無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

IT技術の進化により私たちの生活は幾年前とは比べ物にならない程の「利便性向上」が実現されました。そして2020年の東京オリンピック開催に向け、この流れは益々速度を速めていくことが予測されています。

しかし、IT技術の進化は多くのメリットと同時に無視することの出来ないデメリットを孕んでいることを忘れてはいけません。今この瞬間、世界のどこかから貴方の企業に向けてサイバー攻撃が仕掛けられているのかもしれないのです。

今回は、京セラコミュニケーションシステム株式会社主催のセミナーに参加し、最新型セキュリティ免疫システムと、CSIRTの運用実態について詳しくお話を伺ってきました。

10大脅威に学ぶ事業継続のポイントと対策

HASHコンサルティング株式会社代表取締役/徳丸氏

第１セクションは、HASHコンサルティング株式会社代表取締役の徳丸氏による「情報セキュリティ10大脅威」についての講演です。

※「情報セキュリティ10大脅威」とは、実際に起こったサイバー攻撃事例などを基に、社会的影響が大きいと判断した”脅威”について、個人・組織の分類ごとに分けランキング化したもの。毎年IPA（情報処理推進機構）より出される。

10位　過失による情報漏洩

• 機密情報が洩れなかったとしても、この様な事態が起こってしまうことが企業としてはマイナスイメージ
• ヒューマンエラーを100％防ぐことは現実的には不可能であり、落とす・無くすなどの人的事故は起こるものとして万全の対策を施しておくことが大切
• 「情報は持ち歩かない」などのポリシーを策定し従業員に遵守させることが必要

9位　ウェブサービスへの不正ログイン

• パスワードリスト攻撃の増加
  脆弱なサイトから盗まれたID・パスワードを強固なサイトへのログイン時に使われてしまう。（成功率は0.1～10％）
• 情報セキュリティ分野において「パスワード」は最大の脅威
  ・サービスごと異なるパスワード設定は必須
  ・ブラウザや管理ソフトに記憶させてもよい

8位　インターネットバンキングやクレジットカード情報の不正利用

• 信用金庫や地方銀行が狙われる傾向
• フィッシングメールが継続して多い（文章も進化している）
• 海外では「Man in the Browser攻撃」が増えてきている（ブラウザ内にマルウェア）
• ワンタイムパスワードでは防げなくなってくるので「トランザクション認証」や「二経路認証」が必要となってくる（※現状みずほ銀行のみがトランザクション認証を実施済み）

7位　ランサムウェアを使った詐欺や恐喝

• 感染経路はメール添付やウェブ閲覧が多い（ウェブ閲覧の97％がFlashの脆弱性から）
• Flashコンテンツは広告などに多いので、常に実行を許可するのではなく、必要な場合のみ許可する設定に変更しておくことで感染リスクは低減する
• オフラインでバックアップを保存しておくことが大切
• vvvウィルスは現状そこまで被害は発生していない

6位　対策情報の公開に伴い公知となる脆弱性の悪用増加

• 発表された脆弱性を使用しサイトを改ざん、ランサムウェアへ誘導するケースもある
• 各脅威はその他の脅威とつながっているという意識を持つこと
• 既知となった脆弱性に対する早急な対策が必要（アップデートは必ず行う）

5位　ウェブサイトの改ざん

• 長期間改ざんに気が付かないケースもある
• 改ざん検知対策が必要

4位　妨害によるサービスの停止

• 国際的に行われているDoS・DDoS攻撃
• サービス停止のインパクトを事前に分析し、対策の計画を立てておくことが大切

3位　ウェブサービスからの個人情報窃取

• サービスへの不平・不満から行われることが多い
• 侵入経路等はウェブサイト改ざんと同様

2位　内部不正による情報漏洩

• 過失同様、ゼロにすることは難しい
• アクセス権限の細分化（最小権限での職務遂行）
• アクセスログを取得しておくことで、事後の調査が早い

1位　標的型攻撃による情報流出

• メディアで取り上げられるインシデントの多くが標的型攻撃によるもの
• 大前提として、組織作り（連絡体制）と最適ツールの導入
• その上で、素早い検知・連絡・対処が必要

事業継続とダメージコントロール

10大脅威に対して10通りの対策が必要ということではなく、1つの対策でも複数の脅威に対し有効なものが多く、基本的な施策をしっかりと実施することが大切です。

まずは各脅威の根本対策をしっかり行うという意味で、事前対策８割・事後対策２割くらいが妥当と思われますが、事後対策の考え方においては「ダメージコントロール」が有効です。現状のセキュリティ対策がどのような脅威に対し不十分なのか、一度見極めた上で必要な対策を講じるようにしましょう。

セキュリティ防御をすり抜ける脅威への対抗策～免疫システムとは～

第２セクションは、京セラコミュニケーションシステム株式会社（以下KCCS）岡村氏より、セキュリティビジネスにおけるブランド「SecureOWL」と、最新対策として提供を開始したDarktrace社製品に関しての講演が行われました。

既知ソリューションでは防ぎきれない未知の脅威

セキュリティ脅威として広く知られる標的型攻撃は、現在に至るまで100％有効な防御策というものは開発されておらず、未知の攻撃手法に関しては感染・侵入を許してしまう現状があります。

急速なスピードで進化する「高度標的型攻撃」の侵入経路は下記です。

1. メールやウェブ閲覧で初期潜入
2. バックドア開設
3. 端末の諜報
4. ネットワークの環境調査・探索
5. 端末間の侵害拡大
6. サーバへの侵入
7. 目的遂行

本講演では、2016年5月に発生したJTB情報漏洩事件で用いられた「PlugX」というRAT（Remote Access Tool）を模した”悪意のないマルウェア”を使用し、感染から侵入、情報窃取まで一連のハッキングデモが行われました。

PlugXの特徴

• 認証プロキシ突破
• IEの資格認証情報を利用
• パケットを利用
• HTTPヘッダ情報が可変（検出が困難）
• 正規のアプリに悪意のあるDLLをロード
• プラグインでの機能拡張

デモでは、拡張子をPDFに変えたり、Wordファイルのプログラムを実行・有効化させたりすることで、巧みに感染させようとする添付ファイルの例が紹介されました。そして、これをうっかり実行することで、裏で感染・侵入が行われていく様子が紹介されました。

簡単に突破を許してしまう

京セラコミュニケーションシステム株式会社/岡村氏

デモを拝見し、日々の業務で行われる自然なやり取りの中で、知らない間に感染してしまうという恐ろしさを感じるとともに、既知ソリューションの防御機能では近年の進化した攻撃に対して、残念ながら対策が不十分であるということが分かりました。

アンチウィルスソフトは、パターンマッチング系ではほぼ突破を許してしまいますし、企業側のアンチウィルスソフトの種類が攻撃者側にばれてしまえば時間をかけて研究することが可能です。次世代ファイアウォールでは正常なウェブ通信を模した通信に対して検知が困難です。サンドボックスやウェブプロキシに関しても、検知回避技術は様々存在し、突破が可能なのです。

つまり、既知ソリューションでは”条件が合致しない場合”検知は正常に行われず、結果的に感染・侵入を許してしまうこととなります。

ソリューション自体が学習し進化する「AI型免疫システム」

この様な現状に対し、KCCSではDarktrace社の「Enterprise Immune System（免疫システム）」を推奨しています。

免疫システムの概要

• 人体に備わる「免疫機能」同様、異常を急速に検知
• 今の状態と過去（数秒前）の状態が同じかどうか、何が違うのかを監視
• ベイズ推論（数学理論）に基づく自己学習・機械学習のAI機能

免疫システムは、状態の「違い」を発見することに注力していますので、単純に「違い」を発生させる未知の脅威に関して検知が可能となります。また、検知後は”一体何が違うのか””違いの原因は何か”といった事後対応へと進み、自動的に既知の脅威として記録（学習）が行われるのです。

免疫システム導入事例公開～当社CSIRTにおける活用方法をご紹介～

第３セクションは京セラコミュニケーションシステム株式会社（以下KCCS）花田氏による、実際の免疫システム導入・運用の状況と、CSIRTの実態についての講演が行われました。

セキュリティ専門部隊KCCS-CSIRTとは

京セラコミュニケーションシステム株式会社/花田氏

KCCSではKCCSグループのセキュリティ対策を一括に担う社内CSIRTを立ち上げ、業務を行っています。

その背景としては、日本企業の約9割が未知の脅威の侵入を許してしまっているという現状や、侵入から発覚までの平均が356日と長期であること、また発覚の経緯の94％が第三者による通知から発覚しているといった防御側が劣勢であるセキュリティ動向が影響しています。

CSIRT立ち上げ後、KCCSではセキュリティ対策の強化を図り、これまでの「防御」中心の姿勢から、「検知分析」や「被害軽減」にウェイトを移し、侵入をされてもダメージを最小限に留めようといったコンセプトの転換が行われました。

しかし、このコンセプトの社内全体への浸透は、企業の性格上非常に困難なものであったそうです。なぜなら、KCCSの母体はセラミックを主とした”製造業”（京セラ）であり、そのセラミック製造の特殊性から”初めから完璧なプログラミング”を良とする文化が強く根付いていたためと考えられます。しかしこれを機に、CSIRTが新たに提唱した「巧妙な手段による侵入は完全には防げないもの」それよりも「被害を最小化することが重要」といった”侵入ありき型”のコンセプトに転換を図りました。

CSIRTの具体的な活動は

KCCS-CSIRTでは、第２セクションでご紹介のあったDarktrace社の免疫システムを導入し、重点課題である検知分析を行っています。また、インシデント発生時の検知、対処、報告、再発防止までの一連の活動を全てCSIRT一箇所で行うことにより、関連部署への指令等も無駄がなくなり、結果として被害軽減に繋がる組織・体制の構築が実現されたのです。

さらに、CSIRTが中心となった教育・訓練活動を行うことで、KCCSグループ全体でのセキュリティレベル向上を目指しているのです。

免疫システムの検知事例

免疫システムの導入により、本来の目的である未知のマルウェアの検知はもちろん、社内従業員のミスやルール違反に関しても検知が行われました。これにより、従業員のセキュリティポリシーに対する意識も改まり、内部不正を抑制する効果もあることが分かったのです。

免疫システムを導入したことによる効果

1.  調査の効率化
   リアルタイム且つネットワーク全体の調査が可能な為
2. 運用の負担軽減
   システムが自動抽出したログのみを調査すれば良い為

これらの効果により、KCCS-CSIRTでは効率的に高度なセキュリティレベルの維持が実現できているのです。

セミナーを終えて

10大脅威に関しては、日本国内でも数多くの事件が発生しており、メディア等でも多く報じられている影響から、ある程度予想通りの項目が順位内に挙げられている印象でした。

そして、Darktrace社の免疫システムに関しては、セキュリティシーンにおいてもAI技術が用いられる時代となったことが単純に驚きでした。※ちなみに、本製品においての「AI（人工知能）」とは、自己学習の要素を主に指しており、ロボット産業で多く取り入れられている類のものとは少し異なるそうです。

企業の状態を隅々まで把握しておくことで、些細な変化を感じ取り、警告を発する免疫システムは、企業にとって最強の防御層となるのではないでしょうか。