空き巣に例えるサイバー攻撃 〜防ぎ切ることは諦めた時代〜
どうも、ITコンサルタントのShoheiです。
今日は前々回の記事の続編として、サイバー攻撃の守り方について説明していきましょう。
サイバー攻撃の目的
サイバー攻撃。年間ものすごい数起きていて、もはや人ごとじゃないよ、ということは以前説明しました。
では、犯人は何を目的にやってるんでしょう。
大きく分けると以下のようなタイプがあります。
愉快犯 (2000年ごろから)
「腕試しでやってみた」「騒ぎになってるのが楽しくてやった」というタイプの犯行です。
例でいうと、「○○省の公式サイトの中の、○○大臣の写真をドラえもんの絵に変えてやったぜ」みたいなタイプですかね。
特にお金などを儲けるためにやるというよりは、遊び感覚で個人がやるケースが多かったみたいです。
経済犯 (2003年ごろから)
以前説明したランサムウェアもそうですね。お金など、経済的被害を与える/経済的対価を得ることを目的としています。
企業のサーバなどに侵入して、クレジットカード情報や個人情報を抜き取るケースもこのタイプにあたるかと思います。
単純にお金を対価に犯行に走るケースもあれば、金銭的価値の高い情報を盗み取るような目的で実施されることもあります。また、評判を落として企業価値を落とす、もここに分類されますかね。
政治的意図 (2010年ごろから?)
政治的意図をもった犯罪です。信じられないかもしれないですが、国家機関レベルの組織が仕掛けた攻撃も存在します。
例として、スタクスネットというマルウェアがあげられます。
これはアメリカとイスラエルが共同開発したマルウェア。イランの核開発への反発を示すために攻撃を仕掛けたと言われています。
これにより、イランにある核施設のウラン濃縮用の遠心分離機のコントローラーが乗っ取られ、1万台近くの遠心分離機が稼働不能になったそうです。
サイバー領域に閉じない攻撃
もう一つ例をあげます。
2015年、BlackEnergyというマルウェアは、ウクライナの電力会社の変電所のシステムを攻撃し、一時的にその地域の電力供給を止めました。
上で述べた核施設の例もそうですが、もはや攻撃はサイバー領域に閉じずリアルな世界の破壊やインフラ停止にまで結びついてます。
IT自体が、リアルな世界とは切り離せない使い方をされてるからそれはそのはずですね。
これは言葉を変えると、サイバーセキュリティ対策をしっかりしなければ、リアルな世界や設備、ビジネス、まで破壊されてしまう、そんな世の中になってきているのです。
サイバー防御について考えよう
さて、攻撃の脅威についてお話したところで、サイバー防御について考えていきましょう。
サイバーセキュリティについて考える上で、以下の2つが大きなポイントとして挙げられます。
- ネットワーク側セキュリティ
- エンドポイント側セキュリティ
ネットワーク側セキュリティ
ざっくりいうと、自分の大切な情報が入っている領域に攻撃者やマルウェアを侵入させないための対策です。
例を少しだけ挙げるなら、以下のようなものがあたります。
IT用語ばかりでわかりにくい方は、空き巣対策に例えて以下のように理解してください。
- 空き巣が入ってこないように鍵をかける
- 怪しい人がいないかチェックするため庭に防犯カメラをしかける/防犯カメラに銃を仕込み、怪しい人がいたら撃つ
- 家の前にセキュリティゲートを設け、空き巣がよく使うピッキング道具などの持ち物検査をする
エンドポイント側セキュリティ
これは、ざっくり言うと、たとえ情報を保存しているPCやサーバーに相手がたどり着いたとしても、防御できるようにしよう、というものです。
これも例を挙げれば以下のようなものが考えられます
- パスワードをちゃんとかけておきましょう(パスワード強化)
- 使うパソコンやサーバーにウイルスが入ってきたら、退治するソフトを入れておきましょう(アンチウイルスソフト導入)
- 隙を作らないようにWindows Updateをちゃんとしましょう(ソフトウェアの最新化)
同じく空き巣対策で例えると以下のイメージですかね
- 家の中で、貴重品は金庫に入れておく。金庫にも鍵をかけておく。
- 金庫が家の外に持ち出されたら、警報がなるような仕組みを入れておく。
- 金庫も最新のもの、セキュリティ対策が万全のものを使うを使う。
進むセキュリティ対策、上回るセキュリティ攻撃
家の鍵だって、簡単にピッキングされないような鍵が使われるようになっていますし、防犯カメラを入れている家庭ももはや少なくありませんよね。
同様にサイバーセキュリティ対策も、どんどん進化しています。
ただ、空き巣の例でとってもわかるように、そういった大作をしたところで完全にそれが防げるかというと、そうではないですよね。
犯人は相当の技術で鍵を開けてくるかもしれませんし、バズーカーで壁を壊して入ってくる人もいるかもしれません。
小さなロボットが排水口から侵入してきて物品を奪っていくなんて予想外なやり方をしてくるかもしれません。
結局「こんな攻撃があるから対策しよう」という防御だけめは、犯人がやり方を変えたらその守りを破られてしまいます。
しかも、セキュリティ攻撃を仕掛ける側からすると、1つでも穴があれば侵入できます。セキュリティ攻撃は、攻撃側が圧倒的に有利なんです。
下の図は、ある有名な理論の図(Barrel Theory)です。
樽から水が溢れていますよね。水は樽の高さがもっとも低いところから流れ出ています。
セキュリティ対策も同じで、一つでも弱い部分(低い部分)があるとそこから情報を抜かれたり、マルウェアに感染したりしてしまうのです。
最近のサイバーセキュリティ対策の方針
最近の方針はこうです。
「完全に防ぐことはほぼほぼ不可能と割り切ろう。それよりは、攻撃されたことを素早く察知して封じ込められるようにしよう」
空き巣でいうと、「空き巣が入るのは完全に防ぎきれないんだから、入られたことを早く検知して早く警備員を呼び出して捕まえてもらうための仕組みを設けておこう」といったところですかね。
もちろんだからと言って家に鍵をかけない、などということではありません。できる防御は最大限やりますが、防御が破られることも視野に入れよう、というやり方です。(それだけ攻撃されることのリスクが高いので)
それを対応する部隊に、SOC(Security Operation Center)と呼ばれるものがあります。
ざっくりいうと、彼らはFirewallなどのセキュリティ機器から出されるログなどを監視し、何か異常なふるまいがあったら事態を早急に分析し、対処している部隊です。
SOCは、自社でもったり社外にアウトソースしたりしますり
防御するための危機だけで防ぎ切れないリスクを、運用でカバーしているのです。
まとめ
タイトルにもあるように、サイバー攻撃を完全に防ぎきることはできないとされています。
何かがあった時に、すぐに対処できる仕組みを作り、被害を最小限に抑えることが肝となっています。
今日はそんなセキュリティ対策方針について説明しました。