ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

APT Summit Japan 「セキュリティ・インテリジェンスに基づく高度なサイバー攻撃への事前対策とCIRC事例」聴講報告

セミナ名:APT Summit Japan 「セキュリティ・インテリジェンスに基づく高度なサイバー攻撃への事前対策とCIRC事例」
開催日時:2012年6月12日 13:30〜18:30
会    場:東京都千代田区丸の内 銀行倶楽部
受講者数:8〜90人程度

[所感]

サイバー攻撃対策について、政府の対応についての報道は目にしていたが、今回、内閣官房参事官による詳細な話を伺えたのは貴重な経験であった。三権分立のために、内閣での対処策の国会側への施行がスムーズに行かないとの話は、言われてみればもっともな話であり、興味深かった。
EMC CTO, Curry氏による講演は、これからの情報システムへの脅威となるトレンドを述べ、それに対しどう対処するかについて述べたもので、示唆に富むものであった。
またEMC Director,  Shiek氏は、EMC内のCIRC(Critical Incident Response Center)を紹介したもので、報告者はその中でも特にトラヒックを監視し、0-day攻撃への対処も目的とするNetWitnessが興味深かった。

■情報セキュリティ対策に関する官民連携の在り方

内閣官房情報セキュリティセンター(NISC)参事官 木村裕司氏

大きなインシデントとして、昨年10月の、衆議院の議員PCや院内サーバへの攻撃、また同11月の、参議院議員のメール情報漏洩を紹介。これは三権分立の関係から内閣官房からは対策を「命令」することは難しく、また国会事務局が各議員に対して同じく「命令」することは難しいという、ある意味間隙を突いた攻撃だったとの事。
これらインシデントと前後して、昨年10月に情報セキュリティ対策推進会議内に官民連携強化のための分科会を設置、当該分科会の検討結果として、各省庁へのCSIRT(セキュリティインシデントへのレスポンスチーム)の設置と相互支援体制の確立、政府CISO(Chief Information Security Officer)の設置などが取りまとめられた。CSIRTは民間組織にも設置が推奨され、各CSIRTの調整役をNISCが担う体制となる。
昨年行われた標的型メールを用いた演習は、6万人を対象に行われたが、10%が引っかかった(開いてしまった)、今年は14万人程度を対象に実施を計画しているとのこと。

■最新のAPT攻撃手法と取り組むべき対策

EMC Corporation, RSA, The Security Division of EMC,  CTO Sam Curry氏

最も重要で影響力のある5つの破壊的(disruptive)トレンドとして
・すべてがクラウド: 新しいスタック
・ITのコンシューマライゼーション: 取り入れるか死か
・Cyber-何々: やってないとしたらバカ
・新たな通貨、製品、言葉 = 時間、インテリジェンス、リスク
・進化する状況…絶え間ない技術競争
を挙げ、これらトレンドの(一つではなく)同時進行に対処できるかが問題とした。

■EMC CIRCによるRSAの技術とインテリジェンスの活用

EMC Global Security Organization(APJ) Director,  Shiek Koon Hu氏

APTに対する防御を、Rockeed Martinによる”Kill Chain”のコンセプトに基づき説明。即ち以下のステップ。
偵察->武器化->配送->攻撃-> インストール->C2->実行

※Kill Chain自体は実際の戦術上の用語で、これを情報セキュリティの分野向けに勘案したもののよう。

これらステップ前半(検知)と後半(対応)の双方に投資すべきと主張。
EMC CIRC(Critical Incident Response Center)は、EMCにおいてセキュリティインシデントの調査から対応、管理を担う。CIRCを構成するプラットフォームは、

  • enVision……各機器のログ収集
  • Data Loss Prevention……e-mail及び添付ファイル、ファイル共有を監視し情報漏洩を検出
  • Archer……インシデントの管理
  • NetWitness……トラヒックキャプチャ
  • FraudAction Threat Intelligence
  • CIRC脅威インジケータ・ポータル(社内システム)

で構成される。

■Q&Aセッション

Q.APTの攻撃元は、国家なのか? 国家であれば、民間企業はどこまで対処すべきか?
A.APT攻撃元は国家と非国家(Hactivist等)に分類できるが、現状国家が主と考える。プライベートセクションでも様々なアライアンスを駆使して対処し、その上で公的セクタと協調すべきと考える。

Q.サイバー攻撃防御のための社員の統制、教育方法は?
A.社員による悪い振る舞いは認識不足から来ていると考える。これを正すための教育プログラムを設けている。また標的型phishingプログラムも行っている。
教育カリキュラムには試験もあるが、人は試験を効率よくパスする方法を学んでいってしまうため、ゲームのような方法を考えている。またいい振る舞いに対しては報酬を与えるといったことも試みている。

Q.リスク対策のスピードを上げるには柔軟性が必要と考えるが、組み込み型では柔軟性が失われてしまうのでは?
A.チェックボックス的機能はインフラに組み込み、AIのような機能は別に設けるといった構成をとるべきだろう.