【実録】従来の情報漏えい対策が限界を迎えた日

記憶に新しいWannaCryによる全世界での被害。相次ぐ標的型攻撃による情報漏えい被害。激化・巧妙化する攻撃の一方で、もはやIT機器なしでの業務は考えられないほど、IT機器の活用が浸透しています。
今回は、とある企業でのセキュリティインシデントに関するお話しを取り上げます。

この企業では、数千台のエンドポイントを抱え、複数のエンドポイント対策製品を導入。
ネットワーク上のセキュリティ機器も複数導入し、他社と比較しても高いセキュリティ対策を施している企業です。
この企業で起こったセキュリティインシデントのお話しをご紹介します。

情報の取り扱いは企業の生命線となる為、その企業では情報システム部門内にセキュリティ対策チームを置くなど、脅威への対処を行う体制を構築しています。社内にはCSIRTも構築、セキュリティに関する社内ルールも設定し、定期的な改善・訓練も行うなど、一般的な企業同様に対策を行っています。
セキュリティ対策チームは定期的に、端末からのログ取得、ネットワーク機器からもログを集め、日々ログの確認を行い、問題のある通信がないか、技術者が確認を行っていました。
現時点では、WannaCryや各種マルウェアのまん延でも被害を受けることなく、日常的なサイバー攻撃の被害を未然に防ぐことができています。

ある日、担当者がいつも通りにログをチェックしていると、不審な通信と大量データ通信の痕跡を発見しました。
不明なIPアドレスに対して、GB単位のファイルが送信されているようです。
どうやらその通信は社外秘の情報を扱っている端末ユーザであるようでした。
もし、重要な社内情報が外部に漏れてしまえば、一大事。早期の対処が必要と判断され、すぐさまCSIRTのメンバーに報知。
役員を含む20名ほどの緊急対策チームを組織。関係者は日常業務をすべて止め、日夜、特別対策室に缶詰となり、より詳細な調査を開始しました。
平行して、解決の早期化の為に外部業者での解析も急遽委託。勿論、急な委託なので、コストは度外視。
ネットワーク機器を購入できるようなレベルのコストが発生しましたが、緊急事態の為、仕方なく費用を使うこととなりました。
調査を進めていった結果、判明した原因は業務上必要な通信であり、事なきを得ました。

結果として情報漏えいではありませんでしたが、情報システム部門にとって大きな課題を残すこととなりました。
それは、「現場での対応の限界」です。担当者は通常の業務としてログ確認を行っていましたが、全体を俯瞰しての関係性を確認することは難しく、一部分だけを取り上げた結果、今回のように“疑い”の状況ですぐに結果をえることができませんでした。

また今回は特に大きな事案になりましたが、実際に検知→調査に至った大小さまざまなケースを調べると、誤検知だったケースが圧倒的に多く、実際に不正なものであった割合は1％未満であることがわかりました。
つまり、現場の対応を続けるのは、費用対効果としても今後対策を続けていく点でも、最早限界だということが明確になったのです。特に調査では特定の仕組みのログだけでなく、横断的にログを調査していく必要があり、高いスキルと多くの時間を要します。
情報漏えいという緊急時に、現状のままでは被害を拡大しかねないという課題が浮き彫りになりました。

この一件と、東京オリンピックを目前に更なるサイバー攻撃の激化の恐れがある為、この会社では新たなエンドポイント対策を講じることとなりました。
より詳細なエンドポイント情報の収集と、グローバルレベルで知見を溜めているSOCを組合せた対策に切り替えることとなりました。
従来のエンドポイント製品の組合せでは実現できなかった詳細なログ取得と、専門家の組織的な分析を組合せることで、調査負荷の軽減と同時により詳細な調査をできる体制を構築しました。

今回、とあるセキュリティインシデント（未遂）のお話しを取り上げました。
幸いなことに情報漏えいは発生しなかった事例となりますが、同じことは、今日あなたの会社で起こるかもしれません。
特にオリンピックが開催される国では、サイバー攻撃が激化する傾向にある為、現在の対策を続けることは今後企業にとって大きなリスクとなるのです。

この事例では、エンドポイントセキュリティのひとつである、Endpoint Detection and Response（以下、EDR）と呼ばれる考え方で対策を行っています。EDRを検討する具体的な課題、活用事例と活用のポイントについて、より詳細に掲載した資料もご用意しています。次の標的型攻撃を考える材料として、ご活用ください。