ISACA大阪支部と日本システム監査人協会近畿支部合同講演会報告(報告者:小河 裕一)

No1710 小河 裕一

1.テーマ :「最新サイバー攻撃の脅威と富士通クラウドCERTの取り組み」 – 新型攻撃に対して、今何をすべきか –
2.講師  :富士通株式会社  クラウドCERT室長  奥原 雅之氏
3.開催日時:2012年12月15日(土) 15:00~17:00
4.開催場所:常翔学園大阪センター 302教室
5.講演概要


(1)最新サイバー攻撃の理解2012121501
「セキュリティ」という言葉が語られ始めたのは2000年頃で、官公庁のWebサイトが書き換えられはじめた事件以来である。毎年セキュリティ事故は発生しているが、最近は事故の質が変化してきている。最近のサイバー攻撃に関して攻撃者の観点で分類すると、低脅威多人数である個人やネットワークコミュニティレベルのものから、中脅威であるプロのハッカー集団、高脅威少人数で行われる国家レベルの防衛・諜報まで存在する。一方、攻撃動機で分類すると、興味本位や自己満足から国防のレベルまで存在する。
(2)最新サイバー攻撃の実例
ケーススタディとして、以下の3つを簡単に説明
・Playstation Networkの事件
→Playstationの機能制限を行った結果、ネットワークコミュニティとのトラブルに発展し、結果的には大規模情報漏えいに発展した
・標的型メール
→情報窃取を目的として特定の組織や個人に送られるウイルスメールによるもの。
最近では第一弾を受け取った内部の注意喚起メールの続報を装った標的型メールも存在
・制御システムを直接攻撃するマルウェア
→StuxNet,Duquのように実際に稼動するプラントや制御システムに入り込んで活動するマルウェア。発生が特定の地域・国に偏っている傾向がある。技術的に非常に高度であり、国家レベルのプロジェクトで作成されたものと想定される。
(3)最新サイバー攻撃に対する対策
これまでのセキュリティ脅威は一過性であり撃退すれば終わりであったが、最近の攻撃は目的達成まで繰り返し攻撃してくるパターンに変わってきている。それに伴って、対策も「DMZをつくり、FWで内側を守る」というような水際防御では防御不可となり、総力戦で行う多層防御が必要となってきている。これからは、以下のような「総合的な対策」が必要と考えられる。
・隙をみせず、狙われにくくする。
→金のために攻撃する人は、やりにくいところを狙わない。
・多層防御等で技術的に攻撃を防ぐ。
・技術的対策に頼らず、ルール化等で「人による防御」を行う。
→「”怪しい”メールはあけない」
「怪しい」とはどのようなメールかまで決めておく。対策に万全なものはないが、やっているのとやっていないのでは全く異なってくる。
(4)標的型メール対策訓練のケーススタディ2012121502
・演習手順
部門内の所属従業員に対して、明らかに標的型メール攻撃と思われるメールと、よく見ないとわからないメールを送信し、部員が開封するかどうかの訓練(演習)を実施した。事前に人事や法務等と調整を行い、さらに対象者にも実施2~3週間前に訓練を実施する旨を伝えた上で実施している。
・演習結果
事前に演習実施予告をしていても、わかりにくくするほど開封してしまう人が増える。明らかに標的型攻撃と思われるメールの開封率は低いが、見分けにくくすると50%を超える開封率となった。
・演習からのフィードバック
「犯人さがし」が重要ではなく、防ぐレベルと防げないレベルを見極め、どのように対応するのか、組織のポリシーを決めることが重要である。そして、守ると決めたレベルは死守できるよう訓練を積み重ねることが必要である。
(5)富士通のクラウドサービスとクラウドCERTの活動
・FGCP/S5
仮想化技術を用いてデータセンター内のリソースに仮想環境を割り当てて提供するサービス。
・クラウドの世界ではセキュリティがどう変わるのか?
技術的には従来の延長だが、運用面では課題が山積み状態である。
-責任分解の考え方
-インフラを共有するリスクの考え方
-データの所在明確化
-インシデント発生時のプロセス
-仮想環境に対する証拠保全
-「気がついたらサーバができている」世界の管理方法
・富士通クラウドCERTの活動
CERT=Computer Emergency Response Team。商標登録されている。クラウドCERTの名称は世界初。One Fujitsuを実現するために、グローバルに共通化した情報セキュリティポリシーを適用している。モニタリングも24時間365日行っている。脆弱性の監視を行っているが、運用部門では無い「第三者」が実施いているということが重要ポイントである。緊急対応においては、インシデントが発生してからの対応も当然であるが、事前準備が必要でありインシデント発生前に対応ガイドラインを決めており、そのガイドラインにしたがって動くことになっている。
(6)最新サーバ攻撃への対策として
・標的型攻撃は対策が難しく、水際防御では無く複数の対策を組み合わせる縦深防御で対処。
・ネットコミュニティは大きくなると力がある。上手く付き合う必要がある。
・最新サーバ攻撃への対策に「銀の弾丸」は無く、地道に対策を積み上げて行くことが重要。
6.所感
一昔前と違ってサイバー攻撃も多様化してきていて、報道や記事で読むレベルや名前だけは知っているという物が多数でてきていますが、今回の講演でわかりやすく整理して頂き、どのような背景でサイバー攻撃が行われ、どのように防御すべきかを学び取ることができました。対策に関して資料の中に次のようなフレーズがありました。
「新型インフルエンザと同じでワクチンは無い。基礎体力を上げ続けることが最良の手段。」
現状わかっているサイバー攻撃への対策だけでなく、今後も次々と発生する未知の攻撃に対しても通じる事項であり、常に攻撃や対策の動きを監視した上でできるだけ先だって対策する事が重要であるということと理解しました。また、最新クラウドに対応するための富士通が行っているサービスの一端も知ることができました。さらにクラウドに限らず、新しい技術を導入してサービスを提供しはじめるときは運用面における課題解決が大変であるようにも思いました。
講演を通して最新の動向や技術を知ることができましたが、今後もこのような最新動向に常時アンテナを張って情報を仕入れることも重要であると感じました。

以上