
AI時代に日本企業が取り組むべき5つの偽情報対策
2024年は、世界各国で選挙が実施される選挙イヤーです。それに伴い、デジタル空間を通じて偽情報を拡散する情報戦への警戒が高まっています。企業を取り巻く偽情報の脅威動向を整理した上で、日本企業が取り組むべき偽情報対策について解説します。
サイバー攻撃の驚異的な進化に対し、防御する企業や組織は後手に回っていると言わざるを得ません。従来のサイバー攻撃対策は、それを迂回する攻撃手法が台頭すると無力に等しくなるという致命的な弱点を抱えており、防御側は新しい攻撃手法に一つずつ対処していくほかないのが実情です。
このような状況を打破すべく、「アクティブディフェンス」という理念が企業に求められつつあります。これは、サイバー攻撃の都度対策を講じる受動的な取り組みではなく、能動的に攻撃者にアプローチする考えを言います。今回は、この手法の一つである、攻撃者を罠にかけて捕捉する「サイバーデセプション」について紹介します。
サイバーデセプション(以下、デセプション)は直訳すると「欺くこと」を意味し、その言葉通り、ネットワーク内に配置した罠(偽の情報など)を用いて攻撃者を欺き、攻撃を遅延・阻止する手法を指します。「デコイ」(囮)と呼ばれるこの罠は実際に利用されるサーバーやサービス、アプリケーションなどを模しており、それを罠と知らずに触れた攻撃者を検知する仕組みであるため、サイバー攻撃が進化したとしても、その効果が陳腐化することはありません。
囮を利用するという点において、デセプションと類似した技術に「ハニーポット」があります。ハニーポットは古くから存在する技術であり、一般的には誰でもアクセスできるインターネット空間に設置され、主に攻撃の内容の偵察や調査・分析に用いられてきました。それに対してデセプションは、攻撃の検知や遅延を目的に、組織の内部ネットワーク環境に設置します。ハニーポットの応用型と言うことができるでしょう。
ここからは、デセプションの仕組みを具体的に見ていきましょう。簡単な例として、企業の業務用端末に罠を仕掛けるケースを説明します。
攻撃者は、端末上にパスワードを含むアカウント情報が記されたファイルを発見すると、その接続履歴などを駆使して当該アカウントの悪用を試みると考えられます。デセプションは、その攻撃者の行為を逆手にとって、あらかじめ偽のアカウント情報を記したファイルを囮として配置し、この情報が悪用された場合に検知するのです。
当然ながら、実際のデセプション環境はより複雑で、さまざまな罠を幾重にも配置し、攻撃者を確実に罠にはめる巧妙な仕組みが必要です。企業や組織のITシステム環境において成立し得る攻撃シナリオに基づき、特定のコマンドやスキャン行為に対して偽の情報を返答するモジュールや、SIEM(Security Information and Event Management)などを活用してデセプション環境を構築するといった対応が求められます。以下にその流れを記します(図表2)。
あらためて、デセプションを利用することで期待できる効果を整理します。
デセプションは、攻撃手法の新旧にかかわらず、企業や組織のシステム内に侵入した攻撃者の活動に対する気づきを与え得る、組織全体のセキュリティ態勢の向上が期待できるソリューションです。また、囮となる情報やサーバーは正規のシステムに基本的に干渉しないため、導入後の運用負担が軽く、誤作動などによる企業活動への影響も少ないという特長もあります。
囮となる情報に導かれた攻撃者の活動は正常な企業活動と明らかに異なるため、非常に高い精度で攻撃を検出し、分析することが可能です。また、アラートの精度が高いことから攻撃の内容や被害状況を推測しやすいため、アラートごとにどう対処するのか、手順を事前に整備することができます。
正規のサーバーを模した囮サーバーを利用すると、攻撃者がそこに留まっている間は正規のサーバーへの攻撃の拡大を抑えられ、攻撃への対処に向けた猶予時間を稼ぐことができます。
ここまではデセプションのメリットを語ってきましたが、安易に導入することで、かえってサイバー攻撃を活性化させてしまう可能性があります。最後に、私たちが考える導入時における考慮事項を紹介します。
企業や組織によって保護すべき情報資産やシステムの環境は異なり、攻撃の手法や侵入経路も変化します。そのため、組織によって有効な囮の種類や設置するポイントは異なってきます。自組織で発生し得るリスクシナリオを定義・評価し、その結果を踏まえて最適なデセプションの方法を選択することが重要です。
囮サーバーは攻撃者にアクセスされることを前提としているため、囮サーバーやその周囲の環境が脆弱な場合、デセプションがセキュリティホールとなる可能性があります。デセプションが被害拡大のきっかけとならないよう、前述のリスクシナリオ評価と合わせてペネトレーションテストをはじめとする準備を行い、リスクがないかを確認した上で導入する必要があります。
デセプションは従来のセキュリティを強化するものであり、それ単体で完全なセキュリティを担保するものではありません。攻撃者の侵入を未然に防ぐ対策を講じた上で、仮にそれらのセキュリティが突破された時のための対策であることにご留意ください。
2024年は、世界各国で選挙が実施される選挙イヤーです。それに伴い、デジタル空間を通じて偽情報を拡散する情報戦への警戒が高まっています。企業を取り巻く偽情報の脅威動向を整理した上で、日本企業が取り組むべき偽情報対策について解説します。
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
企業は自社のビジネスや組織、保有資産や施策導入状況などに鑑み、講じるべきセキュリティ施策を自ら選択する必要があります。この選択の際には、解決するべき課題が持つリスクを見極め、優先順位を設定することです。今回は「リスクスコアの算出フレームワーク」の構築・活用を紹介すると共に、次に実施すべき施策を導く方法について記します。
サイバーセキュリティ対策の考え方の主流は、「インシデント発生を前提として対策する」にシフトしています。インシデントへの対処を強化するためのツールである「サイバーセキュリティプレイブック」を整備するポイントについて解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。