ニュース
標的型攻撃との戦い方を記した「指南書」無償公開、一般企業・組織向けにラックが最低限の対策を提示
(2015/7/28 19:33)
国内で“標的型攻撃”の被害組織が増加し続けていることを受け、株式会社ラックは28日、これに対抗するための専門組織として「標的型攻撃対策本部」を設置した。あわせて、一般企業・組織の経営者やIT技術者向けに「標的型攻撃 対策指南書」を無償公開するとともに、指南書に基づいたセキュリティサービスを提供していくことも明らかにした。
標的型攻撃対策本部は、ラックの社長直下に設置。同社取締役CTOの西本逸郎氏が陣頭指揮をとり、企業・組織が行うべき標的型攻撃対策についての情報を提供していく。その第1弾としてウェブ版およびPDF版として公開したのが、一般企業や地方自治体などを対象とした対策指南書だ。
西本氏によると、昨今の標的型攻撃を仕掛けてくる相手は犯罪グループやハッカー集団ではなく、国家あるいは国家クラスの組織だという。「戦争状態」と言うべき危機的な状況にあり、蓄積されている個人情報を目的とした攻撃も常態化していることから、標的型攻撃を完全に防ぐことは不可能だとしても、“負けない戦い”をするための最低限の対策についてガイドラインが必要だと指摘する。
ただし、高度なセキュリティが要求される中央官庁や重要インフラ企業とは違って、一般企業・組織や地方自治体に対して標的型攻撃対策の最低ラインを示したガイドラインはなかったという。そこでラックが実践すべき対策を指南書として取りまとめ、無償公開することとした。
今回公開した対策指南書は「第1版」となっており、標的型攻撃の対策について網羅的にまとめた内容となっている。さらにこれをベースに、企業・組織の社会的責任の度合いに応じた3パターンの個別対策指南書を作成し、8月25日に公開する予定だ。
具体的には、政令指定都市クラス、一般の地方自治体・一般企業クラス、中小企業クラスという3つ階層に細分化。それぞれについて、まず今年度中(2016年3月末まで)に考慮すべき項目と、次に来年末(2016年末)までに考慮すべき項目を列挙した「500日プラン」として取りまとめる。
まずやるべきこと(2016年3月末まで)
- 連絡を受ける意味の理解
- 連絡窓口の設置と現状調査
- 基礎訓練と基礎教育
次にやるべきこと(2016年末まで)
- 検出と防御方法の高度化
- 対応体制の高度化
- 人材の底上げ
なお、指南書で提示する対策は夢や理想論ではなく、コスト面においても常識的・現実的に導入可能なセキュリティプロダクトで対応可能な範囲でまとめるスタンスだという。ラックのプロダクトは従来、同社直販がメインだったが、今後、最大10社程度の販売パートナー(フランチャイズ)を募集し、指南書に基づいたセキュリティサービスを全国各エリアで販売していく計画だ。
また、ネットワークフォレンジックなどを手掛ける子会社のネットエージェント株式会社とも連携。標的型攻撃対策本部が収集した最新の情報をネットエージェントのプロダクトに取り込むことで、標的型攻撃が発生している現場のニーズに対応できる製品を迅速に市場投入していくとしている。
「EMDIVI」感染が発覚した時にどうする? 事前に準備しておくべきこととは
28日に行われた記者説明会で西本氏は、日本年金機能への標的型攻撃は個人情報の流出によって発覚・公表に至ったかたちだが、警察やJPCERTなどの関係機関の努力によって大事に至らないうちに発見される事例も急増したと説明。実際、こうした外部機関からの連絡によって標的型攻撃で侵入を受けていたことに気付く組織が多くなっているという。
そこで西本氏は、少なくともこのような外部機関からの連絡が来た時のために、企業・組織において窓口対応は適切に行ってほしいと呼び掛けた。
また、万一、侵入されていたことが判明した後の初期対応としては、事前の準備によって、外部とのネットワーク接続をすべて遮断するといったパニックを回避できると説明。具体的には、昨今の日本に対する標的型攻撃で用いられている遠隔操作ツール「EMDIVI」では、C&Cサーバーらの指令をメールプロトコル(SMTP)経由で受ける機能は確認されていない(ウェブメール経由の事例は確認)とし、少なくともメールの受信まで止める必要はないとした。また、外部に公開しているウェブサーバーも、改ざんされていなければ、停止は不要だという。
一方、メール送信など外向きの通信については、業務上、最低限必要なところだけをホワイトリスト化しおておき、それを反映したファイアウォールのアクセス遮断リストを事前に用意。感染が発覚した際に、これを適用するといった訓練をしておくことが重要だとした。