【インタビュー】リスクをゼロにはできない、標的型サイバー攻撃対策

　コンピュータセキュリティの専門チームが実戦同様のサイバー攻撃を実施し、企業システムの脆弱性を診断する「タイガーチームサービス」を日本で最初に提供したのがグローバルセキュリティエキスパート（GSX）だ。

　豊富な実績をもとに、官公庁や重要インフラなどミッションクリティカルな事業主体を主な顧客とする同社は、標的型サイバー攻撃への対策として、入口、内部、出口対策を包括する「APT（標的型）攻撃対策セキュリティスイート」と呼ばれる総合サービスを提供している。今回は標的型サイバー攻撃とその対策について、同社取締役多山信彦氏に話を聞いた。

――GSXでは「標的型サイバー攻撃」をどのように捉えていますか？　従来の攻撃とは何が異なるのでしょう

　これまでの攻撃と比べると、攻撃者と手法に大きな違いがあります。攻撃者は、個人の愉快犯やハッカーではなく、明確な目的を持つ組織が主体となっています。手法についても、単にサーバを攻撃するのではなく、従業員を最初の攻撃目標として、標的型メールを送りつけ、それを踏み台にして、外部と連絡を取りながら徐々に内部に侵入し、確実に目的の情報にを入手する巧妙な手口をとっています。

　攻撃手法の変化によって、従来型のファイアウォールとエンドポイントの対策だけではもはや守り切れなくなっています。ゼロデイ攻撃を含め、一般のウイルス対策ソフトでは発見できない攻撃を駆使するため、入口ですべての攻撃を防御することは不可能という認識が必要です。重要な情報は暗号化やアクセス制御を強化し、監視については怪しい通信があったらキャッチし、即座に対処するといったことが必要になります。

――標的型サイバー攻撃に対して、GSXではどのような対策を提供していますか？

　GSXは各段階の対策をセットにした「APT攻撃対策セキュリティスイート」を提供しています。スイートサービスは、それぞれの組織のニーズにあわせて個別に提供することが可能です。

　特に有効なサービスは「Bot感染PCに対する耐性評価」「次世代ファイアウォールアプライアンス Dell SonicWALL」「標的型メール対策実戦訓練」の3つです。

　「Bot感染PCに対する耐性評価」は、「APT（標的型）攻撃耐性評価」サービスに含まれるものです。ボット（編集部註：ウイルス等のマルウェア）が社内に入ってしまった場合に、どのような被害が出るのか、実際に感染させて調査を行います。GSXはボットとC＆Cサーバを用意し、お客様が用意した一般社員用と同じテスト用PCを実際にボットに感染させ、疑似攻撃を行います。そして「現状のウイルス対策でボットが起動できるか」「既存のIPSに検知されずにプロキシを抜けられるか」「抜けられるなら、どのような情報を盗まれる可能性があるのか」の3つの観点から調査を行います。

――疑似攻撃の結果はどうですか？

　ほとんどすべてのお客様の環境でボットが起動し、マルウェア感染する状況となります。完璧ではないものの、セキュリティ対策を実施してきたお客様は予想以上にシステムが脆弱であることを再認識され、「APT攻撃対策」に着手することになります。

――Dell SonicWALL は単なる販売代理ではないと聞きましたが

　GSXは入口および出口対策に優れたコストパフォーマンスを発揮する次世代ファイアウォールとして、Dell SonicWALLをお勧めしています。ただし、GSXのスタンスは特定の代理店やSIerとは立ち位置が異なり、しがらみのない中立的な立場で、お客様にとってその時点でベストな次世代ファイアウォールを選定しています。

――2012年現時点のGSXの見立てではDell SonicWALLがベストということですね

　GSXがDell SonicWALLを選定した理由は、「低コスト」「ファイルサイズによる制限がない」「日本語化により運用が容易である」の3点です。

　コストパフォーマンスは言うまでもありませんが、「ファイルサイズによる制限がない」とは、多くの次世代ファイアウォール製品は、分割されたパケットを組み上げてファイルの形にしないとチェックできず、スループットが下げてしまいます。しかしDell SonicWALLは、細切れのままで大容量のデータをチェックできる特許技術である「リアセンブリ・フリー・ディープパケット・インスペクション」によって、スループットが落ちません。これは、CADなどの大容量データのやりとりを行う業務に大きなメリットをもたらします。

　現場の管理・運用のしやすさとして、日本語対応は重要なポイントです。「Dell SonicWALL」はマニュアルはもちろん、画面上のメニューなども完全日本語化されています。ファイアウォールなのでポリシーの設定が必要になりますが、ポリシーも日本語で記述できるので円滑に管理できます。

　また、GSXは11月から、Dell SonicWALLを対象としたセキュリティマネージドサービス「Eagle Team Service」の提供を開始します。セキュリティシステムの監視を行うセキュリティオペレーションサービスと、インシデント発生時の緊急対応までがセットになったサービスで、月額約7万円を中心にかなり安く設定しています。当サービスは、「次世代ファイアウォールは導入したいけれども、社内に運用、監視をするための適切なスキルを持った人材がいないので何とかしてほしい」というお客様の課題を解決します。

――標的型メール対策実戦訓練はどんな特徴がありますか？

　「標的型メール対策実戦訓練」は、実際に不審なメールの受信を体験することで、不審なメールを受信した際にすべき措置や、判断などの対応力を身につけるという模擬訓練です。実際に起きたらどうするかを体験してもらう意味で、避難訓練と同じです。集合研修などの教育と比較すると、その効果は「標的型メールを体験する」という点において非常に大きく、訓練実施後にユーザが不審なメールを誤って開いてしまう確率は”確実に低減“します。これは何度か訓練を実施すると、顕著な数字として現れます。

　また、GSXは大手と違ってシステムも内製化しています。このため、お客様のシステム変更に対応できたり、規模や業種などにより異なる要望事項にも対応できるなど、柔軟性の高いことが特徴となっています。

――最後に読者へのメッセージをお願いします

　予防的対策によって、100件の攻撃を5件に減らすことは可能です。しかし、ゼロにすることはできません。ですから、残りの5件にどう対処するかがポイントになります。GSXは、標的型サイバー攻撃に対して入口対策、出口対策、教育・訓練、監視およびインシデントなど包括的な対策を提供しています。特定のベンダやメーカーに縛られることなく、その時点で最適な製品をご提案します。

――ありがとうございました。