攻撃者優位は終わった。サイバー攻撃の全体像を瞬時に可視化する最新技術とは?

2016年11月28日、防衛省・自衛隊の通信ネットワーク基盤がサイバー攻撃を受けたと報じられた。これは現状の一端に過ぎない。日本を狙ったサイバー攻撃は確実に増加している。サイバーセキュリティ対策の強化は、国家レベルでの最重要課題だ。では、我々は何をすべきなのか。長年、日本企業のセキュリティ対策支援に携わり、富士通セキュリティイニシアチブセンターの初代センター長も務めた、富士通 サイバーセキュリティ事業戦略本部 エバンジェリスト、太田 大州に話を聞いた。
(聞き手は、日経BPイノベーションICT研究所所長の桔梗原 富夫)

機密情報が狙われている ──サイバー攻撃の目的は諜報活動

──2016年6月に発生したJTB(ジェイティービー)に対する標的型攻撃は、実際の取引先メールアドレスを偽装していたと報じられています。サイバー攻撃はますます巧妙化している印象を持ちますが、最近の傾向を教えてください。

攻撃者の目的が複雑化し、諜報活動的な要素が強いと感じています。従来のサイバー攻撃は個人情報を詐取し、犯罪者が集うブラックマーケットで販売して、利益を得ることが目的でした。

これに対して現在は、国家規模の大組織が、諜報活動の一環としてサイバー攻撃を仕掛けていると推測されるケースが目立っています。大企業の多くは複数のセキュリティ対策装置のログを収集・管理し、その相関関係を分析する仕組み「SIEM(Security Information and Event Management:セキュリティ情報およびイベント管理)」を導入しています。その分析結果を見ると、個人情報の詐取よりも、企業や国家の要人といった特定個人の情報をピンポイントで詐取するような動きが多いです。

もう1つは、ウイルスに感染させてシステムへのアクセスを制限し、身代金を要求するランサムウェアの蔓延です。その背景には、ブラックマーケットで個人情報の売買価格が大幅に下がったことがあります。米国のセキュリティベンダーによると、2015年は個人情報1件あたりの値段が25ドル程度でした。それが2016年には6ドル程度に低下しています。つまり、攻撃者にとって個人情報の詐取・売買は非効率なビジネスになってきたからです。ですから、攻撃者が直接価格を設定でき、かつ“利幅”の大きいランサムウェアにシフトしてきたのでしょう。

──攻撃者の目的が変化しているのであれば、経営者は既存のセキュリティ対策を見直す必要がありますね。

これまで経営者は、情報を漏えいさせないようにする「情報保証(Information assurance)」に主眼を置いていました。しかし、今後は、サイバー攻撃を受けても事業の継続性を保証する「任務保証(Mission Assurance)」を軸に、セキュリティ対策を講じるべきです。

経済産業省が2015年12月に発表した「サイバーセキュリティ経営ガイドライン」に記されている「サイバーセキュリティ経営の重要10 項目」には、「リスクを踏まえた攻撃を防ぐための事前対策」が必要であると明記されています。

今後は、サイバー空間とリアル空間が密接に連携するサイバーフィジカルシステムが普及します。そうなれば、サイバー空間でのインシデントが、リアルなビジネスにも甚大な被害をもたらします。「サイバー攻撃は経営全体を脅かすもの」だと認識しなければなりません。

──業種や業界に特化したサイバー攻撃の特徴はありますか。

攻撃のプロセスに大差はありませんが、攻撃者から狙われる対象は異なります。例えば、流通業ではクレジットカード情報が圧倒的です。一方、製造業では設計図面や(製造に関する)ノウハウが書かれている書類などが詐取されていると推察します。

また、攻撃のプロセスは同じでも、攻撃のキャンペーン(ネットワークへの不正侵入から情報詐取やシステム破壊に至るまでの継続した一連の攻撃行動)は業種ごとに異なります。こうした攻撃に対応するためには、同じ業界内で横断的に情報を共有し、事前に対策できるような体制の構築が重要です。

図1:富士通が開発しているセキュリティ技術の全体像 図1:富士通が開発しているセキュリティ技術の全体像

続きは、こちらからお読みいただけます

「発見」重視の対策はもはや限界 激化するサイバー攻撃から会社を守るには

概要

  • 機密情報が狙われている ──サイバー攻撃の目的は諜報活動
  • 「侵入されても活動させない」ための対策を
  • 侵入者の動きに着眼した「攻撃者行動遷移モデル」
  • サイバー攻撃の全体像を瞬時に可視化する独自技術
  • 想定外のインシデントは「OODAループ」で対応

ページの先頭へ