今回は「デセプション」という新しいジャンルのセキュリティ対策をご紹介します。

 英語の「deception」という語には、「騙す」「インチキ」などの意味があり、その名の通りサイバー攻撃をしかけてきた攻撃者に対してウソの情報を与え騙すことで、攻撃検知・遅延の実現や、目的にたどり着かせないのがデセプション製品の役割です。

 攻撃者は、ネットワーク内部に侵入すると、社員が利用している接続先サーバーや、ID・パスワードなどのログイン履歴に関する情報（クレデンシャル）を盗用して、目的地である機密情報にたどり着こうとします。

 セキュリティ管理者は、デセプション製品を使ってクレデンシャルのニセモノを大量に作成し、各社員の端末に、たとえて言えば地雷(※)のように配置します。社員は本物のクレデンシャルを利用してアクセスしており、それに触れることはありません。

※攻撃者が窃取したクレデンシャルを本物かニセモノか分からずに、ニセのクレデンシャルを利用する(地雷を踏む)と、管理者にアラートが届きます。地雷のように爆発して攻撃者を迎え撃つものではありません

 近年、日本の企業や組織を狙った多くのサイバー攻撃では、まず最初に攻撃者が不正メール送信などにより社内端末にマルウェアを感染させ、その後に次々と社内の他の端末に感染を広げる形で横展開し、重要情報に近づいていくケースが多いことがわかっています。

 攻撃者が横展開する際、デセプション製品が作ったニセクレデンシャル情報が社内ネットワークにあったなら、こうした感染拡散を検知することができた可能性があります。

 デセプションは地雷の配置さえ決めれば、インシデントが発生しない限りチューニング・運用管理等の手間が無いため、容易に導入することが可能です。

 また、「泳がせた」状態で攻撃を観察することで、攻撃手法や、攻撃主体の分析も可能になります。

 デセプション製品は何よりも「攻撃者の視点」に立ったセキュリティ製品であることが特徴です。以前本コラムで、「守る力は、攻撃する力とイコールである」と申し上げましたが、セキュリティ管理者が攻撃する側の視点を持つことで、攻撃を防ぐためのヒントを得ることができます。

 これまでセキュリティ管理者は、さまざまな対策を施して、攻撃が発生するのを待つという受け身の体勢が専らでした。しかし、デセプション製品によって、管理者は初めて先手を打つことが可能になりました。

 デセプション技術は、近年被害を広げるランサムウェアによるニセファイルやフォルダーの暗号化行為も検知するので、ランサムウェア対策にも活用されています。