2016.08.28(日)

2016年の3つのセキュリティキーワード

製品・サービス・業界動向 業界動向

2016年、セキュリティ対策は大きなパラダイムシフト迎え、ゲームチェンジしなければならないタイミングである、といえるでしょう。各組織がさまざまなセキュリティ対策を実施するも、実際に数多く報道されているようなサイバー攻撃による情報漏洩事故を自ら気づくことがより困難になっている実情を、私たちは真剣に考える必要があると考えます。

昨年よくセキュリティセミナーで耳にした、「サイバー攻撃に対する対策(投資)はいたちごっこ」とか、「標的型攻撃は防ぎきれない」といったキーワードは、実際に未知のマルウェア感染などで情報漏洩事故を経験した管理者であれば“決して許容出来ない”キーワードでもあります。例えて言えば、自動車のセールスマンが「この車、もしかしたら時折まっすぐ走らないこともあるかもしれません」というのを聞いた際に、皆さんは許容出来ますか? 決して許容出来ないと思います。

昨今、多層防衛の強化やCSIRT構築といったキーワードは良く耳にしますが、外部犯行によるサイバー攻撃の中で、最も深刻かつ現実的な答えが無い“未知のマルウェア感染による情報漏洩事故の対処方法”というテーマに対して、各組織は明確な答えを出さなければならないと筆者は考えます。

“従来のもぐらたたき的な発想では対策が破綻する”と言うと、少々厳しい表現かもしれませんが、国内の大規模なインシデントレスポンスの現場を多く見てきた筆者の視点からそれは断言できます。新しい攻撃が発表される都度、いたずらに多層防衛強化すればイニシャル&ランニングコストが増加し、さらに各セキュリティツール群の運用負荷も激増します。同時に利用者側の利便性も一般的に低下します。しかし、その上で本来の目的の未知のマルウェア感染の被害を自組織で確実に把握できればまだ良いのですが、昨今の情報漏洩事故の対処事例を見る限り、大半の事故は外部からの指摘によって発覚します。皮肉なことに、どの多層防衛システムも自組織のセキュリティ運用も攻撃に気づくことができなかった、ということです。それほどに犯罪者の攻撃レベルは高いのです。

各組織に求められるセキュリティ運用は、多層防衛システムから出力される膨大なアラートログや、認証サーバやファイルサーバなどから出力される生ログ等のログ精査(誤警告かなどの判断)から始まり、その結果、分析が必要な場合は分析対象のログの優先順位をつけて詳細分析し、はじめて脅威の一時切り分けがされます。その切り分けされた結果に対してどのようなセキュリティ対処策を決定するかが、セキュリティ運用に求められる本来の業務になります。

2016年のセキュリティキーワードは3つです。
* 脅威の発生原因を無害化(目標)
* 脅威の影響範囲を最小化(必須)
* 汚染環境の確実な健全化(必須)
です。可能な限り未然に無害化し、無害化できない脅威による影響範囲を最小化し、さらにマルウェアなどで汚染された環境は確実に健全化する、これが2016年のポイントになるでしょう。適切な無害化は、多層防衛を合理化し、本来のセキュリティ運用における管理(分析)ログ総量を飛躍的に減少させることが出来ます。結果的に管理(分析)対象ログが減少しますから、現実的な分析が可能になる、という効果も発揮します。

経営者から見た最大の脅威は情報漏洩です。情報漏洩を誘発するサイバー攻撃(未知のマルウェア感染)の攻撃経路を可能な限り無害化し、防ぎ切れない脅威(未知のマルウェア感染)を確実に最小化できれば、情報漏洩の事故を抑止し、さらに万一、事故が発生しても敏速に対処することが可能となります。また無害化で防ぎ切れない脅威を“残存リスク”として定義し、管理(分析)しなければならない必須のログを限定できれば、管理(分析)対象ログ総量を減少させ、結果的にそのログ(量)は制御(コントロール)可能となり、本来のセキュリティ運用が回るでしょう。

これらはゲートウェイからエンドポイントを包含し、“自組織にセキュリティ専門家がおらずとも”最先端のサイバー攻撃(未知のマルウェア感染)に最低限、対処が出来る、技術/運用/組織の合理化です。一言で申し上げれば“プラットフォーム骨格からセキュリティ対策を革新する”、ということです。それは現状のセキュリティ対策の否定ではなく、現状の対策を最大限尊重した上での合理化です。

2016年、セキュリティ専門家がおらずとも、まずは“可能な限り自組織でセキュリティ運用を回すことが出来る”為の“ゲームチェンジ”を共に検討してまいりましょう。いざという時はホームドクターとなるセキュリティ専門家と連携すれば、より高い相乗効果を発揮出来るでしょう。しかし日常的には自組織が自立的に守るべき情報資産を守る体制は、セキュリティ人材の枯渇が叫ばれる昨今、必須事項になることは言うまでもありません。

2016年1月 ブイエムウェア(株) 楢原盛史

【2016年のセキュリティ】対策の“ゲームチェンジ”を考える

《楢原 盛史@東京IT新聞》

編集部おすすめの記事

製品・サービス・業界動向 アクセスランキング

  1. 「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

    「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

  2. OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

    OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

  3. 組織内CSIRTの構築から運営までを総合的に支援するソリューション(IIJ)

    組織内CSIRTの構築から運営までを総合的に支援するソリューション(IIJ)

  4. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  5. 暗号処理にかかるエネルギーを50%以上削減、IoT機器の次世代ネットワークの安全性向上に期待(東北大学、NEC)

  6. ネットワーク“迷宮化”ソリューションにランサムウェア検知・防御機能(アズジェント)

  7. 非認可の不正APや不正デバイスを検知し遮断、Wi-Fiセキュリティセンサーを販売開始(レンジャーシステムズ)

  8. 脅威インテリジェンスをSplunkに統合できるプラグインを提供開始(カスペルスキー)

  9. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  10. テロを助長するアカウント23.5万件停止(Twitter)

  11. 地銀・信金・労金向けに物理とITのセキュリティ管理・教育をワンストップ提供(ALSOK)

  12. メールセキュリティのクラウドサービスに「メール無害化オプション」追加(IIJ)

  13. 台風に備え「避難」や各種災害情報に関する基本を整理

  14. Linkedinでの情報流出を受け、一部ユーザーにパスワード変更を呼びかけ(Dropbox)

  15. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  16. Citizen LabとLookoutから指摘を受けたセキュリティ問題を修正したiOS 9.3.5をリリース(Apple)

  17. セキュリティは「費用」でなく「投資」、内閣サイバーセキュリティセンター方針(NISC)

  18. 仮想ブラウザとファイル無害化ソリューションを連携、自治体にも有効(アシスト、イーセクター)

  19. ワークスがISO27017認証を取得、国内クラウドERPベンダとして初(LRM)

  20. 賃貸物件の所有者、入居者の個人情報約19万件がP2Pネットワーク上に流出(リロケーション・ジャパン)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×