日本企業のセキュリティ対応は問題だらけだ インシデント(致命傷)はどうすれば防げるか

特に多いのが、「何も対応しなかった」「ウイルススキャンのみ対応した」という判断。これらの侵害を受けた組織は、意外かもしれないが情報漏洩などの実被害を確認する以前からサイバー攻撃の事実をほぼ把握している。正確には攻撃メールを受信した、もしくは添付された悪性ファイルをクリックしたことがある、といった事実の把握だ。

ところが、これらのイベントは「ウイルス削除をした」という名目でなかったものとされてしまう。確かに、近年の“バラマキ型”による攻撃メールは数が多い。いちいち対応していてはキリがないことも事実であるため、大抵の攻撃メールはこのような対応手順で十分である。ただし、それは攻撃の目的や内容を理解している場合に限っての話ではある。

実はここに落とし穴がある。多くのバラマキ型メールは、金銭目的としたサイバーギャングや小遣い稼ぎを狙ったハッカーによるものだ。これらは攻撃被害を受けてもせいぜい不正送金やランサムウエアによるファイルの暗号化くらいだろう。場合によっては大事となるが、想定される被害内容と規模、対応難易度を考えると焦って対応をしなくても済むことが多い。その意味では、機械的な対応でもいいだろう。

しかし、エスピオナージのような情報窃取を目的とした攻撃となると、少々、勝手が違う。エスピオナージの攻撃グループは、他国政府（仮想敵国含む）の安全保障にかかわる職員や、彼らに雇われたハッカー、ハクティビスト、企業に雇われたハッカーなどだ。かなり本気でビジネスに関係するデータや国家の機密情報を狙ってくる。彼らの攻撃がいかに厄介なものであるかは、冒頭に触れたインシデント事例を振り返ってもらえればわかるだろう。一般的なセキュリティ対策をしていた企業でもやすやすと侵入を許し、機微情報を窃取されてしまう。

機械的な対応では、こうした組織的なサイバー攻撃への耐性がつかなくなってしまう。

インフルエンザにかかりたくない！というときと同じ

3. インシデント対応前に知っておきたい3つのこと

ここで、インシデントが発覚する前段階から考慮したい点について触れたいと思う。

イメージとしては、ネットワーク管理者が「外部に見覚えのないトラフィックが発生している」と感じたときや、上長が「クライアントが竹田くん（仮名）からマルウエア付きのメールが届いたって言っている」とぼやいた、といった初動対応のトリガー（端緒）が発生した場面だ。

この段階では、ウイルス対策ソフトウエアは反応していない、という場合がほとんどだ。

これらの脅威への考え方は、ウイルス性の風邪への対処に似ている。耐性のないウイルスからいかに健康を害されないようにするか。そのために私たちはさまざまな情報を得て健康維持に努めるはずだ。そこで、ここではサイバー攻撃という組織の健康を害する可能性のある外敵に対して、対処法のヒントを紹介したい。

（1）攻撃者のタイプを意識しよう

サイバー攻撃の実行者のタイプで対応が変わってくる。そのため、何らかの端緒を受け取ったら、「相手は何者だろうか」と考えることが重要だ。コンピュータウイルスというあいまいな単語にひもづいた機械的な処理は非常に危険である。

過去に新聞ざたになった組織の一部は、そのような運用をしていたものだから、本来気づくべきインシデントを検出することができなかったことを思い起こそう。敵を知らずして、適切な対応はできないのである。