ITセキュリティ・ラウンドテーブル・ミーティング
~民間企業におけるサイバー脅威、APT(標的型攻撃、持続的標的型攻撃)にどう対処するか?
企業に対しての攻撃だけではなく国家間のサイバー攻撃にどう対処するか?~
|
2013年9月30日アーバンネット大手町ビル21F LEVEL
XXI(レベル21)にて、「ITセキュリティ・ラウンドテーブル・ミーティング」(主催:NIKSUN
Inc.)が行われた。ニクサン社CEOのパラグ・プルティ博士をはじめ、YRP国際連携研究所所長の大森慎吾工学博士、公立大学法人会津大学の山崎文明特任教授、某中央省庁 管理職T氏、株式会社サイバーディフェンス研究所上級分析官の名和利男氏などの日本におけるサイバーセキュリティのトップスペシャリストが集い、現在の切迫したサイバー攻撃とその対策のについて活発な意見交換が行われた。 |
|
<前半:ニクサン社CEOのパラグ・プルティ博士のプレゼンテーション>
―米国での捜査活動「オペレーション・ファイアーウォール」への参加
 私共は1999年頃からアメリカにおいて、特に国家機関などとサーバーセキュリティ面での教育や情報の共有をしてきた。特に2004年と2005年にはシークレットサービスが行ってきた「オペレーション・ファイアーウォール」というサイバー攻撃に対する捜査活動に全面的に協力した。
この「オペレーション・ファイアーウォール」だが、世界中に散らばった40名前後の犯罪者がクレジットカード情報や銀行情報の盗難などを行っており、数百億ドルの被害が世界中で出ていた事案に対処するためのものだった。活動の結果として2004年から2005年にかけて実に28名の捜査対象者を逮捕する事が出来た。
この捜査に協力するにあたり、私共としてもいくつかのハードルがあったのも事実だ。従来のノウハウや技術だけでは迅速に容疑者を逮捕するのは難しいと感じていたのだ。つまり、この事案に対処するにあたり、特別なテクノロジーが必要であった。その特別なテクノロジーとは、セキュリティの専門家でなくても諜報活動や情報収集活動、分析を行うためのものを指す。
しかし一方でそうした特別なテクノロジーを製品として公開や提供をしてしまうと、犯罪者に逆に利用されてしまうのではとの懸念が政府側にもあり、私が政府に協力あるいは関与する際のセキュリティに関するテクノロジーやノウハウ等について外に漏らさないようによう強い要請があった。
つまり、これまでこの「オペレーション・ファイアーウォール」などで活用した私共の技術やノウハウについて非公開にして来たが、情勢の変化もあり私共のもっているサイバー攻撃に対処するノウハウを日本においても可能な限り共有させていただきたいと思っている。
私が日本に来るようになって10年以上になるが、残念ながら、日本社会の中でも他の国や地域同様にネット上での悪意ある攻撃が頻繁に起こっているのが実情だ。従って早急にしかるべき対処をする必要があるだろう。非常に切迫した状況だと考えている。
ビックデータ(この場合は、ネット上に流通する雑多な属性を持つ大容量のデータ、ネット上の巨大なトラフィックそのものを指す、以下同様)をもとにデータマイニングをしてGoogleのやっているような新しい解析方法が必要となってきていると感じている。
また、私が考えていることのひとつには、「単純に企業として収益だけを上げればいいという事ではない」という事がある。研究開発を充分に行うために必要なリソースを確保する事は大事だが、私の人生を通して、また企業活動の結果として、日本の社会にもより公益的な意知で貢献ができれば、これ以上素晴らしい事はないと思っている。
その意味からも、今回はみなさんと有益な情報共有ができればと考えている。
―NATO(北大西洋条約機構)で行われたカンファレンスでの招待講演の内容の共有
毎年ブリュッセルのNATOの本部でカンファレンスが開かれている。1200人以上のITセキュリティの専門家が28ヶ国から参加するようなカンファレンスに成長してきた。これから、この話題についてお話したい。基本的に公開されている情報についてだが、一部に秘密保持に関わるものもあるのでその点はお話できない点をご了承願いたい。
今回のカンファレスのテーマは、「クラウドのコンシューマザイレーションとコマンドのコントロール」だ。こうした課題にビッグデータの分析を使ったサイバー攻撃への防御方法に関するソリューションについて可能な限り共有したい。
クラウドのインフラは一つではない。インフラだけ見ても複数あるのでそれに対応する必要がある。インフラ、アプリケーション、サービス、プラットフォームでも対応方法は異なるし、パブリックとプライベートという観点でも分けて考える必要がある。それぞれの特性に合った対応が必要だ。あまり理解されていないが、こうしたそれぞれのクラウドのインフラ間でもコミュニケーションなどが行われ、深く連携しているのだ。
 もうひとつの観点として、コンシューマライゼーションの問題がある。これはセキュリティ担当者の頭を悩ませている。企業でも公的な機関でも様々なデバイスに対応しないといけくなって来ている。つまりコンシューマ側にどのデバイスを使えと指定するよう言えないわけで、エンタープライズの現場で特にこの問題は顕著に起こっている。また、アメリカ欧州、NATOなど政府や国際的な機関でもこのコンシューマライゼーションへの対応は喫緊の課題になってきている。
このコンシューマライゼーションによって様々なリスクが起こってくる。ひとつには、機密情報の漏えいなど情報漏れのリスクだ。もうひとつには、IDの盗難などの事象だ。また今回はそれ以上に顕著なDoS攻撃の危険に対する防御についてお話したい。実はこれこそコンシューマライゼーションがもたらした深刻なリスクのひとつだからだ。
ここで、社会的に影響力にあるDoS攻撃についての事例を紹介したい。「2012年1月19日」という日付についてなにか思い浮かぶだろうか?この日はアメリカの法務省が「メガアップロード」というサービスを閉鎖した日になる。同サービスは動画等のファイル共有サービスだ。米法務省がこのサービスを違法だと判断し、法に乗っ取って強制的に閉鎖した。これに反応する形で翌1月20日には、「アノニマス(有名なハックティビズム集団)」がサイバー攻撃を開始したのだ。この攻撃で連邦政府機関や音楽関連会社のサイトがその標的となった。
これは、必ずしも犯罪意識のあると言えない5600人を使って様々なサイトに攻撃をしかけられるという前例の無いものだった。twitter上のツイートに記述されたURLをクリックすると攻撃に自動的に参加してしまうように仕組まれたいたのだ。この際に使われたものが、「LOIC」と言われるもので、今でもWEB上からDLできる状態にある。
この「LOIC」は、その仕組みもソースコードも非常にシンプルになっている。しかしながら、WEBサービスにDoS攻撃を与える方法が、一定の時間をおいて断続的に攻撃するなど巧妙なものになっている。攻撃対象のWEBサイトなどにオーバーロード状態を起こすものだが、ユーザーサイドは大きなデータを扱わなくて済むので、そもそも自分が攻撃している事についての意識が薄い人すらいるのだ。こうした事態を事前に認識できてれば、対応はできたはずだが、現実には現場に情報がなく、WEBサーバーがダウンする状態が続出し、その期間も長いものとなった。
こうした事例からも分かる通り、従来型のツールは悪質な振る舞いを事前に蓄積しておいて、それに該当する挙動に対応するものが多かった。日本でもそういった方策に沿って対応策が練られて来た。こうした対応方法はもちろん一定の効果をあげてきたが、事例にあるように、それでは不充分な時代に入っている。
最先端の対応策はイベント収集をおこない、データベースに蓄積する方法をとる。それがSIEMだ。情報理論を蓄積した方が従来型よりも格段に効率がいいのだ。近年のネット上のやりとりは、データのボリュームが大きくなっており、スピードも速くなって来ているし、そのバリエーションも増えている。このような中でビッグデータを使ってどう対応するのか説明したい。
データやトラフィックのボリュームが増える以上、分散が必要だ。ローカルでの分散以上にデータウェアハウスの活用などをしていかなければならない。つまり新たなデ―タアーキテクチャを使う必要がある。一種の並列処理が必要だ。たとえば大量なデータが速いスピードで押し寄せている場合、Rawデータ(生のデータ)を取得してそれを格納するやり方ではすぐにデータ総量の多さに対応しきれなくなり、結果としてなんらセキュリティ対策が打てない
ことになる。リアルタイムに分析することが必要なのだ。
DoS攻撃などは、今までは事前にその内容や手法の詳細を知ることは不可能だった。しかし、攻撃の一部を見てその攻撃の手法や内容が予測できれば、対応は可能となるだろう。一方でサイバー攻撃については、セキュリティの専門家であっても対応しきれない事態が見られる。ノウハウや対応手法の蓄積が充分に無いからだ。なにを分析すべきか?
ヒントはビッグデータの中にある。理論的にリアルタイムで分析する事が必要だ、Rawデータをそのまま持っているだけではだめだ。しかも迅速かつ高速に分析する能力が必要だ。ミクロな情報だけ見ていてはだめで、マクロでも分析して結果として統合した分析をする事で対応が可能になってくる。
この分析方法が「オペレーション・ファイアーウォール」でも使われた我々の研究開発の肝だ。それは、ミクロ、マクロ、原始的な部分をそれぞれを分析して統合的な判断をする、データウェアハウスにそれらを入れて分析するという手法になる。
15年前はDoS攻撃への対応方法としては単純にパケットデータだけを見ていた。これを見ていても時間と手間がかかってしまう。そこで、なるべく迅速に実行するためにメタデータをとってマトリックスを使ってアプリケーションレイヤまで行く必要がある。つまり相互接続も見てダイナミックに把握をする事が必要なのだ。
Rawデータやパケットのデータ、フロー、SMNPだけではなくて、メタデータを見る必要がある。それぞれのリンクを見て行ってレイヤを構築し、相互接続からたどる、つまり、ひとつのインジケータが出た時にそのリンクをたどって、原因を掴み、根本的な対応が出来るようになる。こうした事の積み重ねで大規模なデータウェアハウスに対応できる所まで来ている。ビッグデータを使ったサイバー攻撃への対処だ。
つまり、このような再構成可能なソフトウェアが重要だ。事例を紹介したい。イランによるアメリカへのサイバー攻撃があった。アメリカ本土の多くの銀行などに対して行われたものだ。断続的に攻撃があり、6週間続いた例もある。上院でも公式にこの問題が取り上げられた。
この攻撃では銀行のネットワークがダウンしたり、金額的な意味での実害も出た。しかし、私共ニクサン社のソリューションを導入している会社では早期に対応でき、損害を最小限に食い止める事が出来たのだ。
かつてはIPS(侵入防止システム)でこうした攻撃を防御できるだろうと考えていたが、この攻撃に見るように実際にはそうはならなかった。かつてはhttpに目にむける事が多かったが、ここではなにも起こっていない。httpsとカーネル部分で問題が起こっているのだ。仮にトラフィックの急増があった場合やサーバー攻撃が複数の国から行われていた時に単にパケットのデータや既知の部分を見るだけでは対応しきれない。
そこで、インターネット上のリンクの障害が発生している部分のhttpsクエリーを見るソリューションを作った。これを使ってよく見ると異常でランダムなストリームが発生していた。GETリクエストになっており、パターンが変化するため、従来のIPSのプラグインでは対応できなかったのだ。まずはこの攻撃パターンのソースを正確に見極めてから防御する必要がある。つまり、パターンがどこから来ているかの把握が必要でビッグデータからクエリーを抽出するのだ。
この対応方法が機能している企業では数時間で攻撃に対処できた。できていない企業では復旧まで最大で6週間かかった。そしてこの対応方法に関する情報をFBIに共有する事によって、他の銀行でも問題に対処できるようになった。こうして私共のソリューションを導入している銀行は数億ドル規模の損害を免れた。数週間インフラが止まるのを阻止できたからだ。
現在、日本の企業や公的機関に対する攻撃に対処するためにも、毎秒数ギガバイト、ペタバイト単位のデータに対応する必要がある。極めて差し迫った脅威があり、そこへの対応は、今すぐにでもすべきだ。 |
|
以上がセミナーのサマリーです。参加者からは日本の公的機関や企業が置かれているサイバー攻撃への対策の重要性と切迫性に関する意見が活発にやりとりされました。NIKSUNとしてもこうした各界の優秀なサイバーセキュリティ分野におけるエキスパートと密接に連携し、今そこにある新たなネット上の脅威に果敢に対処していく所存です。 |
日本の平均的な企業では、恐らくツールがあっても分析できる技術者がいない。プロダクトだけの提供では厳しいのではないか?分析まで含んだサービスを提供できるかがカギだと思う。サービスビジネスをするのであれば協力を惜しまない。
5年前まで独立行政法人情報通信研究機構に在籍していた時にセキュリティ関係の議論に参加していた。一般的に、国の研究機関はナショナルセキュリティ、ナショナルディフェンスという考え方が非常に薄いと思う。この観点からの研究開発についてほとんど対策をしていないのではないだろうか。
日本の現状と最近のサイバー攻撃の事例についてお話したい。安全保障・外交という面でのお話で外務省、外交の情報機関、NATOへも提供した内容だ。
