決意を持った敵対者と標的型攻撃ブログ「その 2 」です。
「その 1」では、標的型攻撃の課題と実態について紹介しましたが、今回は対策について触れたいと思います。
従来のセキュリティモデルの中心は、セキュリティ対策製品の導入でしたが、標的型攻撃に対しては複数の対策を準備する必要があります。
具体的には、以下の 4 種類の対策が挙げられます。
Prevention ( 予防 ) **
従来のセキュリティ対策と同様、ウイルス対策ソフトウェアやファイアウォールといった予防措置が必要です。しかし、リサーチの結果は、そのような対策を講じているにも関わらず、ソフトウェアのセキュリティ設定を正しく設定していなかったり、セキュリティ更新プログラムをタイムリーに適用していないために攻撃されるケースが多いことを示しています。このような基本的な対策をしっかり講じることで標的型攻撃が成功する可能性を少しでも減らすことは非常に重要です。
Detection ( 検出 ) **
抑止策だけでは十分ではないという前提で、侵入検知装置やルーター、ホスト、プロキシ サーバーなどからのデータを利用して、ホストの運用状況やセキュリティの状況を評価します。また、リアルタイムの対策だけではなく長期的な視点で、ポリシー、コントロール、監視方法の確立、大量のデータを分析できるような人材の育成なども考慮すべき点であると言えます。
Containment ( 封じ込め ) **
攻撃者は、初回の攻撃だけで目的を達成することは殆どなく、まずは標的の環境を偵察し、侵入するスキを見つけようとします。製品に組み込まれているセキュリティ機能を利用することによって、攻撃者の活動を抑止し、攻撃を発見、軽減することが大切です。また、ドメイン管理モデルの構築、管理者権限の利用の制限管理者権限の制限、IPsec ベースの論理的セグメント化および暗号化といった、不必要な接続が行えないような措置を講じる必要があります。
Recovery ( 回復 ) **
攻撃によるダメージを軽減する、または早期にダメージから回復するために、回復計画を準備しておきます。そのためには、ビジネス部門と IT 部門が協力し合って準備すること、非常事態に備えて演習や訓練を実施すること、外部専門家の知識を参考にすることが望まれます。また、顧客の信頼を保つために、明確でタイムリーなメッセージを発信できるようなコミュニケーションプランを準備しておくことも大事です。
標的型攻撃への対策は、1 個人、1 社の企業だけで行うのには限界があります。標的型攻撃の被害を拡大させないためにも、政府機関と民間が協力して迅速な情報共有を行う必要があり、また、そのために被害者が適切に情報交換できるような環境を構築することが大切です。
さらに、上記にある予防、検知、封じ込め、回復によるリスク マネジメントを、組織、ビジネス、政府の主要な戦略として標的型攻撃に対応することが求められます。
参考情報: