Solution Brief 終わりなき戦いへの参戦 真剣に標的型攻撃対策に取り組む際に重要なポイント Solution Brief 目次 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 サイバー攻撃対策は継続的な活動と位置づける. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 防御はネットワーク側とエンドポイント側の特性を理解して連携 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 防御と対応のバランス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 事業の重要度に関連付けたセキュリティ対策と継続的な組織力の強化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 組織としての目標設定と部門を超えた共有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 まとめ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 終わりなき戦いへの参戦 2 Solution Brief はじめに サイバー上の脅威は変化と進化を続けます。脅威が目に見えて変化している時は見直しのタイミングになりますが、脅威の 変化がわかりにくい時には注意が必要です。サイバー上の脅威の歴史を振り返ると、初期は不特定多数を対象にした遊び 半分のいたずらのような事件が大きく取り上げられる時代もありました。それから「金銭的価値を目的にした攻撃」へ移行し た時も、特定の対象(特定サービスの利用者、特定 OS の利用者など)とはいえ範囲が広かったので、一部に被害が出て も情報共有を素早く行えば多くの人を保護することが可能でした。 昨今注目されている標的型攻撃は、標的に対する入念な調査を行った上で実行され、しかもごく限られた対象に的を絞った 極めて巧妙な攻撃です。このような特徴のため攻撃に対する防御は難しくなっています。このドキュメントでは「これからの 対策で必要な考え方」として、継続的な活動としての位置づけ、エンドポイントとネットワークが連動した対策の意味、 防御と対応のバランス、組織的な取り組みについて紹介します。 サイバー攻撃対策は継続的な活動と位置づける サイバー攻撃との戦いに終わりは訪れるのでしょうか? 防御を固めれば、間違いなくその防御をかいくぐる方法が研究 されます。ある程度の範囲に対して行われる攻撃であれば、仕掛ける側にとって IT 技術を活用した攻撃よりもっと投資 効果の高い方法や、より低いリスクで実益を上げる方法があればサイバー攻撃は減るかもしれません。しかし、電子化 された重要情報の入手や、制御など特定の標的に対する攻撃目的の達成に好都合であるかぎりサイバー攻撃は続くと 思われます。攻撃者が研究と技術蓄積に熱心である限り、対策をかいくぐることをあきらめることはないはずです。 (ちょっと古い表現ですが)情報化社会では様々な情報が極めて短い時間で共有されます。攻撃手法、防御手法の両方に その恩恵はもたらされるため、 「いたちごっこ」のサイクルは確実に短くなります。 プロの攻撃側は常に最新技術の研究をつづけることを考えると、防御する側も継続的により新しい技術を素早く採用でき る体制や仕組みを構築する必要があります。 防御はネットワーク側とエンドポイント側の特性を理解して連携 古くはネットワーク側の防御を重視すべき、エンドポイント側の防御を重視すべきという議論もありました。担当者の立場 によっても違うと思いますが、決定的にどちらが重要と言う議論は少々時代遅れかもしれません。今後はエンドポイント側 で!とかネットワーク側で!という議論より、 「いかに双方の良い部分を最大活用するために連携させられるか!」という議論 が重要になりそうです。ここでは双方の特性を見直す機会として簡単に表にまとめてみました。 一般的な特徴 エンドポイント ネットワーク 補足 マルウェアの動作アクションを全て把握 できる可能性がある。 ネットワーク経由のマルウェアなら、エン ドポイントより先に検知できる可能性が 高い(システム内部に入る前、影響が及 ぼされる前に対応)。 ネットワーク特徴として、エンドポイント の OS 等の種類に関わらず一括して実行 できる良さもあります。 ファイルアクセス時、メモリ展開時、エク スプロイト発生時など検知タイミングも 色々ある。 ネットワークを経由しないマルウェアも キャッチできる可能性がある。 超早く短時間で! が基本。 検知処理時間 誤検知や 障害のリスク 修復 遅 いと対 策 製 品を停 止される、または 社内でクレームが増える。 エンドポイントの重要ファイルを消すと エンドポイントが動かなくなり影響が大き い(ので、慎重になりがち)。 ネットワーク上で対応できれば、多くの エンドポイントで実行しなければならない 処理を減らせる可能性が高く効率的。 エンドポイントよりは時間をかけて詳細に 検査しやすい。 一般的(*1)はエンドポイントの内部シス テムに直接の影響は無し。 ただし、ネットワークを止めてしまうと影 響範囲が広い(ので冗長化したりする)。 マルウェア検知だけでなく、本体やその ファイルは隔離、単純削除、または単に 後ダウンロードされるファイルの削除、 通信遮断。 レジストリ修復とか色々あります。 感染したエンドポイントを直接修復する事 既に感染しているエンドポイントでも対応 は基本的に不可。 できることが望ましい。 PC の初期化、再インストールが必要な ケースも増えつつあります。 管理性 終わりなき戦いへの参戦 数台から時に数万、数十万台が対象。 数台から数十台が一般的が対象 ※ 数千台規模もあり また、ネットワークには該当エンドポイン ト以外の通信情報も検知に活用できる メリットがあります。 左の方が処理時間許容度が一般的に低い Firewall/IPS < Web <メール *1:ゲート系のセキュリティもトラフィッ クを受動的に受けて判断するだけで 無くなってきているので一般的とし ました。 エンドポイントの優劣は実は検知だけで は判断できません。 エンドポイントでは単純なファイルの削除 だけでなく、ファイルの内部に組み込ま れたファイルの一部分の対応等色々な 機能が提供されます。 対象が増えれば増えるほど管理性が重要 になるのは想像に難しくないと思います。 3 Solution Brief 防御と対応のバランス はじめにマルウェアを 100% 検出し対応できるか?という点に関して、一般的には 100% は困難であると言いたいと思 います。様々な第三機関のテストで xx% という情報も、製品の選定では一定の目安になることは間違いありませんが、 あくまである時点において限られたサンプルを使用したテスト結果です。脅威が進化を停止(もしくは非常に進化が遅い) 状況で、全ての情報が事前に手に入る状況なら話は別かもしれませんが、脅威が日々進化し続けている状況で 100% の 検出は非常に困難です。 このような話はセキュリティに携わっている人からすると至極当然の話ですが、もしかすると一部の人にとっては刺激的 で、場合によっては悪意に満ちた引用をされかねません。セキュリティで 100% と言い切る発言には前提条件がある はずです。ウイルス対策とファイアウォールがあれば 100% 対応できる!ではなく、ウイルス対策とファイアウォールは 一般的に基本中の基本ではないでしょうか。 大切なことは終わりのない戦いに対応するために、継続的に強化できる仕組みを考慮する事です。エンドポイント側で得 意なこと、ネットワーク側で得意なことを理解し、適材適所で活用することも重要です。更には、防御を継続的に強化す るだけではなく、防御ラインを突破された場合に被害を最小化する仕組みや、被害に対応する仕組みを用意しておくこと も、極めて重要な時代になっていると思います。 脅威の巧妙化によりインシデントレスポンスは長期化 今後はインシデントレスポンスの効率化も重要 もちろん、これらの発想はセキュリティをどの段階で取り込むかも大切です。超重要なインフラやデータの領域、ある程 度のセキュリティレベルを確保する領域、リスクをある程度取りながらも運用の柔軟性や生産性を重視する領域というよ うに、それぞれをうまく分離し、より大切なものをしっかり守るという発想が必要です。 終わりなき戦いへの参戦 4 Solution Brief 事業の重要度に関連付けたセキュリティ対策と継続的な組織力の強化 人、もの、カネが足りないのは世の常です。セキュリティ対策においても同様で、十分な経験、人材、予算が っている 組織は極めて珍しいケースだと思います。そのような条件の中でセキュリティ対策や運用をしている組織もあれば、うま く始められていない組織があるのも事実です。 やるべきことをしっかりやるのは重要ですが、現実的にリソースに限りがある以上やれる範囲で最大限の成果をだせるよ うに努力しているというのが正確な表現です。重要なことを定義し、重要なことを実施するために、優先度の低いものに 対しては最低限のリソース、もしくはあえて無視してでも重要なことにリソースを割り当てる決意が必要です。 この判断をする時に重要なのはセキュリティのためのセキュリティ対策にならないように事業への影響を考慮して重要性 を位置づけることだと思います。事業への影響を考慮しつつ、中長期の視点で、継続的に組織・人材・仕組みを強化し、 最適化を推進する役割を担う人が重要です。プロジェクトのようにある期間で目標達成のためのシステム構築を繰り返す ことも重要ですが、継続的に強化する視点が欠けると場当たり的な対応の繰り返しになり、中期的に見て非常に効率の悪 い投資を繰り返す可能性があります。 現場におけるセキュリティ運用経験の蓄積、ノウハウ向上についてはコンサルティングサービス等を活用して自社スタッフ のみで行うより速いスピードで向上させることもできます。ただし、これらの投資を最大化するためにもビジネス展開と 連動して中長期の視点で設計とレビューができるセキュリティアーキテクトのような人材育成も重要です。 また、業界や関係組織で情報共有と情報交換をしているコミュニティもあり、多くの有益な情報を得る場もあります。自 組織のセキュリティを継続的に向上させるためにこのようなコミュニティに参加することもセキュリティ組織を効果的に強 化するために有効です。 ■ 脅威の身近な状況 ■ セキュリティ対策における課題 ■ セキュリティ運用で実践しているノウハウ など非常に活発に情報交換されているはずです。 組織としての目標設定と部門を超えた共有 インテルが発行した「インテル IT2012 年∼ 2013 年パフォーマンス・レポート」に取り組みが書かれています。このレポー トの 3 ページには新しい Web アプリケーションの展開所要日数 70(2011 年)から 1 未満(2012 年)、インフラストラ クチャのプロビジョニング時間(分)が 45 分(2011 年)から 10 分未満(2012 年)というように様々な改善の指標とおな じく、エンタプライズ・リスクの項目でマルウェア感染率 1% 未満という記述があります。 セキュリティ強化や改善のためには指標とゴールを設定して、特に注力する指標に関しては IT 部門やセキュリティ部門の 組織内はもちろん、より経営に近いグループとも共有し、共闘するのはいかがでしょうか。 例: ■ エンドポイントにおけるマルウェアの感染数をxxからxxに減らす ■ 攻撃事象の把握から対応開始までの平均時間をxxからxxに減らす ■ 外部向けサービス提供インフラの脆弱性認識から対応までの日数をxxからxxに減らす 組織において重視する指標を月次で関係者と共有し、目標達成に向けてどのように取り組むか部門をまたいで共有しま す。このような目標の共有はコミュニケーションのきっかけにもなり、共闘関係の構築や、インシデント発生時の対応にお いても大きな効果が期待できます。実際にはセキュリティ部門がセキュリティ投資のみで達成できるセキュリティの確保に は限界があり、システムの全体設計や運用設計と連動しなければ大きな改善や、効果的なセキュリティ投資は難しいケー スがあります。 目標設定値にはビジネスとの関連性、投資対効果など、設定しだすときりがありませんが、効果が期待できるもので、比 較的容易に数値化して状況把握が可能で、関係者に理解してもらいやすい値を継続的に共有して改善するのも有効な方 法です。 終わりなき戦いへの参戦 5 Solution Brief まとめ 全ての組織において情報セキュリティの強化は重要な課題です。日々その重要性が高まることはあっても重要性が軽視 される方向へ向かうことは無いと思います。IT 化はサービスの向上をはじめ企業に競争力をもたらしてきた一方で、セキュ リティ対策は少しばかりあとから付いてくるような時代もありました。しかし、IT 化においてセキュリティ対策は必須であ り、高いレベルのセキュリティを保持していることは、その組織に大きなアドバンテージをもたらす時代になっています。 現実の脅威に目を向け、避けられない、終わりのない継続的な戦いと認識して向き合い、同じ課題に取り組んでいるエキ スパートやコミュニティの発信情報を活用しながら、可能な限り組織的に取り組むことで確実にセキュリティレベルが向上 すると思います。 インテル セキュリティは Security Connected の考えを基にセキュリティソリューションを提供しています。システムが 連動し、どこかで守るではなく、セキュリティ対策が連動し、より幅広いプロセスを継続的に最適化する事を目的としてい ます。ネットワークやシステム設計段階でセキュリティを含めて考慮できれば、より投資効果の高いセキュリティ対策が実 現できるはずです。 Security Connected は連動するセキュリティ対策 マカフィー株式会社 www.mcafee.com/jp 東京本社 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F 西日本支店 〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F 名古屋営業所 〒450-0002 愛知県名古屋市中村区名駅4-6-17 名古屋ビルディング13F 福岡営業所 〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F TEL:03-5428-1100(代) FAX:03-5428-1480 TEL:06-6344-1511(代) FAX:06-6344-1517 TEL:052-551-6233(代) FAX:052-551-6236 TEL:092-287-9674(代) Intel および Intel のロゴは、米国およびその他の国における Intel Corporation の商標です。● McAfee、マカフィー、及び McAfee のロゴは、米国法人 McAfee, Inc. またはその関係会社の米国またはその他の国における登録商標または商標です。● 本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。©2015 McAfee, Inc. All Rights Reserved. ● 製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。● 製品の仕様、機能は予告なく変更する場合が ありますので、ご了承ください。 MCASB-TA-1507-GRP
© Copyright 2024 ExpyDoc
