モグラたたきのルールを変える
このモグラたたきゲームを続けるなら、さらに精度の高い検知技術や、モグラが顔を出したことを複数のログで検知するSIEMなどを取り入れなければならない。そして、その検知アラートに即応できる理想的なCSIRT、そして最先端のSOCなどを備えなければならないし、それでも、「情報漏洩」を検知したり防いだりすることは容易ではない。
では、このモグラたたきゲームのルールを変えたらどうだろうか。100匹は無理でも10匹ならどうだろうか。10匹のモグラたたきならなんとか戦うことができるのではないだろうか。これは、LANにおいて、攻撃対象となるPCを減らす、ということで実現できる。標的型攻撃であれば、メールやWebで感染して、その後、ほとんどの場合HTTPやHTTPSでコールバック(C&Cサーバとの通信)を行う。攻撃対象のPC、すなわち、メールやWebを閲覧するPCを減らしてはどうだろうか。これは、モグラを減らすのと同じ効果がある。
ただし、メールやWeb閲覧を行ういわゆるインターネット接続端末を減らしても、同一LAN上にPCがあれば、結局間接的に感染、あるいは、情報漏えいの可能性があるので、端末単位ではなく、LAN単位での分離を検討するべきである。
これまで、多くの組織でLANの統合が行われてきた。そして、Web閲覧が業務で必要ではない端末でも当然のようにWeb閲覧ができる環境の普及、メールの普及も影響して、社内LANからインターネットにアクセスできるのは当たり前、になってきた。お昼休みには、自由にインターネットにアクセスし、社内ネットワークの通信量のピークが昼休みである組織は少なくない。当然の権利のように利用している社員が多い。FacebookやTwitterを立ち上げっ放しの社員もいるだろう。
そのような状態で、標的型攻撃や待ち受け型攻撃を防ぐのは至難の業である。現在、多くのセミナーで「防ぐことはできない」と専門家が話しているくらいだ。マルウェアが添付されたメールが、社内PCに届くというのは、検知できない爆発物が自分の机の上まで届けられるということと同じで、それを前提としたSOCやCSIRTの整備は、とても高度な機能を備えなければならない。
では、極端な例として、社内でたった10台だけインターネットに接続できるように制限したらどうだろう。当然、その10台は独立したLANに設置されていて、他の業務用LANとは隔離されているとする。そして、その10台には、個人情報などの機密情報が無い状態にしてあればどうだろう。そのような状態であれば、守りきることは容易であり、感染しても大きな被害にはなりにくい(マルウェアつきの標的型攻撃メールを送ってしまう、メールをコールバックでC&Cサーバに送ってしまうなどの可能性が残る)。
つまり、漏れては困る情報を保持しているPCをインタネット接続を許可しているLANに置かないことにより、モグラたたきゲームを容易なものにすることができるのだ。このようにネットワークを分離する考え方は、銀行などの金融機関では当たり前のことである。サンドボックスや振る舞い検知の導入も効果的ではあるが、そもそものPC数、個人情報などの機密情報をインターネットに接続できるPCから極力減らす努力をするべきだ。
たとえば、マイナンバーはこれからどの会社でも取り扱うことになるのであるから、そのような端末は、別のLAN上に設置するべきであろう。顧客情報や設計などの情報を取り扱うネットワークも分離されるべき対象であろう。しかし、設計や開発部門では、市場調査や技術調査のためにネット接続が必要だ、と言われ、その要求のために結局は「守りきれない危険な状態」を生み出している。
