2022-04-04 15:33:31

内部対策とは？巧妙化するサイバー攻撃に対して求められる防御

サイバー攻撃の手口は多様化しています。
すでに従来のセキュリティ対策だけでは企業の情報を守りきることが困難になっている状況です。
こちらでは、巧妙化するサイバー攻撃への新しいセキュリティの考え方として台頭してきた内部対策についてお話しします。

サイバー攻撃について動画解説！

内部対策の基本情報

まずは、セキュリティにおける内部対策の基本についてお話しします。

内部対策とは

内部対策とはネットワークなどに侵入したマルウェアなどから社内のデータを守るための対策です。

特徴として、「すでに侵入してしまった後の対応」にフォーカスしている点が挙げられます。
脅威が侵入した後からの対応で、どのように社内の情報を守るか、被害を最小限に食い止めるか、といった内容を検討し、対策として講じる取り組みです。

ネットワークへ侵入させないことだけを意識していたとしても、手口が巧妙化するマルウェアを防ぎきることは難しいと考えられています。
侵入を許してしまった後の対策を充実させることで保有しているデータを守ろうとするのが、内部対策の考え方です。

内部対策が重要視されるようになった背景

これまで、サイバー攻撃への対策として一般的に採られていたのが、ネットワークへの侵入を防ぐ「入口対策」です。
しかし、日々巧妙化するサイバー攻撃に対し、入口対策では対応しきれないケースが増えてきました。
実際に、近年は官民双方の組織において、重大な個人情報がサイバー攻撃によって流出する事件が相次いでいます。

そうした状況のなかで重要視されるようになってきたのが、侵入されることを前提とする内部対策です。
ネットワーク外部への感染を防ぐ「外部対策」とともに、近年のサイバー攻撃に対応するための基本的な対策として認識されています。

入口対策・出口対策・エンドポイント対策

内部対策に付随する情報として、入口対策・出口対策・エンドポイント対策についてお話しします。

入口対策

従来重視されていた、「侵入させないための対策」です。
ネットワークの入口で脅威を検知し、侵入を防ぐことを目指します。

ただし、サイバー攻撃の巧妙化に伴い、入口対策だけでは防ぎきれないケースが増えてきました。
今後は入口対策を引き続き強化していくとともに、内部対策や後述する出口対策についても注力していくことが求められます。

出口対策

出口対策とは、その名のとおりネットワークの出口で実施する対策のことです。

社内から外部へのアクセスを監視し、不正なサイトにアクセスしないようにすることや、社内の情報の動きを管理し外部への持ち出しを防ぐことなどが例として挙げられます。
マルウェアが侵入した場合も、出口対策が十分であればプログラムによる情報の持ち出しを防止できるケースがあります。

エンドポイント対策

エンドポイント、つまり端末をマルウェアから守るためのセキュリティ対策です。
従来は、社内サーバーや社内デスクトップPCなどを対象とした対策として認識されていました。
近年は、テレワークやモバイルデバイス利用の普及により、エンドポイントとして認識すべき端末の範囲が広がっています。

企業を狙うサイバー攻撃の例

上記のとおり、企業を狙うサイバー攻撃の種類は多様化しています。
内部対策を実施するうえでは、以下のようなサイバー攻撃の侵入を想定する必要があります。

マルウェア

マルウェアは、悪意のあるプログラムの総称として用いられている名称です。
コンピューターウイルス、ワーム、トロイの木馬などは、広義のうえではすべてマルウェアとして分類されます。

マルウェアの種類は多岐にわたり、年々新しいタイプが開発されています。
多くの種類はプログラムを媒介にして、自己増殖する点が特徴です。
ネットワークに侵入し、端末から端末へと感染が拡大していきます。

標的型攻撃

近年になり、サイバー攻撃の手口のなかでも標的型攻撃に警戒が求められるようになってきました。

標的型攻撃とは、特定の対象がいるサイバー攻撃のこと。
つまり、ある対象に明確な被害を与えるために設計されたサイバー攻撃を意味します。
特に、企業や組織、団体を対象とした標的型攻撃は被害の大きさからしばしば話題になっています。

企業を狙う標準型攻撃の目的は、嫌がらせ、金銭的利益の獲得、知的財産の不正取得などが大多数です。
被害の内容によってはオペレーションが停止する、関係各所への責任問題に発展するなど、企業に大きな損害をもたらします。

大企業を対象にした標的型攻撃が大きなニュースになっていますが、中小企業が狙われる可能性も否定できません。
セキュリティの“穴”の多さを考えると、中小企業のほうが高リスクであると言えます。

ランサムウェア

ランサムウェアはマルウェアの一種です。
近年は単独で注目されるほど、被害が大きくなってきています。

「ランサム（Ransom＝身代金）」という名称からもわかるとおり、ランサムウェアは感染したコンピューター上で身代金を要求するメッセージを表示します。
コンピューター内のデータを暗号化し、解除と引き換えに身代金を要求するように設計されたプログラムが一般的です。

身代金を支払わずにデータを復旧することが可能ならば、身代金を支払う必要はありません。
身代金を支払ってしまうと、さらなる攻撃を受けるきっかけになることもあります。

しかしながら、どうしてもデータを復旧できない場合は身代金を支払う選択肢を取らざるを得ない場合もあります。
ただし、身代金を支払ったからといって必ずデータが戻ってくるという保証はありません。
感染を防ぐことが何より重要です。

内部対策の例

以下では、具体的な内部対策の例についてご紹介します。

モニタリング・ログ監視

代表的な内部対策であり、最も重要といえるのがモニタリング・ログ監視です。

社内ネットワーク上のアクセス状況を常に監視し、不審なアクセスが検知された場合は警告を出します。
例として、データベースに権限のないユーザーやプログラムによるアクセスが検知された場合にアラートで通知する設定などが挙げられます。

基本的には不正に侵入したユーザーやプログラムを検知するための対策ですが、社内犯行の抑止対策としても有効です。

ファイル暗号化

ファイル暗号化も一般的な内部対策です。

重要な情報は暗号化しておくことで、流出時のリスクを軽減できます。
万が一ファイルを外部に持ち出されたとしても、暗号化されたファイルを第三者が複合することは困難です。

権限付与・アクセス制御

ユーザーごとに個別の権限を付与することや、アクセス制御も内部対策として普及しています。

データベースへのアクセスやマスターデータの編集は、通常は特権IDを持ったユーザーのみに限定されています。
一方で、奪取した特権IDを不正利用するサイバー攻撃の例も少なくありません。

こうした攻撃を警戒し、専用のシステムによって特権IDを管理し、ワークフローに紐付いたアクセスのみを承認する仕組みが内部対策として普及してきています。

また、ファイルにアクセスできるプログラムを限定するシステムや、インターネットを通信するプログラムを限定するシステムなども一般的です。

バックアップ

サイバー攻撃によって内部の環境が損害を受けることも考えられます。
スピーディーな復旧のためには、環境全体のバックアップをとっておくことが大切です。
サーバーやクライアントPCなど、さまざまな規模でバックアップをとっておくと、サイバー攻撃の被害から素早く復旧しやすくなります。

セキュリティスイッチ

セキュリティスイッチは、社内ネットワークを監視し、必要に応じて端末をネットワークから遮断するセキュリティ機器です。
社内ネットワークに侵入したマルウェアの感染拡大を防止する対策として機能します。
端末に近い場所からアクセスするため、高精度でマルウェアを検知可能です。

内部対策を実現するポイント

以下では、内部対策を実施するうえで意識していただきたいポイントをご紹介します。

プロセス整備

マルウェアなどの検知した後のプロセスを整備する必要があります。

具体的には、調査、分析、収束対策の担当者を定め、それぞれがどのように動くかというフローを入念に設計しましょう。
設計したフローを滞りなく実施できるか、抜け落ちがないかテストすることも大切です。
こうしたプロセス整備には、侵入発覚後スムーズに対応することだけではなく、冷静に対処できるように準備しておく目的もあります。

組織づくり

侵入に対応するための人材育成や組織編成も求められます。
必要に応じて、外部にサポートを依頼することも検討しましょう。

内部対策用の組織として以下のようなものが挙げられます。

CSIRT（シーサート）

CSIRTとは「Computer Security Incident Response Team」の略語であり、「シーサート」と読みます。
日本語では、「コンピューターにおいて発生したセキュリティ事故に対応するチーム」を意味します。
海外の企業では一般的に設置される組織ですが、日本国内の企業でも設置されるケースが目立ってきました。