入口での対策は白旗宣言? サイバー攻撃対策の焦点は出口、そして内部へ

2015/10/15

前回のコラムでは、世界最初のコンピュータウイルスにはじまり、これまで起こったサイバー攻撃の変化をふりかえりました。そして、年金機構を襲ったとされる APT 攻撃や標的型攻撃の前では、どんな組織も攻撃を「もはや防ぐことはできない」事態を迎えたと述べました。今回は、こうした新しい攻撃を前にして、守る側がどのような変化を強いられたかを見ていきます。

入口では攻撃を防げない時代の到来

最初が「出口対策」です。

この耳慣れない言葉が、セキュリティ業界で突然叫ばれ始めたのは、2011年秋頃のことでした。2011年は、前回のコラムでもふれたように、米ロッキードマーティン社や、日本の三菱重工など、世界有数の堅牢だったはずの企業が相次いで APT 攻撃の侵入を許した年でもあります。

「出口対策」とは、組織内に侵入したウイルスが、攻撃の指示を受けたり、盗み出した機密情報を送信するために、外部の C C と呼ばれるサーバと、通信のやりとりを行うところをブロックする対策です。たとえるなら出口対策は、銀行に入った泥棒を、金庫の外や、敷地の外に出さないようにする対策といえるでしょう。

出口対策は、一種のバズワードとして製品やサービスのセールスメッセージに多用されることになったのですが、長年セキュリティ市場を見てきた弊誌は、この動きに腑に落ちないものを感じたのも事実です。

なぜなら、出口があれば入口があるわけで、これまで長年企業は、「このセキュリティ製品やサービスを入れれば完璧に防げる」というお題目のもと、「入口」つまりゲートウェイに、ファイアウォールにはじまって、スパムフィルター、IDS / IPS(不正侵入検知・防御システム)、WAFWebアプリケーションファイアウォール)、ペネトレーションテスト(脆弱性診断)実施などのさまざまな製品やサービスを買わされ続けて来たからです。

「完璧に防げる」はずの製品群で防げなかった事実は華麗にスルーされ、まったく新しいコンセプトの製品が売り出された訳で、それは端から見ても、あまりに潔すぎる白旗宣言、変わり身でした。

少々意地悪な言い方をしましたが、国家予算を用いてサイバー攻撃が行われる時代の到来によって、セキュリティ対策が根本から変わった、という言い方がより事態を広く捉えているでしょう。ですから、これまでの入口対策の意義や効果が失われた訳ではまったくありません。

出口から内部対策へ

そして「出口対策」がある程度市場で認知され、お金のある企業が対策を実施したあとに言われ始めたのが「内部対策」でした。

内部対策は、IPA (独立行政法人 情報処理推進機構)が言うような、ネットワークを効果的に設計することでイントラネットを迷路化して、機密情報が盗まれにくくする対策方針全般を言う場合と、社内に潜入したマルウェアの不審な活動を検知することを目的に、SIEM (セキュリティ情報イベント管理)と呼ばれる高価な機器を、お金持ちの会社に売りつけるためのセールスワードとして使われる場合があります。

いずれにしても、入口では泥棒を完全に防げなかったため、外に出て行かないように出口にも対策したが、それでも足りず、泥棒にあっさり金庫を見つけられないようにしたり、泥棒が深夜ゴソゴソ動くのを感知するセンサーをつけるような、内部対策をしようという点では、冒頭に述べた「もはや防ぐことはできない」という言葉を裏付けるものです。

有効な対策はバズワードではなく足下にある

IPA が内部対策のガイドラインを示した資料「『高度標的型攻撃』対策に向けたシステム設計ガイド」に書かれていることは、アクセス制御や、管理専用端末設置など、ネットワーク管理の基本を組み合わせたもので、必ずしも新しい製品やサービスが必要となるものではありません。

この資料は配付開始後、記録的なダウンロード件数となったそうです。それは、多くの企業に求められる内容だったからでしょう。たとえ多くの対策予算がなくても、中小企業としてできる対策は足下にたくさんあると言えるでしょう。

ScanNetSecurity
1998年に創刊された日本初の情報セキュリティ専門のオンラインメディア。法人読者を対象に、国内外のセキュリティ脅威、脆弱性、新技術、新製品、調査レポートなどの最新情報を提供。

関連記事

ピックアップ記事

  1. 情シスは、目まぐるしく移りゆくITトレンドと果たしてどう向き合うべきか? 毎回その道に造詣の…
  2. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  3. 『多くの人々の「笑顔」のために「感動」を届ける。』を企業理念に、人材・IT・サービスの3軸で…
  4. 2018/07/09 ITコンサルティング事業を主力とするハイブリィド株式…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 【ET×IoT Technology 2018レポート②】つながる時代のテクノロジーここに集結!!

  2. 【ET×IoT Technology 2018レポート①】つながる次世代のテクノロジーここに集結!!

  3. 使える! 情シス三段用語辞典73「IPoE」

  4. 【ET & IoT Technology 2018】序章・ETもIoTも情シスは知っておくべき!?

  5. APIでつながる、新しいクラウドサービス(SaaS)の形

  6. 【情シス×ストレッチ】~第4回~腰痛対策ストレッチ「腰レッチ①」

  7. PCNW【第一回ITトレンド勉強会】RPAに情シスはどう関わるべき?

  8. 【情シス基礎知識】Win10導入、覚えておくべき10の掟

  9. 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

  10. 【情シス女子】第44回「人と人を紡ぐ『笑顔』をこれからも大切にしていきたい」岡田真由さん

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る