エフセキュアブログの夏季特別企画、「セキュリティの最前線」の三回目は、前回までの最新の脅威に対する対策を考えます。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介からの提案です。(以下、敬称略)
Su Gim: セキュリティに関する責任は、セキュリティ担当者だけが負うのではなく、企業の全ての従業員にあります。攻撃の標的となるのはセキュリティ担当者ではなく、例えば財務担当者など、重要な情報を管理しており、また十分な技術的知識のない部門です。さらに、従業員のセキュリティに関する意識を向上させ、組織内部からの脅威に関しても防止するためのプロセスを導入することが重要です。
そしてエンドポイントのデバイスの防御に加え、メールのゲートウェイ対策なども重要です。標的型攻撃は、その多くがメールに対する添付ファイルを悪用しています。標的型攻撃に対する対策としても、ゲートウェイの防御が重要と考えます。
高間: 内部からの脅威という問題については、先日より話題になっている、700万人以上と言われる日本最大級の個人情報漏洩の事件があります。委託業者が情報をコピーして外部の名簿業者に売ったとのことですが、報道によりますと、特に興味深いのは、業務で与えられているPCを使用してデータベースに接続しUSBメモリーにコピーするという(後に、USBメモリーは使えずスマートフォンにコピーとの報道)、ある意味非常に杜撰な手口で証拠を残すようなやり方だった点です。しかし仮に、この犯人が本気で悪意のある内部犯行を狙ったとしたら、そして自分の足跡を残さないようにしていた場合、脅威は非常に大きくなっていた恐れもあり、今後検討されるべき問題のひとつと考えます。
その対応のためには、委託業者との契約関係の見直しだけではなく、どのような行動を取っているのかトレースできるように、システムに保護処置を組み込む考え方が必要であろうと思います。
標的型攻撃に関しては、従来のウイルス感染とは異なって、特定の人物を狙ったスパイ活動に近いものが多いため、一度ターゲットとして狙われるとしつこく攻撃を受け続けます。また標的型攻撃を仕掛ける側の後ろ盾が、どこかの政府なのか、あるいは競合の企業なのかといった場合があり、はっきりと判りません。しかし攻撃側は、ターゲットの被害者のメールの文章のスタイルや好みなどを十分に研究したうえでメールを送りつける攻撃がありますので、今後オリンピックやワールドカップなど多くの人たちの興味の高いイベントと重なる時期は、標的型攻撃の増加に注意しておく必要があります。これらに対しては、単にルール作りだけで済まないため、ユーザー自身のセキュリティに対する意識を喚起することが重要です。
冨安: 数年前に某組織にて、職員に対して標的型攻撃のシミュレーションを実施した事例があります。最初は多くの方々がメールを開いてしまいましたが、二回、三回と繰り返すごとに減少していったと聞いています。このように、セキュリティに対する意識付けが非常に重要かと考えます。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介からの提案です。(以下、敬称略)
Su Gim: セキュリティに関する責任は、セキュリティ担当者だけが負うのではなく、企業の全ての従業員にあります。攻撃の標的となるのはセキュリティ担当者ではなく、例えば財務担当者など、重要な情報を管理しており、また十分な技術的知識のない部門です。さらに、従業員のセキュリティに関する意識を向上させ、組織内部からの脅威に関しても防止するためのプロセスを導入することが重要です。
そしてエンドポイントのデバイスの防御に加え、メールのゲートウェイ対策なども重要です。標的型攻撃は、その多くがメールに対する添付ファイルを悪用しています。標的型攻撃に対する対策としても、ゲートウェイの防御が重要と考えます。
高間: 内部からの脅威という問題については、先日より話題になっている、700万人以上と言われる日本最大級の個人情報漏洩の事件があります。委託業者が情報をコピーして外部の名簿業者に売ったとのことですが、報道によりますと、特に興味深いのは、業務で与えられているPCを使用してデータベースに接続しUSBメモリーにコピーするという(後に、USBメモリーは使えずスマートフォンにコピーとの報道)、ある意味非常に杜撰な手口で証拠を残すようなやり方だった点です。しかし仮に、この犯人が本気で悪意のある内部犯行を狙ったとしたら、そして自分の足跡を残さないようにしていた場合、脅威は非常に大きくなっていた恐れもあり、今後検討されるべき問題のひとつと考えます。
その対応のためには、委託業者との契約関係の見直しだけではなく、どのような行動を取っているのかトレースできるように、システムに保護処置を組み込む考え方が必要であろうと思います。
標的型攻撃に関しては、従来のウイルス感染とは異なって、特定の人物を狙ったスパイ活動に近いものが多いため、一度ターゲットとして狙われるとしつこく攻撃を受け続けます。また標的型攻撃を仕掛ける側の後ろ盾が、どこかの政府なのか、あるいは競合の企業なのかといった場合があり、はっきりと判りません。しかし攻撃側は、ターゲットの被害者のメールの文章のスタイルや好みなどを十分に研究したうえでメールを送りつける攻撃がありますので、今後オリンピックやワールドカップなど多くの人たちの興味の高いイベントと重なる時期は、標的型攻撃の増加に注意しておく必要があります。これらに対しては、単にルール作りだけで済まないため、ユーザー自身のセキュリティに対する意識を喚起することが重要です。
冨安: 数年前に某組織にて、職員に対して標的型攻撃のシミュレーションを実施した事例があります。最初は多くの方々がメールを開いてしまいましたが、二回、三回と繰り返すごとに減少していったと聞いています。このように、セキュリティに対する意識付けが非常に重要かと考えます。