第371号コラム:佐藤 慶浩 理事(日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長)
題:「標的型攻撃にどう対処するべきか」

企業や組織での情報セキュリティ対策で攻撃という言葉が使われる。これは、攻守に分かれてスポーツの試合などをする際の守備と攻撃の関係を、情報資産を保護する組織とそこへの侵害を試みる者の関係に見立てたものだ。たとえば、サッカーであれば、ゴールを守る側と攻める側がいるようなものだ。

スポーツの試合ともっとも異なる点は、スポーツは試合の情勢によって攻守は交代するものだが、情報セキュリティの攻守は交代することはなく、攻撃者は一方的に攻撃し、企業や組織はひたすら守るだけとなる。

情報セキュリティ対策の課題のひとつとなるインターネットからの攻撃は、インターネット上に設置したゴールゲートが、攻撃にさらされるようなものだ。いまや、あらゆる企業や組織が何らかの形でインターネットに接続している状況は、さながら、インターネット上に膨大な数のゴールゲートが並んでいるようなものだ。攻撃者からすると、それらを無差別に攻撃して、どこでもよいから成功すればよいという攻撃と、特定の企業や組織に狙いを定めて攻撃するのかで手法が異なる。後者の手法は、標的型攻撃と呼ばれる。前者については、定まった呼称はないが、ここでは無差別攻撃と呼ぶことにする。

無差別攻撃は、一般的に多いとされる弱みを想定して攻撃し、その対策を怠っている企業や組織があれば、その確率論として攻撃を成功させるというものだ。たとえば、ゴールキーパーにとって左側の方が右側より弱いということであれば、すべての攻撃対象に対して左側を攻撃する。攻撃に失敗したからといって、右側に攻撃を変えるのではなく、別の対象に同じ攻撃をして、左側が弱いところで成功するまで対象を変えていく。一方で、標的型攻撃は、特定の企業や組織の状況を想定や推測をして攻撃をする。攻撃に失敗すれば、その対策が十分だったということから、別の想定や推測をして再び攻撃する。左側を攻撃して成功しなければ、右側を試し、次はまた違うところを攻撃する。これを成功するまで繰り返すので、標的型攻撃の対象として狙われてしまうと、守備側は不利な状態となる。

無差別攻撃については、世の中の被害事例に学んで、その攻撃に備えた対策をすれば、攻撃が成功する可能性を低くしていくことができる。簡単に言うと、一般的にやった方がよいと言われている対策は、一通りは講じておくべきということだ。

標的型攻撃については、他の被害事例に学んだ対策をしていても、不十分であることになる。それらの対策は講じるべきだが、それを防げば、攻撃者は、攻め手を変えて、また自分を狙ってくるからだ。

インターネットからの標的型攻撃に話しを戻すと、その代表例である、フィッシングメールの開封による標的型攻撃を考えてみる。無差別攻撃でのフィッシングメールには、怪しいメールを開かないなどのルールによる対策が行なわれる。しかし、標的型攻撃となると、企業や組織のメール受信者にとって不自然感がより少ないメールとなり、全員にそれらを開かないように徹底するのは困難だ。実際のところ、メールが怪しいかどうかは、開いてみないとわからない。という、そもそも論もある。

率直に言って、現時点では、守備側の業務環境やIT環境の弱さもあって、標的型攻撃の成功を完全に防ぐ守備方法はないだろう。しかしだからといって、それで終わりではない。そのような場合に考えるべきことは、攻撃が成功しても被害を少なくすることだ。

標的型フィッシングメールの例であれば、弱みに付け込まれているのは、技術と言うより人である。そうなると、その人が攻撃されても被害を少なくするような対策が必要だ。このことは、実はその人の意図的な不正による被害の減少にも役立つ。企業や組織で、従業員による不正に対処すると言うと気持ちのよいものではないが、従業員が攻撃されたときに備えると言うと、何か前向きだ。人が絡む改善は、同じ対策をするにも、人が前向きに取り組むという位置づけを常に意識すること、つまり、従業員をしらけさせないことは、実はもっとも重要だ。

このことは、標的型攻撃への対策は、情報セキュリティ対策だけで考えるよりも、情報戦略の改善に範囲を拡大して検討することが有益であることを示唆している。

人が攻撃を受けても被害を少なくするには、人が直接アクセスできる情報を限定することをまず実施しなければならない。必要最少限の情報へのアクセスとよく言われるが、情報に直接アクセスする必要があるのかに着目した最少化をすることが重要だ。

たとえば、データベースに格納されている顧客情報の宛名印刷をする業務であれば、全顧客の氏名と住所へのアクセスが必要だと短絡的に考えてはならない。それを手元にあるPCなどで体裁を整えてから印刷しようとすると、データへのアクセスが必要になるが、宛先データの抽出条件を設定して、体裁を整えて印刷をするという機能をシステムに設ければ、個別のデータへの人によるアクセスは必要ない。そこまでを視野に加えた、最少化をしなければならない。もちろん、文章のような自動化には向かないものもあるが、攻撃者から狙われやすそうな情報やデータについては、自動化できる余地がないかを徹底的に検討するのがよい。

さらに、情報への直接アクセスに代えた自動化を促進することは、攻撃による情報流出の予防に限らず、人の操作ミスによる業務不備の予防にも役立つ。そのように考えれば、これの対策に必要な予算は、情報セキュリティ対策予算というよりも、業務の自動化、効率化といった前向きの使途と位置付けることができるようになるかもしれない。

このとき、人が手元のPCで体裁を整えてから印刷すれば、体裁をいつでも柔軟に変えられるという自由度とのトレードオフが出てくるかもしれない。しかし、それを何とトレードオフするのかという点で、標的型攻撃が増えた現状では、その攻撃による被害の低減を要素に加えることが重要になっている。

これら一連の検討に必要なことは、情報セキュリティではなく、業務分析や自動化の知識や経験になるだろう。その際、この検討が情報セキュリティ侵害事故がきっかけだからといって、企業や組織の情報セキュリティ対策の枠組みに組み込んで位置付けるというのでは本末転倒だ。情報セキュリティ対策は、要件であって目的ではないのだから。

かつて、電算処理と呼ばれていた頃の業務分析に基づくシステム設計は、情報系のIT環境構築ではエンドユーザ・コンピューティングの名のもとに軽視され、PCの操作者が自由に加工や利用できるように、もとのデータに直接アクセスさせることが是であるとされてきた節がある。しかし、そこに基幹系で取り扱うべきような構造化データを、なし崩し的に安易に取り込んで済ませておくということでは、攻撃者の格好の餌食だ。

標的型攻撃への対処。それには、攻撃は成功するという想定が必要であり、仮に攻撃が成功したときの被害を少なくすることが、実は標的として狙われにくくなるという好循環を生み出すのである。それを情報セキュリティ対策だけでとらえてしまう企業や組織は、攻撃者との試合に勝つことは難しいだろう。敵は、標的のセキュリティ対策のみならず業務の特性を分析した上で、弱いところにシュートしてくるのだから。

【著作権は、佐藤氏に属します】