特別対談

  1. ホーム
  2. 特別対談トップ_page 01
  3. page 07

サイバーレジリエンス時代に求められる
ネットワークフォレンジックス

07止める対策から証拠を残す対策へ

イメージ

【 この対談は2019年10月に開催され、記事内容は当時のものです。何卒ご了承ください。 】

藤原
これまでの「セキュリティ」は、「侵入させない」「事故を起こさせない」、そういう事が起こったら対象を罰するといった考え方でした。これからは、軽微なものも含めて様々な事象は起こるが、起こることを前提とした対策を練ることで、日常業務の効率性や、仮に事象が起きた時でも事業継続性に影響しないようにすることが大切であるということが分かりました。
ただそのためには、それなりの対策を事前に準備しておく必要はあると思うのですが、どういった準備が重要になるのでしょうか。
門林
これまでの発想だと、ファイアウォールやIPS(侵入防止システム)のような、事故を起こさせないための投資の方にすごく偏っていた様に思うのです。そうすると、「検知ができます」あるいは「止められます」「だから悪いことは起きません」みたいな話になってしまっていました。でも、従業員が詐欺メールを踏んじゃうのが9割という前提に立つと、そういった対策で止めきることは難しいので、事後対策が重要になってきます。
例えば、ITに詳しくない従業員がフィッシングサイトに行って、「何かおかしい」と思いながらも、5時間後に「外回りで忙しかったから今になった」と言いながら、セキュリティ担当にノートパソコンを持ってくる、といったことは少なくないわけです。その際に「5時間前の話でよく分からないから、対応はこれで終了」では困るわけです。
藤原
5時間前に一体何が起こったのか、理解できるようにしておかなければ、まずいと。
門林
はい。事後対応で大事なのは、軽微な兆候もおざなりにしないということです。「9割の事故はフィッシング詐欺から始まる」という話ですが、その兆候は軽微なものです。
あまり目立った動きをしないマルウェアが入ってきて、数ヶ月後にバージョンアップしながら大きく成長し、企業ネットワークに甚大な被害を与える、という事象ですからね 。
藤原
軽微な兆候から甚大な被害が発生するまで数ヵ月とのことですが、こうしたことが発生する場合は、どのような期間を目安に進行してしまうのでしょうか。
門林
数ヶ月から、長いものだと2年かけて進行するといった場合もあります。半年前にクリックしたフィッシング詐欺のメールとか、普通は覚えていませんよね。でも実際に、標的型攻撃の対応で現場確認に行くと、「実は半年前から軽微な兆候は出ていました」というケースは少なくないです。
藤原
自分が半年前にうかつにクリックしてしまったフィッシング詐欺のメールの影響が、半年後に顕在化して、大きな事件となって自分に跳ね返ってくるとは、非常に恐ろしいですね。
車をぶつけた時は、物理的な衝撃で「ぶつけた」とすぐに分かりますが、ITの世界は何が起こっているかが目に見えない形で徐々に進行していきますので、まるで「がん」の様なイメージです。
門林
そうですね。 なので長期的に事件事故の証拠が残ることは、すごく大事です。
車のドラレコですと保険会社の方が確認したら、「お客様から当たりましたね」とか、「相手からの貰い事故ですね」とか、「相手は飲酒運転でしたね」とか、即時に判断できる場合もあります。
そういった専門家に見せるための状況証拠も含め、記録を取っておく必要があるのです。そうした記録が無いと、被害にあった現場に行ったとしてもログ(コンピュータの動作記録)すら無ければ、どうしようもありませんから。
藤原
インシデントレスポンスで重視するべき内容として、ログが非常に重要であるということでしょうか。
門林
ログであったりパケットキャプチャ(ネットワークで送受信されるデータの記録)であったりといった通信記録ですね。あと、ハードディスクにも侵入の痕跡があるかもしれません。痕跡情報は、できるだけ取っておくということが基本です。

Next Page » サイバーレジリエンスとフォレンジックスの関係

プロフィール
人物 門林 雄基 (かどばやし ゆうき)
奈良先端科学技術大学院大学 情報科学研究科 サイバーレジリエンス構成学 教授
2009年より国際電気通信連合電気通信標準化部門(ITU-T)においてサイバーセキュリティの国際標準化に従事、2013年より同作業部会ラポータ(主査)。
サイバーセキュリティに関する日欧国際共同研究プロジェクト「FP7NECOMA」研究代表者、独立行政法人情報通信研究機構「サイバーセキュリティ研究センター」招聘研究員などを務める。
人物 藤原 礼征 (ふじわら ひろゆき)
トーテックアメニティ株式会社 トーテックサイバーセキュリティ研究所 所長
1974年生・大阪府出身。大阪大学基礎工学部卒業後、大阪大学大学院基礎工学研究科に進むと同時に会社設立。
ソフトウェアアーキテクトとして、ソフトウェアの設計・開発の技術力に内外からの厚い信頼があり、様々な会社や研究機関において研究開発や製品開発に携わる。
2012年「トーテックサイバーセキュリティ研究所」所長に就任。