出典:「国内セキュアコンテンツ/脅威管理製品市場2014年の分析と2015年~2019年の予測(Report#J15240106)」標的型サイバー攻撃向け特化型脅威対策製品のカテゴリにおいて(2015年7月発刊IDCジャパン株式会社)

【Session Ⅱ】
外部要因だけじゃない!!
止まらない内部犯行による情報漏えい
効果的な抑止方法と事後対応策

ネットエージェント
ネットワークセキュリティコンサルタント
村田 学

ネットエージェント
営業部アシスタントリーダー
中村 仁美

ネットエージェントのセッションは内部者による故意の情報漏えいに焦点を当て、村田氏と中村氏によるQ&Aの形で進められた。内部者による情報漏えいには、漏えいする情報の幅が広い、正規にアクセス権限を持つ人物が絡む可能性が高い、発覚しにくい、公表されることが少ない、などの特徴がある。そして内部情報漏えいが起きてしまったとき、慌てて騒ぐと証拠が隠滅される可能性がある。だからこそ落ち着いて調査することが大事であり、決定的な証拠を押さえるには情報が漏えいした経路を明らかにすることが大事だとした。

そのためには通信データを経路上ですべて取得し、保管できるパケットキャプチャのツールが効果的だとして、同社の製品「パケットブラックホール」とそのオプション製品「カウンターSSLプロキシ」を紹介。内部情報漏えいを未然に防ぐためには、誰が何をしたのか追跡できる環境、情報セキュリティに強い関心を持っているというメッセージの社内発信、何かしたらすぐ露見するという共有認識を広げることが大事だと強調した。

【Session Ⅲ】
ビッグデータ時代における
セキュリティアナリティクスとは?

Splunk Services Japan
シニアセキュリティスペシャリスト
矢崎 誠二

多くの企業はすでにセキュリティのため、さまざまなデバイスを導入している。しかしそれが同じ方向を向き、網羅的に対応できているのか。そこが大きな課題であるとSplunk Services Japanの矢崎氏は問題提起し、統合化されたセキュリティ対策が必要だとした。そして同社の「Splunk(スプランク)」はデータを集めて分析する「セキュリティ・インテリジェンス・プラットフォーム」であるとし、セキュリティだけでなく、さまざまなデバイスのログを統合的に集めて分析する中枢センターとしての役割を果たすと紹介した。矢崎氏によれば「Splunk」をプラットフォームとして使えるアプリケーションは800以上あり、そのうちの約330がセキュリティ関連のアプリケーションである。ベンダーの異なるそれらのアプリケーションのデータを集め、分析主導のセキュリティを実現するという。

さらに矢崎氏は同社のセキュリティ分野におけるユーザー行動分析ソリューション「Splunk User Behavior Analytics (UBA)(スプランク・ユーザービヘイビア・アナリティクス)」なども画面を使って紹介したうえで、問題が起きたときのことを広い視野で見て、トータルなセキュリティ基盤を構築することが重要だと結んだ。

【Session Ⅳ】
プロフェッショナルが実現する、最速、最善の事後対策
顧客満足度No.1!*2
「JSOC」センター長が解説する、セキュリティ運用・監視のセオリー

ラック
JSOCセンター長
兼 サイバーセキュリティ本部 MSS統括部長
中間 俊英

24時間、365日の体制でセキュリティの監視サービス(マネージド・セキュリティサービス)を提供しているラックは、インシデントが発生したときの緊急対応サービスも行っている。同社が実施している緊急対応は年300件を超える。重要なインシデントの多くはマルウェアによる攻撃で、メールだけでなく改ざんされたWebサイトへの誘導で感染するケースもある。そうした場合、感染した企業のサーバがそこからマルウェアを配布してしまい、結果的に加害者に加担することになってしまう。また不正送金の被害も多く、同社が扱った事例では1件で約1億円の被害が出たものもあったという。

「相手は最新の武器を持ち、訓練されている。攻撃を防ぐことも大事だが、被害のインパクトを減らすことも考えるべき」とした中間氏は、情報漏えいチェック、セキュリティ診断、セキュリティ監視といった入口・出口の事前の対策と合わせて、事故対応の体制や組織づくり、社員教育や演習といった、インシデントを想定した事後対応の整備が重要であると指摘した。そして企業の健康のためには、専門のかかりつけ医が必要だとして話を終えた。

*2 出典:「セキュリティ監視サービスの普及率と顧客満足度調査」(2015年10月株式会社ミック経済研究所)

お問い合わせ
ファイア・アイ株式会社
ファイア・アイ株式会社
 https://www.fireeye.jp/
ネットエージェント株式会社
ネットエージェント株式会社
 http://www.netagent.co.jp/
Splunk Services Japan
Splunk Services Japan
 http://www.splunk.com/ja_jp
株式会社ラック
株式会社ラック
 http://www.lac.co.jp/