2011年はもうすぐ終わり。1年を振り返ると、IT関連ではセキュリティに関する事件が多かったように感じる。これは毎年そう感じるのだが、今年は9月以降に発覚した三菱重工業や衆院、参院への不正アクセスが記憶に新しい分、強くそう思ったかもしれない。
日経NETWORK 2011年12月号の特集では、2010年9月以降に発生したセキュリティ事件の当事者から攻撃者の手口や対処方法を聞き、最新攻撃への効果的な対策をまとめた。取材を通じて感じたのは、攻撃手法が非常に巧妙で狡猾になっており、攻撃に使われるウイルス(マルウエア)の侵入を100%防ぐのは無理ではないかということだ。よくそんなことを考えたなというような攻撃を、実際に行っているのだ。
企業が採るべき対策として、セキュリティの専門家が最近よく口にするのが「出口対策」である。この言葉だけを聞くと、“出口”(LANからWANへの通信)に注目した対策のように思える。例えば、“出口”に設置したファイアウォールで通信内容を監視し、あらかじめ設定したポリシーに合わない通信を遮断するというような対策。しかし最近では、出口対策を少し違う意味で使う人が増えている。それは何なのか。
最近よく言われる出口対策とは、「『ウイルス(マルウエア)には侵入されてしまうこと』を前提とした対策全般」を指す。LANからWANへの通信だけを対象にしたものではなく、ウイルスがLAN内に入り込んだ際の動き(ペイロード)に注目して、その活動を最小限に抑えるための対策を指すのだ。
具体的には、(1)ネットワークをVLANなどで細分化してウイルスの感染範囲を狭める、(2)LAN内の通信を監視して普段使われていないサービスの通信が発生したときはその原因を見つける、(3)ウイルスが外部のサーバーと通信するのをファイアウォールで遮断する、といった方法である。もちろん、多くの攻撃者が狙う情報に注目したDLP(Data Loss/Leak Prevention)といった情報そのものに注目した対策も含まれる。
取材の中でコストがあまりかからない効果的な対策と感じたのが、「管理者権限の管理」である。管理者権限を持つ一つのIDを複数の担当者が使い回していることはよくある。一つのサーバーで、複数のサービスを稼働し、それぞれを別々の担当者で管理しているような場合だ。このようなとき、ウイルスによる権限昇格などで攻撃者に管理者権限を奪われても、ログから管理者権限による不正な操作を判別しにくい。そこで、管理者権限を利用するときには、それぞれの担当者が「いつごろ、何のために使ったか」を1冊の大学ノートに書き記すようにしておく。それだけで不正を見つけやすくなる。
もちろん出口対策だけを行っても、セキュリティ被害は防げない。外部からのウイルス侵入を食い止める、従来通りの基本対策も必要だ(人によっては、出口対策に対して基本対策を「入口対策」という)。これまで企業のセキュリティ担当者の多くは、基本対策に注力してきたが、今後は出口対策とのバランスを考えて実行するべきだろう。
