サイバー攻撃対策はもはや「経営」の重要課題！未知の脅威を「自動防御」せよ

日本でサイバーセキュリティ対策が注目を集める大きなきっかけとなったのは、2011年9月に発生した防衛関係の大手メーカーへの攻撃だ。防衛産業に対する本格的な攻撃が報告されたことで、国も企業もようやく目を向け始めた。いまやサイバーセキュリティ対策は、経営における重要課題にも挙げられている。しかし、それから5年以上たった現在、サイバー攻撃の脅威はますます深刻化する一方である。従来の仕組みでは検知できない未知の脅威に対して、企業はどのような対策をすべきなのだろうか。

サイバーセキュリティ対策は「経営」の重要課題に

2015年12月に経済産業省が発表した「サイバーセキュリティ経営ガイドライン」。このガイドラインでは、「サイバーセキュリティ対策をする上で最も重要なのは経営者の認識であり、経営者がリーダーシップをもって取り組まなければ、企業は社会的責任を果たせない」と明記されている。サイバーセキュリティ対策は、リスクマネジメントやコンプライアンスに直結するため、企業経営における重要課題になっているのだ。

しかし、この社会的責任を企業が果たすためには、解決しなければならない課題がある。サイバー攻撃が日々複雑・巧妙化する中で、従来の対策では防げない新たな脅威への対応だ。例えば、シグネチャベースの防御はすでに限界を迎えている。サイバー攻撃で使われるマルウェアの多くは特定のターゲット専用に作られるため、シグネチャでは検知することは不可能だ。

こうした状況で、企業はどのような考え方でセキュリティ対策をすべきなのか。トーテックサイバーセキュリティ研究所 所長 藤原礼征 氏は次のように説明する。

「サイバー攻撃における攻撃者の行動をモデル化した『サイバーキルチェーン』という考え方があります。これは、サイバー攻撃を『偵察』『武器化』『配送』『攻撃』『インストール』『遠隔操作』『目的の実行』の7つのフェーズに分け、フェーズごとに対策を立てることで、チェーンを破壊して攻撃を食い止めようとする考え方です」（藤原氏）

このキルチェーンという言葉はもともと軍事用語。現在のサイバーセキュリティ対策は、軍で使われる考え方を適用しなければならないほど深刻だ。従来の仕組みでは検知できない未知の脅威に対して、企業はどのような対策をすべきなのだろうか。

• ページの先頭へ

3社の技術を組み合わせたサイバー攻撃の自動防御ソリューション

セキュリティソリューションを開発する側も、こうした状況でただ手をこまねいているわけではない。アラクサラネットワークス、トーテックアメニティ、FFRIという国内企業3社が発表した「サイバー攻撃自動防御ソリューション」は、非常にユニークかつ画期的な取り組みだ。

FFRIは、従来のシグネチャベースの仕組みでは検知できない未知の脅威を発見する「FFR yarai」という技術を持つ企業だ。今回のソリューションでは、未知・既知のマルウェアを自動的に解析する「FFR yarai analyzer」という製品が使われている。「FFR yarai analyzer」は、高度な知識と技術が必要とされるマルウェアの解析を5つのヒューリスティックエンジンを用いて自動化する。NetRAPTORとFFR yarai analyzerの連携について、藤原氏は次のように説明する。

「例えば、NetRAPTORが分析したメールの中に怪しいファイルを発見すると、それをFFR yarai analyzerに送り込んで分析します。そして、マルウェアと判定されるとアラートを出します」（藤原氏）

• ページの先頭へ

アラクサラネットワークスのスイッチとの組み合わせで、リアルタイムの監視と自動ブロックを実現

しかしこれだけでは、脅威を検知してアラートを出すだけにとどまってしまう。そこで登場するのが、アラクサラネットワークスのスイッチ AXシリーズだ。NetRAPTORとFFR yarai analyzerに、アラクサラネットワークスのスイッチを組み合わせると、さらにリアルタイムの自動防御が可能になるわけだ。

「NetRAPTORとFFR yarai analyzerがマルウェアを発見すると、NetRAPTORはマルウェアが通信するC＆Cサーバ（Command ＆ Control Server）のIPアドレスと攻撃対象となるクライアントのIPアドレスをスイッチに伝えます。そして、スイッチは自動的に通信を遮断します」（河野氏）

C＆Cサーバは、侵入したマルウェアと連携し、攻撃者が外部からコマンド等を実行するためのサーバだ。この通信をブロックすれば、仮に侵入を許したとしても攻撃を無効化できる。

ただ、それを実現するためには、スイッチ側にいくつかの機能が求められる。それが「ポリシーベースミラー」と「シェーピング」だ。アラクサラネットワークス ハード設計部 児玉康弘 氏と石川有一 氏は、各機能について次のように説明する。

• ページの先頭へ

純国産の強みは「日本語」と「ドメスティックな問題」への対応力

今回の「サイバー攻撃自動防御ソリューション」は、ネットワークフォレンジック（NetRAPTOR）とマルウェア検知（FFR yarai analyzer）によって脅威を見つけ、スイッチ（AXシリーズ）によってその通信を自動的にブロックするという、ある意味では非常にわかりやすい仕組みとなっている。

ただ、その仕組みを実現するために、個々の製品レベルで非常に高い技術・ノウハウが使われているのはいうまでもない。さらに、すべての製品・技術が国産であることも、このソリューションの大きな特長となっている。藤原氏は、国産で固めることの意義を次のように強調する。

「海外製ソリューションを日本に持ってきても、日本の事情に合わないことは珍しくありません。例えば、フォレンジックにおいては日本語のテキスト解析が必須ですが、日本語非対応の製品も少なくないです。また、日本で起こったドメスティックな問題への対応が遅れることもあります。組織の命運を握るような本当に守るべき情報が集まるところを国産技術で固めることは、十分検討する価値があると思います。日本には、それだけの技術を持つ企業が存在しているのです」（藤原氏）

日本のITは米国をはじめとする海外産の技術を中心に成立している部分が大きく、それはセキュリティ分野でも変わりない。しかし、冒頭で紹介した防衛関係の大手メーカーの事例を考えると、本当にそれでいいのか、という疑問が生じるのも当然だろう。

予算や工数が限られた中で、企業経営における重要課題であるサイバーセキュリティ対策に着実に取り組む必要がある。リアルタイムでトラフィックを監視することで未知の脅威を検出し、さらに自動で遮断まで可能にするサイバー攻撃自動防御ソリューションは、企業がセキュリティ対策を行い、社会的責任を果たすためには有益になるに違いない。

この記事は「ビジネス＋IT（http://www.sbbit.jp）」 2016年9月26日掲載記事からの転載です。
Copyright(C)　SBクリエイティブ株式会社, 2016

• ページの先頭へ