🔄
top of page

Latest Articles

脅威に対する防御戦略と実装 〜平時の対応が重要〜

  • Pipeline Co. Ltd.
  • 2021年12月15日
  • 読了時間: 8分

情報セキュリティにおける脅威に対して私たちが取る戦略は、基本的に専守防衛となる。防衛戦略の手法は歴史的に軍事の分野で発達しており、私たちの目前にある脅威に対しても、それを応用できる。さらに、防衛は攻めの姿勢と有益な情報を迅速に交換することが必要である。


脅威に対する防衛戦略

複雑化する攻撃のプロセスはいくつかのフェーズに分けられて行われることが一般的であり、これに対しては軍事で使用される「キルチェーン(Kill Chain)」が適用できる。これは情報セキュリティの分野では特に「サイバーキルチェーン(Cyber Kill Chain)」と呼ばれている。


基本的な考え方は「敵の攻撃の構造を把握し、切断することで防御力を高める」である。標的型攻撃では、攻撃者が標的を決定〜実際に攻撃〜目的を達成、という一連の行動において、「偵察」、「武器化」、「デリバリー」、「エクスプロイト」、「インストール」、「C2」、「目的の実行」という7フェーズに分類する。


これら7フェーズをもう少し具体的に見てみよう。


偵察(Reconnaissance)」・・・標的となる個人、組織を調査する。インターネット上に公開されている情報や、送受信したメール情報、直接的には組織へ潜入、等の手段がある

武器化(Weaponization)」・・・攻撃のためのエクスプロイトキットやマルウェア等を作成する

デリバリー(Delivery)」・・・マルウェアを添付したメールや悪意あるリンク付きメールを通常のメール文面に偽装して送る、または対象組織のシステムへ直接アクセスする

エクスプロイト(Exploitation)」・・・標的である個人または組織内の人がマルウェア等の攻撃ファイルを実行、または悪意あるリンクにアクセス

インストール(Installation)」・・・エクスプロイトが成功し、標的においてマルウェアがインストール(感染)され、マルウェアが実行可能となる

C2(Command and Control)」・・・マルウェアとC2サーバとの通信が確立し、リモートから標的への操作が可能となる

目的の実行(Actions on Objectives)」・・・攻撃者の目的が実行される。情報搾取、改ざん、データ破壊、サービス停止等



最終的な被害発生を食い止めるためには、上の各フェーズに対して自組織がどのような対策をとっているか、導入しているソリューションがどのフェーズに対応しているか、を確認しながら対策を進めていくことになる。


加えて、標的型攻撃に見られる以下の特徴にも注意が必要だ。

・攻撃までの潜伏期間が長く、攻撃実行まで異常に気づくことが難しい(永続化、

ステルス性)

・ソーシャルエンジニアリングを利用して巧みに情報を引き出す

・国家を背景とした攻撃組織がある

・防衛、航空、宇宙、独自のイノベーションによって産業をリードしている企業、エネルギー分野・病院・公的機関といった社会インフラ関連、報道機関などが特に狙われる

・破壊活動だけでなく、情報を盗み出す諜報活動(スパイ活動)もある


脅威に対する攻めの防衛手法

脅威に対する防衛は、発生してから対応では遅いので、攻めの防衛が必要である。つまり平時の対応が重要だ。戦略としては、多層防御、パターンマッチングだけでなく振る舞い分析による検知、有用な情報の活用(セキュリティ会社からもたらされるもの、または公開情報)、攻撃者をだます技術の導入、機械学習、攻撃対象領域(アタックサーフェース:攻撃可能面)の管理、SOC/CSIRTの立ち上げ、などが挙げられる。

ここでは、これら施策について列挙、説明する。


・多層防御・・・攻撃者は情報システムを構成するモノの脆弱性だけでなく、情報システムを利用する人や情報システムの運用方法における脆弱性を利用、またはそれらの組合せを利用して攻撃する。したがって、攻撃者の攻撃を困難にするには、多方面において侵入対策・被害拡大対策・漏えい対策を実施することになる。なお、ここでは、防御システムを多層にすることにより攻撃難度を高めるという物理的な対応に限定していない。


・リスク管理・・・脅威の特定、リスクの把握、資産一覧の作成/メンテ


・サイバーセキュリティ アーキテクチャ・・・標準/推奨策、ポリシー、手順


・物理セキュリティ・・・現場機器のロックダウン、アクセス制御、カメラ監視、防壁、認証機能付き錠といった建物による防御


・ネットワーク アーキテクチャ・・・共通のアーキテクチャ毎でのゾーン分け、DMZ、仮想LAN

・ネットワーク 境界セキュリティ・・・ファイアウォール/一方向セキュリティゲートウェイ、リモートアクセス&認証、ジャンプ(踏み台)サーバ/ホスト


・ホストセキュリティ・・・パッチ、脆弱性管理、物理/仮想マシン自体


・セキュリティ監視・・・侵入検知システム(IDS)、セキュリティ監査ログの取得、セキュリティインシデント/イベント監視


・ベンダ管理・・・サプライチェーン、人・サービスのアウトソーシングでの関係、クラウドサービスの利用等において管理


・人的セキュリティ・・・ポリシー策定とポリシーに基づく手順作成、全従業員に対する訓練・意識向上


・有用な情報の活用・・・公的な情報として、IPA(情報処理推進機構) 1)が公開する様々な情報および脆弱性対策情報(JVN)が挙げられる。また、セキュリティ会社が独自に調査し公開している情報もある。ただし、これだけで全てカバーすることはできないため、調査能力の高いセキュリティ会社の協力が欠かせない。


・アタックサーフェース(Attack Surface)の管理・・・アタックサーフェースは攻撃者が攻撃対象にデータを入力または取り出しが可能な箇所の集合である。この箇所を明らかにし、基本的には可能な限り小さくし、残る箇所は防御する。


・攻撃者をだます・・・ディセプション(deception)とも呼ばれる手法で、攻撃者に対して偽の情報を与えて内部環境に誘導し、攻撃を失敗に終わらせる、という方法である。これは攻撃からの防御などの対策を行うまでの時間稼ぎとなる。なお、これを実施するには信頼でき、経験豊富かつ即時動いてくれるセキュリティ会社の協力が欠かせない。


・機械学習と振る舞い分析・・・新たな脅威は日々その巧妙さを増している。これらに対応するため、セキュリティエンジニアは膨大な情報の中からキーとなる情報を見出し、これをパターンとして取りまとめ、セキュリティ製品に実装するというのが従来からのプロセスである。その作業の中には、機械的に処理できれば、実装までのタイムラグは少なくなり、セキュリティ対策の有効性が一層高まる。特に、多くの情報から特定の関連性を見出す作業は、機械学習が得意とするものである。振る舞い分析は攻撃の挙動を足がかりにして脅威を検知するための手法で、未知のマルウェアに対しても対応可能という特徴を持つ。これにも機械学習が活用される。機械学習の実装が現実的になったことで、情報セキュリティ分野でもその利用に対する期待が高まっている。これはUEBA(User and Entity Behavior Analytics)として知られている。


・SOC/CSIRTの立ち上げ・・・SOC(Security Operation Center)はセキュリティ製品と連携する形でセキュリティ会社が運営してサービス提供しており、それを利用するのが一般的だ。CSIRT(Computer Security Incident Response Team)は、情報流出、フィシング、不正侵入、マルウェア感染、Webサイト改ざん、DoS攻撃など、情報システムの運用におけるセキュリティ上の問題となる事象に対して対応するチームのことだが、これを全ての範囲にわたって自組織内で構築したり、自組織でスーパーエンジニアを用意したりすることは現実的には難しい。自組織のある部署が担うというよりは、組織を横断的に動ける機能として準備するのが特に大きな組織では一般的だ。さらに、スーパーエンジニアが所属しており豊富な経験と情報を持つ信頼できるセキュリティ会社と協力して、セキュリティ運用の構築・運営をしていくのが近道だ。


・あえて攻撃を止めない(泳がせる)・・・製造業において、工場の生産ラインでは、各作業者は異常(または異常かもしれない)と認識した時点でラインを即時停止する権限を与えられており、それが1操作でできるようになっている。情報セキュリティに対しても攻撃という異常状態に対して実行不可能となるような措置を即時実行することは異常流出防止策といえる。一方、安全となるように攻撃の範囲を制御しつつ攻撃を継続させることにより、攻撃の操作は完了したが、攻撃者は有為な情報の取得に失敗する、という戦略も考えられる。結果的に攻撃は失敗となるだけでなく、攻撃者の手の内が明らかとなる。そして、その後に効果的な対策を重点的に実施することができる。これは限られたコストで最大に有効性を高めたい場合に取りうる策の一つとなりうる。さらに、こうして得られた情報を自組織内だけでなく、外部の多くの組織に認知されれば、攻撃者へのインパクトは大きくなる。


脅威情報交換の技術仕様

組織間において脅威情報を迅速に交換し共有することが欠かせない。同じ社内・グループだけでなく、公的機関をハブとして外部組織との間でも交換・共有することは有力な手段だ。これは既に技術仕様が定められており、特にアメリカにおいて推進されている。

STIXは、アメリカ政府が推進しているサイバー攻撃において、検知に有効なサイバー攻撃を特徴付ける指標(Indicator)などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様である。関連する情報を標準化された方法(XMLやJSON)で記述し、脅威や攻撃の分析、攻撃を特徴付ける事象の特定、攻撃活動の管理、攻撃に関する情報を共有するために開発された。

STIXで記述された情報はTAXIIと呼ばれる情報交換の技術仕様に則り交換する。


脅威情報交換の技術仕様
脅威情報交換の技術仕様

図1 STIXの構成  出典 2)



弊社では、脅威データに特化したサービスを展開しています。フィッシング、C2、IOC、スパム等のデータをお客様に提供しています。このデータはセキュリティ調査、DNS・電子メール・アプリケーションのログインといったアプリケーション、Splunk・ELKなどのログ監視で利用されています。

また最近、脅威データの範囲をダークネットにも拡げており、日々複雑・巧妙化する脅威に対応できるよう、取り組んでいます。



(出典)



Latest Articles

Latest Articles

bottom of page