特集

最新のIT技術情報や旬な話題をお届けいたします

Macnica Networks DAY 2012基調講演レポート“敵を知る”意識改革が必要に!敵のコストを増幅させる「アクティブディフェンス」のススメ

Macnica Networks DAY 2012基調講演レポート“敵を知る”意識改革が必要に!敵のコストを増幅させる「アクティブディフェンス」のススメ

夏の日差しが照りつけ梅雨の晴れ間となった7月10日、今回で7年目を迎える「Macnica Netoworks DAY 2012」(同時開催:Macnica Solutions DAY 2012)が品川にある東京コンファレンスセンターで開催され、セキュリティ対策やリスク・マネジメントに関する最新トレンドをキャッチアップするべく多くの人が会場に詰めかけた。 「いち早く、より深く、さらに高みへ。提案力と技術力の融合~真のセキュリティがここに。」をテーマに開催された今回は、基調講演に世界的に著名なスピーカーを招き、企業が認識しておきたいセキュリティの現実をはじめ、業界全体が向かうべき新たなアプローチ方法など、セキュリティの新潮流について紹介した。今回は、そんな基調講演の概要についてレポートする。

セキュリティ戦略に「追跡」という概念を!

今回の基調講演には、セキュリティ分野の世界的ベストセラーとなった『Hacking Exposed: Network Security Secrets & Solutions』の共著者であり、高い機密性が求められる企業の知的財産や国家機密の保護の支援に焦点を置いたセキュリティ・テクノロジ企業であるCrowdStrike社CEOであるジョージ・カーツ氏と、元McAfee社Executive Vice Presidentで、情報テクノロジ分野で幅広く活躍し、現在はCrowdStrike社Chairmanであるゲルハルト・ワッツィンガー氏が登場。企業が置かれている状況やセキュリティに関する現実、そして新たなアプローチについて語った。

まず、ワッツィンガー氏が壇上に現れ、PCやサーバ、ネットワークを包含する高度なプロテクション技術が登場しているにも関わらず、日々ネットワークへの侵入や情報漏えいなどセキュリティインシデントが後を絶たない現在の状況について言及。単純なマルウェアに対してはこれまでの対策でも十分に機能してきたが、今後はさらに新たなコンポーネントを戦略に加える必要性があると力説した。

「例えば、一方の家には誰もおらず、もう一方の家にはブルドックがいる。泥棒の立場になれば、ブルドックを手なずけるだけの時間もコストも掛けたくないもの。サイバーセキュリティにおいても同じ考え方が当てはまります。」つまり、防御的な手法だけでなく、より攻撃的な環境をつくっていくことによって攻撃者を排除していこうというのだ。

さらに、単に侵入者を排除するだけでは意味がないとワッツィンガー氏。 「現実世界で犯罪が起きたときに犯人を追跡する警察がいるのと同じように、組織の中の侵入者を「追跡」することで、侵入者にどういった動機があるのか、どういった情報を求めているのか、どのように侵入したのか、などの貴重な情報を得ることができます。この「追跡」という概念は、企業におけるセキュリティ戦略に取り入れておきたい重要な要素なのです。」

サイバーセキュリティにおける3つの大きな変化

その理由は大きな“3つの変化”にあるとワッツィンガー氏は主張した。 まず一つ目に挙げられるのが「攻撃の多様化」だ。企業内にあるサーバやPC、ネットワーク、そして物理的なインフラは強固に守られているが、クラウドコンピューティングをはじめ、スマートフォンやモバイルアプリなど、セキュリティが不十分な領域にまで組織が大きくなっていると説明。世界有数の投資会社において、Webカメラをハッキングして取締役会の模様をモニタし、ホワイトボードに書かれたIDやパスワード情報を含めた情報漏えい事件にまで発展した事件を挙げながら、「敵は必ずしも従来のエンドポイントを攻撃してくるわけではありません。」と、新たな領域でのセキュリティは十分ではないことを指摘した。

次に挙げられるのが「攻撃動機の変化」だ。単なるハッカーから、現在では貴重な情報を狙う大規模な組織犯罪になってきている傾向にあると分析。エネルギー/石油産業を狙った標的型攻撃(APT)により、パイプラインや油田の入札情報が数年間搾取され続けた「Opreration NIGHT DRAGON」と呼ばれる産業スパイなどの例をはじめ、クレジットカード番号を搾取して闇市場で販売する消費者詐欺などは、もはや単なるハッカーとは言えないとワッツィンガー氏。さらに、イスラエルとアメリカの協力関係で作られた「Stuxnet」や中国が関与した「GhostNet」など、国家そのものがサイバー攻撃に関与するという事例も登場。「2012年5月にアメリカ政府が公式にアルカイダのWebサイトを改ざんした事実を発表したことは衝撃的だった。」と語った。他にも、水質汚染など社会インフラに攻撃を仕掛けるテロリスト活動や、政治活動家として最近注目を集めるハクティビズムなど、これまで以上に動機は実に多岐に渡ってきているという。

そして3つ目に挙げられるのが、「Web活用の大きな変化」だ。これまでは企業と消費者がそれぞれ異なるセキュリティ技術を導入していたが、両者をより曖昧にする新たな2つのプラットフォームが登場し始めた。それが「ソーシャルメディア」と「モバイル」である。

例えばソーシャルメディアでは、100万ユーザを獲得するのに、ポータルサービス企業のAOLは約9年間かかったのに対し、Facebookでは約9カ月、写真を共有することができるInstagramではわずか9日間しかかかっていない。サイバー攻撃は、このようなマスマーケットをターゲットにする傾向にある。特に9億ユーザがいるFacebookには5700万社の企業が参加しており、今では消費者と企業が融合するプラットフォームとなっている。これはハッキングする手段の1つになりうるもので、これらも含めてセキュリティを検討していく必要がある。

また、モバイルプラットフォームという観点では、スマートフォンやタブレットがPCの出荷台数を上回り、今ではインターネットトラフィックの10%がモバイルを経由したものとなっている。「2015年までには全トラフィックの40%がモバイルになるという予測もあり、消費者と企業を結ぶ大規模なプラットフォームとしてハッカーやサイバー犯罪者が攻撃を仕掛けてくることは十分考えられるのです。」とワッツィンガー氏は警告した。

最後にワッツィンガー氏は、まずはセキュリティ侵害が避けられない現実であることをしっかりと受け止めることが重要であり、「すでに侵害されているということを前提に、積極的に対応していなければなりません。」と説いた。また、動機の多様化によって対策ポイントが混沌とする中、攻撃の動機をしっかりと明らかにしていくことで、優先順を付けていくべきだとも。さらに、企業と消費者の関係が曖昧になる中、セキュリティ企業だけでなく政府やNPOなどと一致協力して情報共有を行い、インターポールのような全世界を横断的に情報収集できるクラウドベースのシステムの構築、そしてサイバーセキュリティへの新たな戦略として敵のコストを増大させるための仕組みを構築していくことが何よりも重要だと語った。

「本当の問題はマルウェアが何かではない」敵中心の考え方へのシフトを図る

続いて登壇したカーツ氏は、「銃の代わりにキーボードが使われているだけで、サイバーセキュリティとは、まさに戦争なのです。」と語り始め、消費者と企業が融合するモバイル市場へとそのターゲットの中心が移り変わってくると近未来を予測。以前はサーバやPCを中心にAPTを仕掛けてきていたものが、今ではその対象範囲がモバイルにまで拡大している状況にあると市場を分析し、「カメラがついていて、インターネットにつながり、メールや情報が一つのパッケージに入っているスマートフォンは大変便利なツールですが、敵も当然この部分を狙ってきます。」と警告した。

ここでカーツ氏は、以前RSAのキーノートで実際に行ったデモを例に、モバイルにおけるAPTでいかに簡単にかつパワフルな攻撃を行うことができるのかを紹介。フィッシングメールを経由して最終的に音声やメールの傍受や情報の搾取を可能にする手順を披露しながら、「敵に立ち向かわなければならない」とカーツ氏は主張した。

しかし、実際には、単純なマルウェアは既存の対策で防げているものの、昨今のAPTのような高度な攻撃に対しては、感知しているか否かの違いはあっても大企業のセキュリティが次々に破られているのが実態だ。この状況を、第一次世界大戦後のフランスの陸軍大臣が敷設した防衛線「マジノライン」を例に挙げてカーツ氏は分かりやすく説明した。「強固な防衛線を構築したフランスの裏をかき、その防衛線を回り込んでドイツが侵入してきた状況が、まさに今のサイバーセキュリティの状況そのもの。アンチウイルスやIPSなど、防衛線となるセキュリティの壁を強固にしていったとしても、敵は長い梯子を持ってその防衛線を楽々突破してきており、すべてを侵入させまいとする考え方には限界があることを知るべきなのです。」 そして、次のように続けた。「企業ではアンチスパムやIPS、Webゲートウェイなど様々な技術を駆使して多層防御を構築し、従来のマルウェアを防いできました。多層防御は確かに有効な防御策です。しかし、テロリストやハクティビスト、さらには国家など脅威の高度化が進み、指数関数的に脅威が複雑化してきている今、多層防御でさえも破綻してしまっている状況なのです。」

次にカーツ氏は、セキュリティ業界に対して疑問を投げかけた。
「脅威が格段に進化しているにもかかわらず、セキュリティ業界自体の進化は遅れています。企業は25年以上前に開発されたブラックリスト方式に現在でも依存しており、悪いものを理解して、それを防御しようとしているのです。多くの企業は、マルウェアが問題だと考えていますが、本当にそうでしょうか。実は一番の問題は“敵”なのです。」

つまり、セキュリティ業界は、これまでデジタルの弾丸ばかりに目を向けてきたが、実はその弾を撃った人に注目するべきだとカーツ氏は指摘する。そして、CrowdStrike社はこの敵を知ることに情熱を注いでいる企業だと改めて力説。「もしマルウェアがしゃべれるのであれば、なぜ作られたのか、誰が作ったのか、何をターゲットにしているのかなど、それぞれストーリーがあるのです。」と語った。さらに、「マルウェアとは何か」というポイントから、これまでセキュリティ業界が目を向けてこなかった「敵は誰か」「意図は何か」というポイントに視点を移し、これらをつなぎ合わせ、TACTISC(戦術)、TECHNIQUES(技術)、PROCEDURES(手順)の「TTPチェーン」を探していくことで、自分たちが守べき資源が明らかになり、インテリジェンスなネットワークディフェンスが可能になるとカーツ氏は主張した。

サイバー戦争に勝つ!ポイントはコストとOODAループ

また、ワッツィンガー氏が語っていた「敵のコストを増大させる」という考え方について、「決して敵に攻撃を仕返すのではなく、“アクティブディフェンス”という戦略を取ること」だと語る。つまり、攻撃を少し困難なものにしようという試みだ。一般的に、企業に攻撃を仕掛けるためには、単にマルウェアを作成するだけでなく、スピアフィッシングの実行やマルウェアとのコミュニケーションを図るためのコマンド&コントロール(C2)チャネルの設定、ターゲットとなる犠牲者のプロファイリングなど、多くの作業が必要となる。これら手間のかかる作業をゼロから何度もやり直させることによって、敵側のコストを増大させることができるようになる。つまり、ネットワークに侵入してきた敵に偽の情報を渡し、それを分析させることでより時間とコストを掛けさせる、といった手段が考えられるというのだ。

さらに、アメリカ空軍のジョン・ボイド大佐によって提唱された、Observe(監視)~Orient(情勢判断)~Decide(意思決定)~Act(行動)の「OODAループ」と呼ばれる考え方を紹介し、これをサイバー戦にもあてはめるべきだと説明。情報を可視化して早期に意思決定することの重要性を説き、「敵よりも早くOODAループを完成させることができれば、相手が何を狙っているのかが理解でき、長期的な戦闘に勝利することができるのです。」と持論を展開した。

最後にカーツ氏は、戦いは今後、モバイル市場で行われることになり、アクティブディフェンスを用いて可能な限り敵のコストを増大させることが重要だと総括。そして、敵よりも早くOODAループを完成させる必要があり、さらにマルウェア中心の考え方から業界全体を敵中心の考え方に移行させていなければならないと改めて主張を繰り返した。

ワッツィンガー氏、カーツ氏両名の講演を聞きに多くの方が会場に詰めかけたことで、メイン会場だけでは足らずにサテライト会場も多くの人で溢れ返った今回の基調講演。「敵のコストを増大させる」という従来とは異なる発想に、新たなセキュリティ時代の可能性を感じる内容だった。著名なスピーカーだけに多くの参加者が熱心に耳を傾ける姿が印象的で、セキュリティに対する参加者の意識の高さが改めて垣間見えた講演になった。

講演後に直接ワッツィンガー氏とカーツ氏に直接インタビューする機会を得て、“攻撃者”そのものに目を向けるようになった発想のきっかけを尋ねたところ、「多くの侵害された企業でセキュリティ対応をしている中で、背景情報に全く目を向けず、マルウェアを探して問題を解決しようという傾向が見られたことに違和感を覚えるようになった。」とカーツ氏は振り返る。また、深刻な被害を及ぼすマルウェアと単なるシンプルなマルウェアをまったく同じように考え、同じように対処している現状を見たときに、それぞれ違う対応をすべきだと感じだという。

そして、カーツ氏は敵を知ることで攻撃を防ぐという手法について、「人間は習慣を捨て去ることが難しいため、新たにマルウェアを作成したとしても手段手法は大きく変わりません。相手が分かることでその特長が把握でき、新たなマルウェアが生み出されても具体的な対策を講じることができるのです」と自信をのぞかせていた。

いつか見た景色 from Staff's Albums