サイバー攻撃に備えたIT基盤の守り方――SOCの観測データから見える昨今のサイバー攻撃の傾向と対策

サイバー攻撃の一般的な流れと求められる対策

　内部対策では、システム内部に侵入されることを前提として考える。つまり、システム内部で行われる情報探索、感染拡大、情報奪取などの攻撃活動を可視化することで、攻撃者による活動やその予兆に迅速に気づき、的確な状況把握と被害を極小化する迅速な対処を実現しようというものだ。この内部対策については、総務省の地方公共団体向けガイドラインやIPAの高度標的型攻撃対策のシステム設計ガイドなどでも実施が提言されており、今最も可及的速やかに行うべきセキュリティ対策といえるだろう。

　CTCの具体的な対策としては、メールやWeb経由でのマルウェア感染を防ぐ「入口対策」、そして、拡散防止や異変に気付くための「内部対策」として、不正通信検知や攻撃の予兆検知・可視化などが上げられる。そして、重要な情報を持ち出させないための「出口対策」も大切だ。

　なかでも難しいのが「内部対策」であり、実際に1年前からずっとマルウェアが存在していた例も少なくないという。網を張るコツとしては、攻撃の流れを踏まえつつ、それぞれのポイントを監視・チェックすることだという。

　1つめの「内部ネットワーク通信」については、マルウェアによる内部探索活動や侵害拡大行動など、正規通信に紛れた脅威の予兆、不審な通信を検知、可視化すること。そして、2つめの「内部の重要サーバ」については、特にActive Directoryなどのイベント情報を分析することがカギになる。そして、3つめに「端末」の調査で起動プロセス、ファイル、インストール済アプリケーションの稼動状態からマルウェア感染有無／リスクを判断するというわけだ。

　3つのポイントそれぞれに対応する製品として、「内部ネットワーク通信の監視」についてはトレンドマイクロ社の「Deep Discovery Inspector(DDI)」、内部ネットワーク通信「内部の重要サーバ」についてはActive Directoryを監視するマイクロソフト社の「Advanced Threat Analytics(ATA)」を紹介。さらに端末については、端末の状態を可視化・把握（予防）し、有事の原因特定、復旧（回復）するソリューションへのニーズが高まっており、Tanium社「Tanium Endpoint Platform」を紹介している。TaniumはPalo Alto Networks社製品との連携によって、新たな脅威に対しても迅速に対応可能だ。

　そして、こうした製品も含め、トータルなセキュリティ対策を提供するために、CTCではマネージドセキュリティサービス（MSS）を2014年10月より展開している。セキュリティオペレーションセンター（SOC）に常駐するセキュリティアナリストが各種セキリュティ機器をリモート24時間365日監視し、さらにはサイバー攻撃に対するイベントの分析を行うというものだ。さらにグローバル対応を実現し、サービスの高品質化を目指し、BAE SYSTEMSとの協業も行っている。

　そして、「クラウドのコア業務に対するサービスが欲しい」という顧客からのニーズに応え、基幹業務に耐えうるクラウド基盤を強化。よりハイレベルな安定稼働・可用性などはもちろん、様々なコンプライアンス要件に準拠し、セキュリティ運用を当初から組み込むなど、着々と準備を進めているという。

　この基幹業務向けIaaSの日本国内での立ち上げにおいては、同分野世界No.1のクラウドソリューションプロバイダーとの協業検討を開始しており、2015年度内のサービス提供を目指す。