サイバー攻撃に対してどのようにサイバーセキュリティ対策を実施するかは多くの企業にとって課題だ。

平成28年度の情報工学(情報ネットワーク)の課題IIIでは、ズバリ多層防御の考え方や対策を問う問題が出題されている。キーワードは、多層防御、APT攻撃、３つの対策だろう。

また、全方位型マルウェアと標的型マルウェアの違いや入口対策・出口対策・内部対策の概要、近年注目されているOODAサイクルなどについても触れてみたい。

1. 全方位マルウェアと標的型マルウェア
2. 標的型マルウェアの脅威
3. APT攻撃の進化
4. 多層防御とOODAサイクル
5. ３つの対策
6. まとめ

1. 全方位型マルウェアと標的型マルウェア
　全方位型はいわゆる八方美人型だ。八方美人は誰にでも笑顔を見せて誤解を生んでしまうのが問題かもしれないが、可愛いものだ。全方位型のマルウェアは誰彼を問わず一気に感染が広がるので脅威だが、多数の症例が一気に発生するために結果的にはセキュリティ対策方法を早期に確立して、対策を進めることができる。この全方位型に対しては、常にソフトウェアのアップデートを行うことが基本的な対策になる。

　一方の標的型マルウェアは、いわばストーカー的なウィルスだ。ストーカーのように特定の人間をターゲットとすると、長時間かけて計画を練って作戦を立てて執拗にターゲットを攻撃する。本当に困ったものだ。標的型マルウェアも同じだ。しかも、ターゲットとして狙われても、被害者事例がないため、企業側では適切な対策を打つことができず、その間隙を縫ってマルウェアが企業内に侵入して、さらに被害を広げるという最悪のパターンに陥る可能性がある。

　下の図は、左が全方位型マルウェアで右が標的型マルウェアだ。@ITからの引用だ。

出典：＠IT(参考1)

2. 標的型マルウェアの脅威
　標的型攻撃は、執拗で陰険で危険だ。マイクロソフトのHPにはこの標的型マルウェアの危険性をわかりやすく図示しているので、引用したい。ここでは４つの課題を指摘している。まず課題１はマルウェアが検知されないことを攻撃者が確認の上攻撃すること、課題２は暗号化されたファイルもPCには復号されたものが保存されており、PCに保存されているデータが狙われること、課題３はマイクロソフトの言い訳か悩みか(笑)、MSで対策機能を実装してもそれがオンにされていないことがあること、課題４は攻撃者は時間をかけてマルウェアの感染者からディレクトリーサービスにアクセスし、必要な情報をゲットすることに成功することなどが説明されている。マイクロソフトの立場もすけて見える。マイクロソフトも頑張っているのだろう。

出典：マイクロソフト(参考2)

3. APT攻撃の進化
　APTとはAdvanced Persistent Threatの略だ。つまり、高度に進化し、執拗な脅威だ。独立行政法人情報通信研究機構(NICT)のCYREC(サイバー攻撃的対策総合研究センター）ではAPTを次のように定義している。APTとは、「特定の相手に狙いを定め、その相手に適合した方法・手段を適時用いて侵入・潜伏し、数カ月から数年に渡って継続するサイバー攻撃だ」という。例えば、日本の情報通信企業で官公庁や企業に対して、セキュリティソリューションサービスとシステムインテグレーションサービスを提供する株式会社ラック（LAC Co., Ltd.）では、次のようなAPT攻撃耐性診断サービスを提供している。これは、お客様のネットワークにマルウェアが侵入したと想定して、感染拡大や権限昇格、重要情報の搾取などの攻撃に対する耐性レベルをチェックするという調査だ。まるで企業のネットワークの人間ドックだ。健康で大丈夫と太鼓判を抑えれるように企業は少なく、何らかの脆弱性が見つかるので、これに対してはしっかりと対策しないとヤバイですよと脅かせば、セキュリティ対策サービスが売れる。これは不謹慎だけど美味しいサービスでかつ、お客さまも喜ぶ。セキュリティ系の産業構造と医療系の産業構造が類似しているように感じるのは気のせいだろうか。。

出典：LAC（参考3)

4. 多層防御とOODAサイクル
　多層防御とは、もともとは軍事用語だ。つまり、相手の攻撃を止めることが難しいのであれば、相手の攻撃を遅らせることで必要な対策を行う。ワールドカップで日本がベルギーに２−０でリードした時に、この多層防御が成功していたら、ブラジルとベスト４を争うという夢のような世界を見れたのかもしれない。また、セキュリティの世界ではPDCAは古いという。ネットワンによると、セキュリティの世界で大切なことはOODAサイクルを回すことだという。OODAとは、Observe + Orient + Decide + Actの略だ。つまり、どんなサイバー攻撃を受けているのかを常時モニタリングする。攻撃の意図を識別した上で影響を把握するなどの状況判断を行う。そして、サイバー攻撃に対する的確な措置を迅速に意思決定する。さらには、問題解決やリスク要因の排除などの根本対策を実施する。このOODAサイクルは総務省の有識者会議「情報セキュリティアドバイザリーボード」でも提唱している考え方なので、今年の試験に出るかもしれない(笑)。

出典：ネットワン(参考4)

5. ３つの対策
　このようなAPT攻撃に対する多層防御の対策は入口対策と出口対策と内部対策の３つだ。
1) 入口対策：攻撃者の侵入を防ぐ対策だ。いわゆるファイアーウオールやUTMの設置だ。この入口対策が厳格だと、攻撃者が攻撃を諦める抑止力となる。核の抑止力が核爆弾かどうかは議論のあるところだが、APT攻撃にはまず入口対策を強化するのが鉄則だ。
2) 出口対策：しかし、攻撃者がなんらかの形で入口をすり抜けたとするとどう対策すべきなのか。攻撃者の立場で考えると、ターゲットの企業の内部に侵入したら、宝の山を探すだろう。そして、攻撃者の司令塔と密接に情報交換を行う。この司令塔をC＆Cと読んでいる。C＆Cといえば、NECのキャッチフレーズだったが、セキュリティの世界でC&Cというと、コミュニケーション＆コントロールサーバー（C＆Cサーバ）を意味し、攻撃者が設置するサーバだ。したがって、出口対策としては、このC＆Cの特定や照合とブロックが重要だ。
3)内部対策：ウイルスをばらまかれたり、アカウントを乗っ取られたりしないような対策が重要だが、これに加えて、ネットワークを区画化して、侵入経路に壁を作ることも有効だ。多層防御においては、ネットワークの設計とアカウントの定期的な監視が非常に重要な鍵となる。

6. まとめ
サイバーセキュリティの世界をキャッチアップするのは大変だ。米国防総省では1000人を超えるサイバーコマンドを擁する。英国ではサイバー攻撃に対して約800億円を投じると発表している。サイバーセキュリティの世界では米国カーネギーメロン大学が先行していることは有名だ。そのカーネギーメロン大学の修士課程を兵庫県立大学大学院応用情報科学研究科博士前期課程に入学すると合計２年間で両大学の学位を同時に取得できるという。神戸の学生はチャレンジして、世界屈指のセキュリティの専門家になれば、大金を稼ぐで切ることもできるかもしれない。セキュリティの世界では日本人の存在感が低いと指摘されているが、世界を目指すセキュリティのプロを日本からも排出することが遠回りかもしれないが、日本でのセキュリティを高める王道だろう。
以上

参考1：http://www.atmarkit.co.jp/fsecurity/rensai/appsec04/appsec01.html
参考2：https://www.microsoft.com/ja-jp/business/enterprise-security/solution/multiple.aspx
参考3：https://www.lac.co.jp/service/consulting/aptpreemptive.html
参考4：https://www.netone.co.jp/biz/solution/multi-layered-defense.html