NTTコミュニケーションズ(NTT Com)は3月17日、サイバーセキュリティ/脅威の最新動向に関する記者向けの勉強会を開催した。同社セキュリティ・エバンジェリストの小山覚氏は、社会インフラやIoTをこれからどのように守っていくべきか、現在の動向を踏まえ解説した。
NTTコミュニケーションズ セキュリティ・エバンジェリストの小山覚氏
考える対策のキーワードは「エンドポイント」と「IoT」
小山氏はまず、さまざまなデータを引用しながら、企業を取り巻くセキュリティ脅威の現況を説明した。APTや標的型攻撃は激しさを増しており、ゼロデイ脆弱性を突く攻撃手法が多い。
より公共性の高いターゲットを狙った標的型攻撃が増加するなど、サイバー攻撃の状況はますます厳しいものとなっている
また、政府/公共機関や社会インフラ系事業者を狙う攻撃も目立つようになっているという。「米国では(社会インフラ系の)民間事業者も大きな脅威を感じているのが現状。日本もそろそろ、そういう段階に入るだろう」(小山氏)。
制御システムのサイバーレスポンスチーム(ICS-CERT)がまとめた脅威の状況。エネルギー産業や製造業の工場が被害を受けている
こうした状況下で、現在考えるべきセキュリティ対策のキーワードは「エンドポイント」と「IoT」の2つだと、小山氏は語る。
従来型の対策は通用しない!新しいエンドポイント対策を
これまでPCやスマートデバイスといったエンドポイントでの対策は、アンチウイルスソフトの導入やOS/アプリケーションのこまめなアップデート、そして従業員教育が中心だった。もちろん、こうした対策も引き続き必要だが、特に標的型攻撃においては「従来型のセキュリティ対策が効かなくなっている」と小山氏は警告する。
その背景には、犯罪組織や“攻撃ビジネス事業者”などで構成されるアンダーグラウンドマーケットの活性化や、攻撃コードの難読化/暗号化など攻撃手法の高度化という変化がある。
攻撃者が組織化/専門化しており、対策はますます難しくなっている
加えて、ネットワークを介してエンドポイントに侵入する脅威をブロックする多層防御の仕組みも、完全とは言えなくなっている。「たとえばメールの添付ファイルが暗号化されていれば、サンドボックス型製品を導入していても通用しない」(小山氏)。さらに攻撃者は、IPS(侵入防御装置)が「高リスク」と判定するような通信パターンを回避して、長期潜伏する手法も身につけているという。
組織的攻撃に対抗するためのセキュリティ対策の一例
小山氏は、SIEMを活用した大量のログ解析による攻撃の発見のほか、それでも侵入してしまうマルウェアに対しては「パターンファイル/シグネチャに依存しない、新しいエンドポイントセキュリティ対策が必要」だと述べた。
NTT Comでは今春から、日本マイクロソフト、FFRIとの共同開発を進めている「Zero day Attack Protection(ZAP、仮称)」を社内導入する(関連記事)。これは未知の脅威を迅速に検出し、攻撃元URLや攻撃コードを共有することで、標的型攻撃やゼロデイ攻撃などに対抗するサービスだ。大企業や官公庁のネットワークだけでなく、銀行のATMネットワークのようなソフトウェアアップデートが困難なものにも適しているという。
NTT Com、日本MS、FFRIの3社が共同開発する新しいセキュリティ対策ソリューション。将来的にはサービス化も予定されている
(→次ページ、機器メーカー、通信事業者、国が一体となりIoTセキュリティを守れ)
