Digital Arts News Watch

2017/01/11   
インシデントレスポンス    標的型攻撃    セキュリティ全般    i-FILTER   

これからのセキュリティ対策の主流「インシデントレスポンス(インシデント対応)」について知る

「事前対策」から「事後対策」へと移り変わるセキュリティ対策の重点

大規模な個人情報漏洩事件が、相変わらず後を絶ちません。政府や各種セキュリティ機関が企業に対してセキュリティ対策を指導し、またそれを受けた企業側もさまざまな対策を講じているにもかかわらず、攻撃側はあっという間にそれを上回る手口を編み出して、次々と未知の攻撃を仕掛けてきます。

こうした事態を受けて、ここ1年ほどの間でセキュリティ対策に対する企業のスタンスが、徐々に変わりつつあります。これまでは攻撃の「入口・出口」における防御対策、つまり「いかに侵入を防ぐか」「いかに流出を食い止めるか」に重きを置いたセキュリティ対策がメインでした。しかし標的型攻撃をはじめ、これだけ攻撃側の手口が高度化・巧妙化してくると、侵入を100%防ぐのはもはや不可能です。

そこで重要視されるようになってきたのが、「インシデントレスポンス(インシデント対応)」の取り組みです。侵入を受け、何らかのセキュリティインシデントが発生することをはじめから前提として、その後の対応を迅速かつ適切に行うことで攻撃を無効化したり、ダメージを極小化しようというものです。

こうした考え方が重視されるようになってきた背景の1つには、過去に発生したセキュリティ事故の反省があります。日本年金機構JTBの個人情報漏洩事件では、いずれも最初の不審な挙動の検知から原因の解明・対策の実施までに数日の時間がかかっていました。もしこの対応時間をもっと短縮でき、事後の段取りを取り決めていたら、ここまで被害は大きくならなかったかもしれません。

このケースに限らず多くのインシデント事例では、強固なセキュリティ対策を講じていたにもかかわらず、そして実際に侵入や感染を検知できていたにもかかわらず、適切な対応がとられなかったがためにいたずらに被害が拡大してしまったケースが実に多く見られます。

そこで現在、国やセキュリティ機関が中心となり、インシデントレスポンス(インシデント対応)の重要性に関する啓発活動が繰り広げられています。そして実際に多くの企業がインシデントレスポンス(インシデント対応)の取り組みを強化するとともに、その活動を支援するためのさまざまなIT製品/サービスが導入されるようになってきました。

組織面の対策と技術面の対策の双方に目を配ることが重要

一言でインシデントレスポンス(インシデント対応)といっても、その活動範囲は実に広範に及びます。いざインシデントが発生した際にやるべきこと、そしてそれに備えて平時から備えておくべきタスクの数や量は膨大に上ります。セキュリティ対策に無尽蔵に予算や人員をつぎ込めるのであれば良いですが、限りがあるリソースの中で最大の効果を得るためには、専門性の高い作業はある程度、社外の専門機関やベンダーに任せるべきでしょう。

また、いざインシデントが発生した際の調査や対策の中には、極めて高度で専門的なスキルを要するものもあります。そのすべてを自社でまかなうのは、現実的にはほぼ不可能です。どうしても、社外のセキュリティ機関や関係各所との連携が不可欠になってきます。

インシデントが発覚するきっかけも、そのほとんどは外部のセキュリティ機関や企業・組織からの通報だといわれています。しかし、通報をきちんと受け付けて社内のセキュリティ担当者につなぐ窓口が設けられていないと、どうしても対策に乗り出すタイミングが遅れてしまいます。

こうした課題を解決するために、現在企業や官公庁で設置が進められているのが「CSIRT(Computer Security Incident Response Team) 」と呼ばれる、インシデントハンドリングに特化した組織です。平時における社内外との情報共有や、いざというときに備えるためのさまざまな対策、そして実際にインシデントが発生した際の事後対応などを中心となって担うためのセキュリティ専任組織と位置付けられています。

こうした組織・プロセスの面での整備を進めるとともに、技術面での取り組みも強化することが、迅速かつ適正なインシデントレスポンス(インシデント対応)には欠かせません。特に鍵を握るのが、「マルウェアの侵入や活動を、どれだけ早期に検知できるか」です。検知のタイミングが遅れれば遅れるほど、潜在的な被害は拡大していきます。そのため、これまでのような「絶対に侵入を許さない!」というセキュリティ対策の方針を変え、「ある程度、侵入されるのはやむを得ない」「侵入をいち早く検知して対処する仕組みにしっかり投資する」という考え方に転換することが、結果的にサイバーセキュリティのリスクを最も効果的に抑えられると考えられます。

ちなみにデジタルアーツでも、企業や官公庁、自治体がインシデントレスポンス(インシデント対応)の取り組みを強化する上で有用なセキュリティソリューションを数多く提供しています。例えば、Webフィルタリングソフトの「i-FILTER」を使えば、プロキシ上の膨大な量のアクセスログの中から疑わしい通信の痕跡を効率的に検索・検知できます。また最新のサンドボックス型セキュリティ製品やログ統合管理製品と連携することで、未知の攻撃を効果的に検知することも可能です。

詳しくは「i-FILTER」の製品ページで紹介されているほか、今後本コラムでも順次紹介していく予定ですので、どうかご期待ください。
<「i-FILTER」製品担当:遠藤>

資料のダウンロード(インシデントレスポンスにおける4つのフェーズと具体的な取り組み)

インシデントレスポンス(インシデント対応)の取り組みには「i-FILTER」をおすすめします。

i-FILTER