昨今多発するサイバー攻撃や内部不正による情報漏洩問題を踏まえ、情報漏洩に対するセキュリティの必要性が今まで以上に高まっている。本稿ではそれらに対する防衛手段のひとつであるデータ・プロテクション(データ・セキュリティ)の考え方と多重・多層防御の必要性について述べる。
セキュリティ製品の導入(特にネットワークの境界である入口・出口対策など)をしっかり行えば、セキュリティ対策は十分であると考えている企業が未だに多い。しかし、昨今の情報漏洩のインシデントの流出経緯を分析すると、これらの境界型対応やシグネチャベースのインシデント対応では、先進的な攻撃や、時間をかけた緩やかな攻撃、特定のターゲットを攻撃する標的型攻撃などには対応が難しいことがわかる。また、内部不正やアクセス権のあるIDを利用したファイルサーバに対してのファイル共有プロトコルを利用した情報漏洩(セキュリティ対策の弱い拠点や営業所を介して、本社のネットワークに侵入され情報を搾取されるケース)を単体のセキュリティ対策ツールのみで検出するには限界がある。
2010年にSoftware Engineering Institute社が行った「Cybersecurity Watch Survey 2010」の調査によると、各々のセキュリティ製品を単体で導入しても有効性が100%にならず全体的に40%から80%程度にとどまることが見て取れる(図1)。
単体の製品のみでは防げない理由として、最近のサイバー攻撃の特徴を紹介する。攻撃者が用いる主なプログラムには下記の3つのタイプがあり、目的別に手法や実行環境を変化させるため、単体の製品のみでは攻撃が行われているか検知することは難しい。
攻撃者はこれらのプログラムを巧妙に利用し、攻撃自体が検出されないように監視を行い、システム脆弱性を突き、ひっそりと攻撃を実行する。特に昨今ではインシデントが発見された時に対象PCを物理的にネットワークから分離すると、証拠隠蔽を自動的に行いプログラム自身を含め削除するものもある。インシデントが発見されたら、証拠を保全することも重要なアクションとなり、この初動アクションを誤ると、後のインシデント調査のためのフォレンジック作業に時間を要することになる。
攻撃者は、ターゲットの組織に進入して、長期間にわたり、特定の目的を達成するために次のような手法を取るケースが多い。始めに①事前調査を行い、②調査結果から脆弱性などを利用した攻撃(特にゼロデイ攻撃など)や次の攻撃の仕込みを行う。その後、③ソーシャルエンジニアリングなどを利用し、④なりすまし(本社でない拠点などのIDを利用)ができる環境を入手する。通常の利用者としてさらに内部情報の収集や監視などの仕組みを構築する。最終的に⑤本社サーバの特権IDを入手して最終目的であるターゲット情報を取得する。それ以降は⑥潜伏(長期間身を隠し、サウンドボックス対策などを行う)など、気づかれないように監視しながら、⑦攻撃を継続する(ネットワークの境界型製品によるインシデント検知をされないようにする)。