世界で最も攻撃される企業、MSのセキュリティ対策を学ぶ：セキュリティ強化塾（3/5 ページ）

攻撃者の「やる気」をそぎ落とす、4段階のセキュリティ対策

　この状況は、日本におけるこれまでのセキュリティ投資の「穴」を突いた結果だ。従来、セキュリティ対策といえば境界における防御力を重視し、「いかにしてやられないようにするか」ばかりを追い求めてきた。だが、サイバー脅威が高度化し、複雑化する中で、壁を高くするだけでは攻撃を防ぎきることは難しい。

　今日、セキュリティの専門家やメディアが「侵入を前提とした対策が必要だ」というメッセージを声高にうたう。ただし、このメッセージによって見落とされがちな点を忘れてはならない。それは、決して「侵入されて当然」ではないということだ。あくまでも境界の防御力を高める努力を続けた上で、それでも「やられた後にどうするか」を考えておくことが必要なのだ。

日本マイクロソフト クラウド＆ソリューションビジネス統括本部 Windows＆デバイス営業本部 本部長　中薗直幸氏

　では、具体的にはどう考えるべきか。マイクロソフトの答えは「攻撃のROIを下げる必要がある」だ。サイバー攻撃が高度化する理由は、端的に言えば「攻撃者にとってローリスク、ハイリターンである」からだ。

　「サイバー犯罪をなくすことは難しいでしょう。しかし、マイクロソフトは攻撃者が侵入できる確率を下げることが、彼らのモチベーションを断ち、ひいては企業を守ることにつながると考えています。これには4つの対策フェーズが有効です」（日本マイクロソフト クラウド＆ソリューションビジネス統括本部 Windows＆デバイス営業本部 本部長の中薗直幸氏）。

＜第1フェーズ＞準備

　最初の段階は、既存のセキュリティ対策である「防御力向上（やられないようにする）」だ。マルウェアが動作しないようにPCやサーバの権限や設定を適切に行うことが挙げられる。マルウェアがネットワーク内で増殖しないように、特に認証サーバの設定は配慮すべきだ。

＜第2フェーズ＞検知と分析

　次の段階が、上記でも挙げた「検知分析（やられていることをすぐに検知する）」だ。例えば、ネットワーク側の検知力を上げて、マルウェアがPCなどの端末にまで到達することを減らしたい。また、ホスト側では最新の攻撃を検知しやすい環境を整えておきたい。

＜第3フェーズ＞根絶、復旧、封じ込め／＜第4フェーズ＞事件発生後の対応

　第3段階と第4段階は「やられた後にどうするか」である。まず、第3段階では「被害軽減（やられても被害を小さくする）」のための対策を考えたい。そして、第4段階では「事後対応（やられた後でも、情報を保護する）」ことを考えたい。例えば、適切な情報保護のためにパスワード盗難対策を講じたり、データを盗まれてしまっても情報が読みだせないように暗号化を行ったりといたことが挙げられるだろう。

コラム：見えない攻撃の「検知力」をどうやって計測するのか？

　検知力を上げよといっても、既存のセキュリティ対策をすり抜けるような「見えない」攻撃を検知し、計測することは難しい。このジレンマに対してマイクロソフトでは、社内に「レッドチーム」と呼ばれる部隊を編成している。 　

　セキュリティの専門家で構成したレッドチームは、マイクロソフトが運営しているWindows Azureや「Office 365」などのクラウドサービスに対して疑似的なサイバー攻撃を仕掛けるのだ。

　このように書くと「侵入できるか否か」をチェックするペネトレーションテスト（侵入テスト）のように思えが、それが「第1フェーズ」、つまり防御力の検証であるのに対し、レッドチームは実運用環境における検知と分析（第2フェーズ）から、根絶、復旧、封じ込め（第3フェーズ）、事件発生後の対応（第4フェーズ）までの検証と強化を目的としている。