{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
攻撃者を欺く攻めのセキュリティ技術、サイバーデセプション
サイバー攻撃の驚異的な進化に対し、防御する企業や組織は後手に回っていると言わざるを得ません。従来のサイバー攻撃対策は、それを迂回する攻撃手法が台頭すると無力に等しくなるという致命的な弱点を抱えており、防御側は新しい攻撃手法に一つずつ対処していくほかないのが実情です。
このような状況を打破すべく、「アクティブディフェンス」という理念が企業に求められつつあります。これは、サイバー攻撃の都度対策を講じる受動的な取り組みではなく、能動的に攻撃者にアプローチする考えを言います。今回は、この手法の一つである、攻撃者を罠にかけて捕捉する「サイバーデセプション」について紹介します。
サイバーデセプションとは
サイバーデセプション(以下、デセプション)は直訳すると「欺くこと」を意味し、その言葉通り、ネットワーク内に配置した罠(偽の情報など)を用いて攻撃者を欺き、攻撃を遅延・阻止する手法を指します。「デコイ」(囮)と呼ばれるこの罠は実際に利用されるサーバーやサービス、アプリケーションなどを模しており、それを罠と知らずに触れた攻撃者を検知する仕組みであるため、サイバー攻撃が進化したとしても、その効果が陳腐化することはありません。
囮を利用するという点において、デセプションと類似した技術に「ハニーポット」があります。ハニーポットは古くから存在する技術であり、一般的には誰でもアクセスできるインターネット空間に設置され、主に攻撃の内容の偵察や調査・分析に用いられてきました。それに対してデセプションは、攻撃の検知や遅延を目的に、組織の内部ネットワーク環境に設置します。ハニーポットの応用型と言うことができるでしょう。
デセプションの仕組み
ここからは、デセプションの仕組みを具体的に見ていきましょう。簡単な例として、企業の業務用端末に罠を仕掛けるケースを説明します。
攻撃者は、端末上にパスワードを含むアカウント情報が記されたファイルを発見すると、その接続履歴などを駆使して当該アカウントの悪用を試みると考えられます。デセプションは、その攻撃者の行為を逆手にとって、あらかじめ偽のアカウント情報を記したファイルを囮として配置し、この情報が悪用された場合に検知するのです。
当然ながら、実際のデセプション環境はより複雑で、さまざまな罠を幾重にも配置し、攻撃者を確実に罠にはめる巧妙な仕組みが必要です。企業や組織のITシステム環境において成立し得る攻撃シナリオに基づき、特定のコマンドやスキャン行為に対して偽の情報を返答するモジュールや、SIEM(Security Information and Event Management)などを活用してデセプション環境を構築するといった対応が求められます。以下にその流れを記します(図表2)。
デセプションの効果
あらためて、デセプションを利用することで期待できる効果を整理します。
セキュリティ態勢の向上
デセプションは、攻撃手法の新旧にかかわらず、企業や組織のシステム内に侵入した攻撃者の活動に対する気づきを与え得る、組織全体のセキュリティ態勢の向上が期待できるソリューションです。また、囮となる情報やサーバーは正規のシステムに基本的に干渉しないため、導入後の運用負担が軽く、誤作動などによる企業活動への影響も少ないという特長もあります。
インシデント対応能力の強化
囮となる情報に導かれた攻撃者の活動は正常な企業活動と明らかに異なるため、非常に高い精度で攻撃を検出し、分析することが可能です。また、アラートの精度が高いことから攻撃の内容や被害状況を推測しやすいため、アラートごとにどう対処するのか、手順を事前に整備することができます。
サイバー攻撃被害の軽減
正規のサーバーを模した囮サーバーを利用すると、攻撃者がそこに留まっている間は正規のサーバーへの攻撃の拡大を抑えられ、攻撃への対処に向けた猶予時間を稼ぐことができます。
デセプションの導入時に考慮すべき2つのポイント
ここまではデセプションのメリットを語ってきましたが、安易に導入することで、かえってサイバー攻撃を活性化させてしまう可能性があります。最後に、私たちが考える導入時における考慮事項を紹介します。
有効な囮の選択
企業や組織によって保護すべき情報資産やシステムの環境は異なり、攻撃の手法や侵入経路も変化します。そのため、組織によって有効な囮の種類や設置するポイントは異なってきます。自組織で発生し得るリスクシナリオを定義・評価し、その結果を踏まえて最適なデセプションの方法を選択することが重要です。
事前のリスク確認の徹底
囮サーバーは攻撃者にアクセスされることを前提としているため、囮サーバーやその周囲の環境が脆弱な場合、デセプションがセキュリティホールとなる可能性があります。デセプションが被害拡大のきっかけとならないよう、前述のリスクシナリオ評価と合わせてペネトレーションテストをはじめとする準備を行い、リスクがないかを確認した上で導入する必要があります。
デセプションは従来のセキュリティを強化するものであり、それ単体で完全なセキュリティを担保するものではありません。攻撃者の侵入を未然に防ぐ対策を講じた上で、仮にそれらのセキュリティが突破された時のための対策であることにご留意ください。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
