<サイバー攻撃の目的や意図を特定することが重要!>
――最近の対策は「予防」から「被害の極小化」とか「ウィルスの無力化」に変わったとお聞きしました。もう少し詳しくお話いただけますか。
守屋 従来は多くの企業は「予防」対策に主眼をおいていました。つまり、火事が起こらないように、ライターを使わないとか、バケツに水を入れて置くとか、消火器を整備するということです。日本で本格的にサイバー犯罪対策を言い出したのはごく最近のことです。それまでは、被害に合ったことのある一部の会社等が予防対策をしていたに過ぎません。日本の企業は「自分のところは大丈夫だ」とか「わが社は攻撃対象になるほど大きくはない」等と思い込んでしまう傾向が強いと感じています。
この考え方は実は危険です。例えば、Eコマースのサイトは、その会社自体が巨大でなくても、ウィルスを感染させる媒体として使われることが増えています。閲覧時にウィルスに感染させ、知らない内にウィルスがばら撒かれ、クレジットカード等の個人情報が盗まれる例も目立っています。さらに、そのサイト自体が侵入者の攻撃のインフラになってしまうことさえあります。
ウィルスの侵入に関する限り、「想定外」は存在しないのです。一定のレベルまでは「予防」的対策は有効ですが、そのレベルを超えると無力化してしまいます。特に最近は、ウィルスの進化と予防対策の進化との"イタチごっこ"の感さえあります。
さらに侵入者の目的も変わってきています。従来の犯罪者は、いわゆる「コンシューマー」向け攻撃が主体でした。数多く感染させ、いくつかの情報を盗む、例えば100人を感染させ、10人のクレジットカード情報を盗めば成功でした。
ところが最近は、特定の企業情報を盗んだり、セキュリティ対策方法を調べたり、セキュリティ対策の責任者を探るなど、とても巧妙になっています。「知らないうちに入ってきて、知らないうちに情報が抜かれ、知らないうちに出て行く」ことが現実に起こっており、それに気づくのが1年後だったりするのです。
産業スパイ的なものも目立っています。例えば、企業のプレスリリースの情報(合併、新製品発売、赤字決算、入札価格等)が過去に狙われました。人が介在しないので、産業スパイより安上がりで犯行が発見しづらい傾向があります。海外経由で侵入してくる場合、それぞれの国のサーバー管理者に国を超えてログの提出を求めることができなければ、犯罪者を特定することも難しいのです。
そこで、犯人を特定するより「中に入ってきたとしても」被害をいかに極小化できるかが大事なテーマになっているのです。今、一番進んでいるのは、海外の企業で言われている「攻撃は何度も来るので、ウィルスを社内で泳がせなさい」という考え方です。さらに「アンチ・ウィルスソフトでウィルスは駆除するな」とも言われています。
社内を泳がせることで、ウィルスの活動を観察し、どのような情報や機器へのアクセスを試みているのかを知ることができます。又ウィルスを駆除せず解析することで、犯罪者の意図を特定し、攻撃対象への防御を強化できると言われています。しかし、この考え方を実践するには、社内ネットワークをリアルタイムに監視することや、ウィルスが重要なシステムにアクセス出来ない様にするための技術や設備が必要になります。
※記事へのご意見はこちら