できるだけ安価かつ効果的に、ポイントをおさえたセキュリティ対策を
それでは「結局、何を守ればいいのか」。その問いに対し、蔵本氏は、「攻撃の着弾点となるパソコン」「被害拡大の要因となるID」そして、「データを第三者が読めないように」の3点をあげる。他のレイヤーも有効であり、必要だが、まずはこの3点が大きな費用対効果を期待できるという。
出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より
「サイバー攻撃対策とワークスタイル変革とは関係性が深く、予算の取り方としてもセキュリティではなく、ワークスタイル変革とすることも可能だろう。ノートパソコンを置き忘れても情報漏洩しない仕組みを導入すれば、必然的にワークスタイルも変えられる。そうした発想で経営陣と話せば、予算の出所も様々な可能性が考えられる」(蔵本氏)
企業のセキュリティはコストとの戦いだ。時間とお金をかければ、容易にセキュリティ対策は可能かもしれない。とはいえ、費用を掛ければ掛けた分だけ絶対に改善されるとは限らない。どんなものが自社には必要で、どのくらい安価におさえつつ、どのくらい効果をあげられるか。そこを考えるのが重要というわけだ。
そのために、蔵本氏は「サイバー攻撃の流れ」を理解する必要があるという。非公開のメールアドレスに対して個別の宛名が書かれた攻撃メールがくることもある。つまり、事前調査がかなりしっかりなされているということだ。
出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より
今はまだおかしな言葉遣いをしている攻撃メールが飛んでくることも少なくないが、洗練されていくことは間違いない。また、マルウェア自体を添付でつける場合でも、アイコンの偽装等、ユーザーを視覚的に騙すテクニック等を使用されると「怪しいメールは開くな」といわれても、なかなか徹底できないのは当然のことだろう。
そうしてハッキングに成功した後はIDアカウントを抜き、隣のパソコンへと浸蝕していく。この時に多く使われるのが、キッティングの際に使われた共通のIDとパスワードだ。サイバー攻撃では、ごく一般的な手法なので、自社のPCをキッティングする際に使用しているIDパスワードが全台同一の場合は大急ぎで変更する必要がある。このようにメールが着弾して組織のPC全体に広がるまでの時間の平均はわずかに8時間。さらに平均48時間後にはドメインごと乗っ取られる可能性がある。蔵本氏は、標的型メールで1台が感染し、横に展開していく様子をシミュレーションしてみせ、さらに暗号化された圧縮ファイルの暗号解読を2秒で行う方法を見せた。
それでは、パソコンを感染させない方法はないのか。手法の1つとして、蔵本氏は「ホワイトリスト」を勧める。つまり、許可されたアプリケーションのみが動作可能となり、それ以外は使えないというものだ。たとえばOfficeのみOKとなっていれば、他のアプリケーションが立ち上がろうとしても難しい。また、ID とパスワードを抜けないようにIDパスワードの盗難防止ソリューションを導入したり、IDパスワードの不正利用を検知するソリューションを導入するのも効果的だろう。1万台を守ろうとするとお金も時間がかかる。そこで、入ってきても横展開しにくく、早期検知し、被害を極小化していくソリューションが有効だという。
それでは、機密情報を取得しようとする動きからはどのように守るべきか。まず、要因として「ファイルサーバーの使用」がある。IDとパスワードが盗まれたら、一気にフリーパスになってしまい、入り放題となってしまう。そこで、電話認証を有効にしたポータルの利用などの対策法が有効だ。つまり、IDパスワードでアクセスすると、登録した電話番号へコールバックがあり、その認証のもとファイルを取得できるというものだ。また、ファイルの暗号化についても、IDと紐づいた認証を必要とする手法を用いることで、容易にアクセスできないようにすることができる。つまり、スマートフォンを併用した多要素認証だ。電話以外にもアプリやSMSを利用した認証ももちろん効果的だ。
また、データのバックアップも重要であり、万一ランサムウェアによる妨害があっても、すぐに全部をクリアにしてバックアップからもとに戻せばいい。そうした「事故にあうことを前提に」被害を縮小する方策を取っておくことで、セキュリティ対策そのものの精度が向上するというわけだ。
こうしたセキュリティ施策の優先度のために、蔵本氏は定量リスク分析手法として、製造業で活用されているFMEA(Failure Mode and Effect Analysis)を紹介した。つまり、影響度に発生頻度や防御困難度を掛け合わせることでリスク値を出し、それが高いものほど優先度が高いとするものだ。
最後に蔵本氏は「セキュリティは重要な経営課題であり、コストは重要な課題。どうしたらコストを減らしつつ、最も有効な手が打てるのか、それを考えながら取り組んでいただきたい」と強調した。
