【連載:サイバーセキュリティ】攻撃は防ぎ切れない! とは、どういうこと? | 東京IT新聞

【連載:サイバーセキュリティ】攻撃は防ぎ切れない! とは、どういうこと?

コンシューマー セキュリティ

仕事柄、各種セキュリティセミナーでの講演する機会が多いのですが、その際にセキュリティベンダーの方の講演を聞いておりますと皆さんこぞって“昨今のサイバー攻撃は防ぎ切れない”と説明されてます。

この完全に防ぎ切れない、という意図はセキュリティ専門家の観点からは、言いたいことは良く理解できるのですが、意味を正しく伝えないと、セキュリティにあまり詳しくない経営者は“だったらセキュリティ対策は今まで通りでよい”とか”セキュリティ対策はコストでしかないからこれ以上の投資は不要“といった事になりかねません。今回はこの”サイバー攻撃は防ぎ切れない“の背景について解説してまいりましょう。

もし皆さんか社長や経営陣から「最も深刻なセキュリティ脅威と何か?」と質問されましたら何とお答えされますか?今年も特にお茶の間を騒がした“情報漏洩”こそが最も深刻な“脅威”といえるでしょう。そんな事は言わなくてもわかっているよ! という声が聞こえてきそうですが、ではその深刻な脅威がなぜ発生するのでしょうか?

セキュリティに携わる方であれば即答出来ると思いますが、その理由は社内システム(業務用PCやサーバ)がマルウェア感染するからです。マルウェア感染、すなわち犯罪者が社内システムを遠隔から制御するための“不正”なプログラムを皆さんのPCに“感染”(インストール)させ、制御を奪う攻撃ですね。制御を奪われると犯罪者がインターネット越しに皆さんと同じ権限を持つわけですから、PC内に保存された情報やPC経由で社内の機密情報が保存されたサーバにアクセスして不正に情報を摂取し、その情報を不正に犯罪者のPCやサーバへコピーし“情報漏洩”が成立する訳です。よくこの情報摂取を目的としたコピーの通信を“C&C通信”と専門用語で表現します。

そのマルウェア感染を止めるために、ここ20年、各企業や行政機関はウイルス対策ツールを筆頭に各種セキュリティ対策ツールを導入したり、最近では次世代○○といった最先端のツール導入したり、CSIRTといったセキュリティ対策の専門組織を構築したり、更には大規模組織であれば年間数億単位の費用がかかるケースもある統合ログ分析システム(SIEM)を導入したりしているわけです。

しかし、そのような努力も虚しく情報漏洩事故が止まりません。なぜでしょうか? 答えはシンプルでそれらのツール、言い換えると防御システムでは防ぎ切れないいマルウェア、すなわち“未知なマルウェア”が皆さんのPCに感染し制御を奪うからです。“未知”ですから攻撃に気づけない(あるいは高度な専門知識を持った技術者で無い気づけない)訳で、冒頭のように“サイバー攻撃は防ぎ切れない”というメッセージになるわけです。

しかし防ぎ切れないと“情報漏洩事故”に発展します。最近の情報漏洩事案を見ますと、漏洩した会社自身が情報漏洩の事実を気づくことはほぼ0%に近く、外部のセキュリティ関連団体からの指摘で漏洩の事実に気づくケースが一般的です。確かに我々の体で言う“未知の病”=“未知の不正マルウェア”と捉えれば、感染被害を初期段階で防ぐ事は出来ないかもしれませんが、感染後には必ず“隣の人”=“隣のPCやサーバへ感染”したり不正にアクセスしますので、そのアクセスした足跡を専門知識を持った分析官が分析すれば、感染は許しても発病(情報漏洩)はさせない事が可能です。これがいわゆるセキュリティ運用監視という業務となります。

サイバー攻撃は防ぎ切れない、のでなくサイバー攻撃による脅威の発生を未然に防ぐ、あるいは脅威の最小化を支援する、といったキーワードであれば経営者も納得し易いのではないでしょうか。次回は、“サイバー攻撃による脅威を未然に防ぐ、あるいは最小化する”、について最新の技術トレンドを解説して参りましょう。
《楢原 盛史》

編集部のおすすめ

特集

page top