サイバー攻撃の脅威
サイバー攻撃の脅威と欧米のサイバーセキュリティ対策の状況
1、サイバー攻撃の脅威
この10年でサイバー攻撃の脅威は大きく拡大したことは説明するまでもありません。
かつては不正アクセスによる情報奪取が主流で、被害に遭われた組織から緊急対応を要請されて駆け付けた場合、過去1か月以内に最初の攻撃が行われていたケースが多くみられました。
しかし欧米では2010年頃、日本でも2012年頃から攻撃手法が洗練され、マルウェアを利用した攻撃の時代に移りました。何等かの手法で組織内にマルウェアが送り込まれ、内部を探索して重要情報の在処を探知、機密情報を奪取するものです。
攻撃者は金銭目的の犯罪者に限らず、特定国家がサイバー集団に委託して行うState Sponsoredと呼ばれる攻撃も存在し、ウィルス対策ソフト等防御側の検知を免れる為メモリ上にしか痕跡を残さない、可能な限り正規OSの機能を利用するといった高度なマルウェアが開発されました。このようなマルウェアを利用した標的型攻撃(APT)が日本でも増加し、しっかりした検知体制を構築していた組織でも、隙をついてマルウェアが侵入していた、侵入したのは1年以上前、といった欧米で発生している事例と同様の被害が日本でも非常に多く見られるようになりました。
最近は重要データやシステム全体 を暗号化・ロックして身代金を要求するランサムウェア、さらに暗号化と並行してデータを奪取し、インターネット上でこれを暴露すると脅迫する犯罪(Double Extortion:二重脅迫)に発展し、米国では毎週のように大きな組織が被害に遭い、復旧費用が数十億円に上る場合もあります。加えて、制御システムに対するサイバー攻撃により社会インフラが破壊されるケースも発生しています。
2、欧米のサイバーセキュリティ対策の状況
欧米で最もセキュリティ対策に予算とリソースを投入し、高度な対応をしているのは一部の大手金融機関です。
セキュリティ技術者・アナリストを100名単位でロンドン、ニューヨーク、シンガポールの3拠点に配置し、ひたすら自社ネットワークへの攻撃予兆を検知して対処する為、高度で高価なセキュリティ製品やソリューションを運用しています。また政府機関、軍需企業も同様の運用を行っており、ミリタリーレベルの対策がその国の最高峰である場合もあります。
しかし洗練された大学教育システムから多数のセキュリティ人材を輩出できる欧米でも、セキュリティ専門人材は圧倒的に不足しており、すべての組織がそのような人材を確保して高度な対策を実行できるわけではありません。米国でもそのような状況ですから、英語文化圏に集中しがちなサイバー攻撃が他の言語圏にもシフトするような事があれば、アジアの組織はどのような事態になるのか、容易に想像できると思います。
3、あるべきサイバーセキュリティ対策
現在の脅威から組織を防衛する為に必要な施策は、組織内に欧米金融機関のようなThreat Hunting部隊を設置して運用すること、即ちマルウェアが組織内に侵入している事を前提に、正常ではない通信・プロセスの存在をリアルタイムで集約して確認する為、必要な個所の通信ログ、操作ログをリアルタイムで収集すること、収集されたログに対し様々な攻撃シナリオに基づいて作成された検知ロジックを設定し、アラートを発報するしくみを構築すること、日々アラートを分析し、マルウェアの存在が確実視される場合(Incident)、これを追跡して削除する運用を行い、Incidentの傾向からより俯瞰的に脅威を分析して監視体制を改善する運用を行うことです。加えて、組織のネットワーク内のデバイスの可視化やユーザ操作履歴の追跡、外部公開サーバやインターネットゲートウェイの脆弱性の定期的なチェック 等、ITの健全性の維持も重要な取り組みになります。
4、MBSDのThreat Huntingサービス
MBSDは2012年からお客様に前述のThreat Huntingサービスを受託事業の形で提供してきています。利用する製品はお客様の既存システムに沿う形で構築し、検知ロジックは自前で作成し、経験豊富なセキュリティエンジニアが、ログ収集してアラート分析だけでなく、セキュリティ機器のみでは発見できない脅威を能動的にHuntingして、利用端末と人/所属組織情報などと紐づけた脅威分析を行っています。Threat Huntingの運用に長けたアナリスト・技術者(Threat Hunter)は、日本では非常に少なく、その育成にも長い時間がかかる為、引合があってもリソース不足でお断りすることも多々ありました。
検知の自動化やセキュリティ機器へ連携して自動防御、MBSDが保持するCTI/IOC情報や 欧米のThreat Intelligence(脅威情報:マルウェア・攻撃用ツール、司令塔サーバ・ゾンビ化コンピュータ等攻撃インフラ、攻撃者グループ・攻撃者名等サイバー攻撃に関連する、攻撃やマルウェアに指令を出すC2サーバ等の不正サイトのURL/ドメイン名・攻撃元IPアドレス、マルウェアのハッシュ値等の情報)の導入による検知速度向上を図り、Threat Hunterの人数の限界を解消する方向に努力しております。また、お客様の要望に合わせた柔軟な対応を行うべく、 簡易サービスの開発も行っております。