サイバー攻撃の被害は昨今、一段と深刻化し、ファイヤーウォールなど境界防御の強化だけでは対策として不十分なのが実情だ。サイバーセキュリティでは“インシデントレスポンス”(事後対応)が重要なキーワードとなってきている。1977年設立の独立系システムインテグレーターであるフォーカスシステムズは、2004年よりフォレンジックビジネス(インシデントや犯罪捜査における調査解析など)を本格展開し、実績は5000件を超える。同社の久留須政光氏と、同社製品を自社サービスに採用している日本IBMの徳田敏文氏が、これからのサイバーセキュリティについて語り合った。

数年にわたって潜伏し動き出すマルウェアも

“情報流出やシステム障害は起こるもの” 事後対応の重要性が増している
久留須政光(くるす・まさみつ)
株式会社フォーカスシステムズ
サイバーフォレンジックセンター長
DEC、BBN、Informix社事業本部長などを経て、2000年にフォーカスシステムズへ入社。同社では情報セキュリティ事業を担当。現在のサイバーフォレンジックセンターを立ち上げた。

【久留須】かつてのような、腕試しでシステムへの不正侵入を試みる愉快犯は下火となり、金銭目的のサイバー攻撃が顕著に増え、企業にとって実害のリスクは高まっています。ファイヤーウォールなど境界防御の強化が進んだ分、攻撃がいっそう巧妙化・複雑化する傾向は今後も続くでしょう。

【徳田】手口としては、近年サーバーを直接的に狙うのでなく、エンドポイント(PCなどの端末)をターゲットに攻撃し、ユーザーのエラーを誘ってきます。例えば、いくら警戒すべき不審なメールでも、社員が1000人いたら1人くらいはクリックしてしまう。すると端末を外部へアクセスさせるプログラムが働く。いかにも自然な形でおびき出し、マルウェアを取り込ませるわけです。1台が感染すると、横展開で侵食は拡大。ついに遠隔操作によるサーバー侵入も許してしまいます。

【久留須】感染後、数年にわたって潜伏し、タイミングを計って動き出すマルウェアも見られますね。既知のマルウェアをちょっと変えてあると、アンチウイルスソフトにも検知できません。

【徳田】先にアンチウイルスソフトを実質上、動作していない状態に陥らせるマルウェアもありますしね。

【久留須】そこでいま、ウイルス感染、不正侵入、内部不正などセキュリティを脅かすインシデント発生を防ぐための対策もさることながら、インシデントが発生したときの事後対応、いわゆるインシデントレスポンスが、その重要性をいっそう増しています。日本では完全防御神話が続いてきましたが、それは崩れたといえるでしょう。

【徳田】昨年あたりから「インシデントは起こるもの」という前提に立って、影響や被害を最小限に抑えることに、よりコストを費やそうという動きが活発化してきましたね。

【久留須】専門チームであるCSIRT(Computer Security Incident Response Team)を置く企業も増えています。CSIRTの活動では、まず迅速なトリアージ(対応の優先順位づけ)が重要。システムを止めてインシデントの原因調査を行えば、事業への被害が拡大する業種もありますから。そうした業種は、例えば金融機関や交通機関、ネットビジネス関連など多岐にわたります。

【徳田】原因調査とシステム復旧の優先順位を、あらかじめ明確にしておく経営判断も必要だと思います。

【久留須】どちらが優先でも、インシデントレスポンスはスピードが命ですね。

海外でのインシデントにも即座に日本から対応可能

経営者には“当事者意識”を持って対策をリードすることが求められる
徳田敏文(とくだ・としふみ)
日本アイ・ビー・エム株式会社
セキュリティー事業本部
X-Force IRIS担当部長
1999年にインターネットセキュリティシステムズ入社。2006年、同社最高情報セキュリティ責任者。07年、同社とIBMとの会社統合後、社内のセキュリティ事故対応を担当。

【徳田】日本IBMは以前からインシデントレスポンスを支援するサービスを展開していましたが、今年6月、新しくX-Force IRIS(Incident Response and Intelligence Services)を立ち上げました。インシデントが顕在化する前の調査解析、つまりシステムの健康診断やCSIRTの研修なども含んでおり、能動的な対策を前倒しで実行します。日本での契約で、グローバルにサービス提供することも新たな特徴です。

【久留須】ツールの一つとして、当社のEnCase Endpoint Investigator(EI)を採用していただきました。EIは、基本的なフォレンジック(調査解析)機能に加え、ネットワークを利用したオンライン調査解析機能を持つ、世界標準のソフトウェアです。数十台から1000台単位のPCを一度に調べられるほか、海外事業所でのインシデントにも日本からリモートで即応できます。

【徳田】機能はX-Force IRISにぴったりのうえ、使い方は簡単。しかも世界標準なので、調査解析結果はサイバー犯罪の裁判で証拠採用されます。

【久留須】ありがとうございます。具体的な成果にはどんなものがありますか。

【徳田】一番は、被害を未然に防いだケースですね。「何かがおかしいけれど、何がおかしいのかわからない」ということも起こります。そこでEIを使い50台くらいのPCをサンプル調査。その結果、マルウェアに感染した1台が見つかり、データを盗み出そうとする仕掛けが芋づる式に明らかになった例もありました。すでにデータが十数万ファイルに分割されていたものの、外部流出は防止できたのです。

【久留須】なるほど。確かにEIは、健康診断のようなマルウェア侵害調査にも有効にお使いいただけます。

※ JNSA「2016年 情報セキュリティインシデントに関する調査報告書」

「うちは大丈夫」という思い込みは禁物

【徳田】経営者の皆さんには、サイバーセキュリティに対してより高い“当事者意識”を持っていただきたいと思っています。もしインシデントが発生すれば「自分には関係ない」などと言っていられない。

【久留須】最終的な責任は、当然ながら経営トップにある。「うちは大丈夫」という思い込みは禁物ですね。

【徳田】そしてもう一つ、社内のサイバーセキュリティ人材の明確なキャリアパスを、まだ設けていない企業も少なくありません。いまや、ぜひとも取り組むべき経営課題です。

【久留須】境界防御にもインシデントレスポンスにも的確にリソースを投入しないと、どこかに弱点ができて、そこへ攻撃を受けてしまいます。弱点をつくらないセキュリティ投資のバランスも大切ですね。2020年に東京オリンピックを控え、サイバー攻撃はさらに激化するといわれているため、2018年も世界の最先端技術・製品を提供していきます。