【Bizクリニック】サイバー攻撃、早期検知への対応

 □グレスアベイル代表取締役・澤井祐史

 サイバー攻撃を早期に検知するにはどのような対応方法があるのだろうか。まずは次世代ファイアウオールや、WAF(ウェブアプリケーションファイアウオール)のようなセキュリティー対策製品を導入し、検知・ブロックする仕組みを構築すればいい。ただ、サイバー攻撃はさまざまな経路から行われる。記録メディアなどで持ち込まれたウイルスが原因で内部ネットワーク側が発信元になることもあるし、複数の攻撃手法が組み合わせられることもある。相関的に分析しなければ発見できない攻撃も存在するのだ。

 このような攻撃をセキュリティー対策製品単体の機能に頼ったり、ユーザー側のシステム管理者のみで監視したりするのは、技術的にも時間的にも非常に困難だろう。このため当社のようなセキュリティー対策企業にはSOC(セキュリティー・オペレーション・センター)というサービスがある。

 SOCは顧客のセキュリティー状況を監視し、不正アクセスなどのサイバー攻撃を検知し、高度なセキュリティー知識を持つアナリストが分析を加えて適切な対処を行っていく。場合によっては、検知した攻撃に対する緊急措置の実施や回避策の提示まで行う。

 セキュリティー技術は高度な知識と豊富な経験を要する。SOCサービスを利用すれば、こうした人員を抱えるコストを削減できる。SOCサービスは顧客の予算に応じて対応範囲を決めるのが一般的で、適切な利用範囲が不明な場合は、サービス提供者に問い合わせればいい。

 活発化するサイバー攻撃者の活動自体を抑えることは難しい。サイバー攻撃者は多様な価値観や主義・信念に基づいて活動を行っている。既成の攻撃ツールを興味本位で利用し、不正アクセスを試みてしまうような「スクリプトキディ」と呼ばれる比較的低レベルの攻撃者がいる一方、政治的主義・目的のために積極的に行動する「ハクティビズム」と言われる攻撃者も存在する。このような攻撃者に善意を説いても活動は停止しないし、理解されないと考えるべきだろう。

 このような攻撃者たちに、自分たちは標的にならないと考えるのは楽観的なものと理解してほしい。当社は顧客のセキュリティー被害状況を監視するサービスも展開しているが、顧客のシステムを監視していると、不正侵入までは至らないとしても、脆弱(ぜいじゃく)性を探索するようなサイバー攻撃の予兆となるアクセスは日々多く検知している。

 もし不正侵入可能な脆弱性を、クラッキング技術に長けた悪意ある攻撃者が発見した場合、何の対処もしなければ重大な被害は免れない。攻撃者は短時間にさまざまな破壊活動や情報奪取を行う。検知の遅れは、被害範囲の計り知れない拡大を招くことになる。

                   ◇

【プロフィル】澤井祐史

 さわい・ゆうじ ITインフラ、セキュリティー技術を専門領域として数々のプロジェクトを経験し、コンサルティング企業の立ち上げ、経営に携わる。2015年6月グレスアベイルを設立し、現職。クラウド対応の次世代セキュリティー対策製品の開発および関連サービスの展開をリード。35歳。兵庫県出身。