9.企業の命運を握るインシデントレスポンスとは?
この10年で大きく変化したサイバー攻撃の内容
コンピューターとネットワークの発達によって、ビジネスを含む生活全般が大きく変化し、便利になってきました。
その一方で、コンピューターとネットワークを標的とするセキュリティインシデントも増加・複雑化しています。
インシデントの内容は、この10年の間でも大きく変化しているのです。
2000年代初頭では、ワームなどを用いて不特定多数のコンピューターを感染させるインシデントが主流でした。
攻撃者は自己のコンピューター・スキルを誇示する目的であることが多く、その効果が表面化しやすい著名な、あるいはアクセス数の多いサイトが狙われていたようです。
2000年代中盤になると、世界的なインターネットの普及に伴い、ネットバンキングやオンライン・ショッピングといったビジネス利用が増加します。その結果、インシデントも金銭を標的としたものへと変わっていきました。
代表的なものに、フィッシングと呼ばれるデータの窃取があります。
これらのインシデントは、情報の破壊よりも、ユーザーに気付かれることなく情報を抜き取ったり書き換えたりすることを目的としたもの。つまり、スキルの誇示で満足していたものから、ユーザーにインシデントの発生を意識させないスタイルへと移行したことを示しています。
2010年代に入ると、こうした潜行型のインシデントとは別に、政治的なメッセージの発信を目的とするような攻撃者が顕在化しました。
ハクティビストと呼ばれるこのタイプの攻撃者は、メッセージを発信するためにコンピューターの乗っ取りや改ざんを行います。
また、不正アクセスによって入手した情報を暴露するなど、インシデントが過激化や大規模化しているのが特徴です。
さらに、ここ数年で顕著になっているインシデントに、標的型攻撃があります。
この手法は、まずターゲットに対してアドレスや件名・内容を偽装したメールを送信し、ターゲットに添付ファイルの開封やリンク先のクリックなどを行わせてウイルスを発動させます。
これによって、保存されている情報を盗み出せるようにシステムやプログラムを改ざんするという仕組みです。
企業の命運を左右するインシデントレスポンス
攻撃方法が変化してくると対策方法も見直さなければなりません。
従来は攻撃に対するぜい弱性を修正したり、攻撃を遮断したりする対策が中心でした。
しかし、ターゲットを絞って執拗に繰り返す標的型攻撃の増加により、「セキュリティ・ソフトをインストールしておけば大丈夫」とは言い切れない状況になってきています。
未遂に終わったインシデントでも、攻撃が続くことで従来の防御では対応できなくなり、被害を受ける可能性があるのです。
こうした変化を受けて、セキュリティの現場では、「未然に防ぐ」ことに加えて、被害の発生を想定した事後の対応、すなわちインシデントレスポンス体制を整備することへの意識が高まっています。
インシデントレスポンスの一般的な流れインシデントレスポンスでは、次のような対応が一般的です。
まず、インシデントの発生を内部または外部からの報告で認識します。インシデントには、マルウエアの感染、フィッシングサイトの設置、不正侵入、ウェブの改ざん、DoS/DDoS攻撃などがあります。
また、インシデントの発生は、ユーザーに対する被害も引き起こす場合があることを念頭においておきましょう。ウェブのサーバーに改ざんがあった場合、仕込まれたマルウエアによってアクセスしたユーザーのPCが感染する恐れがあります。
このようなインシデントの状態によって、対応が必要か必要でないか、あるいは緊急か猶予があるかなどの優先度を決めます。この優先度付けが、「トリアージ」です。
トリアージの結果、対応の必要があると判断すれば、インシデントによる影響範囲や被害内容などの分析をもとに、対策を立てて実施します。
例えば、考えられる対策には以下のようなものがあります。
- マルウェア対策
- セキュリティ対策ソフトの導入、各種ソフトウェアのアップデート
- フィッシングサイト対策
- サーバー証明書の確認、偽のサイトでないかどうかの確認
- 不正侵入対策
- ファイアーウォールの設置
- ウェブの改ざん対策
- 管理システムへのアクセス制限、VNPによる通信内容暗号化、攻撃検知システムの導入
- DoS/DDoS攻撃対策
- 大量トラフィックに対応したサーバーの用意、アクセス制限
上記のような対策内容を関係部署と共有し、連携して対応できるようにすることも重要です。
解決のための権限をより多くの範囲に広げるエスカレーションが必要になることもあります。
外部の専門機関へ支援を依頼することも検討しなければなりません。
また、必要に応じて情報公開を行うことも検討しましょう。
必要なのは「防ぐ」ではなく「対応できる」こと
コンピューターとネットワークが普及してビジネスに不可欠となった現在、そのセキュリティインシデントは「未然に防げるもの」ではなくなっています。
「インシデントは発生するもの」であるという前提で対策を立てることが、企業の責任であるといえるでしょう。
インシデントレスポンスでは、その運用ルールや責任の所在、役割の分担が成否を大きく左右します。
被害の認識はもちろん、その対応と解決に至るまでの時間をいかに短縮するかが、これからのセキュリティにおける最重要要件となっているのです。
- Juniperで解決できる課題
- Juniper製品ラインアップ ネットワーク機器をお探しなら、Juniper Networks製品をお勧めします。以下の製品をご用意しています。