セキュリティベンダー/SIベンダーのラックが、自社が侵入被害を受けたサイバー攻撃やマルウェアの事案を分析し、脅威情報としてWebサイトで公開する取り組みを開始した。「やられた」内容を自ら積極的に公表していくという前代未聞の取り組みだが、そこにはどのような意義があるのか。
攻撃者の侵入やマルウェア感染の自社事例を積極的に公表
ラックでは9月26日より、同社Webサイトに「脅威分析情報」として、自社ネットワークで検知されたサイバー攻撃やマルウェアについての情報公開を開始した。
この日公開された情報は、「正規のサイトから、不正なサイトへの誘導が行われた事案」「スパイウェアの感染により外部への通信を捕捉した事案」の2件だ。いずれも、脅威が検知された経緯や攻撃の概要、事後対応の要点などがまとめられ、同社Webサイトで公開されている。
同日公開された「脅威分析情報」は、ラックが導入しているファイア・アイのWeb/メールセキュリティ製品で検知された2件。いずれも「9月下旬に検知されたもの」とのこと
これらの脅威情報は、ラックの社内情報システム部門「スマート・ビジネス・ファクトリ」が検知し、社外へのセキュリティ緊急対応サービスも手がける同社の「サイバー救急センター」が分析を行ったもの。こうした役割分担で、今後もラック社内で発見されたサイバー攻撃やマルウェア感染の被害(未遂も含む)事案について、積極的に情報公開をしていく方針だ。
脅威分析情報の公開までの流れ。ラックの社内情シスが検知して「サイバー救急センター」に情報をエスカレーション、同センターが詳細な分析を行う
なお、当然のことだが、攻撃者に悪用されかねないような情報や、ラックのセキュリティシステム構成の詳細、具体的な被害内容については公表されない。基本的には「どう対策すればよいか」を中心とした情報公開となる。
多くの企業に「他人事ではない」と理解してもらうために
おそらく前例のないこうした情報公開に取り組む理由について、記者発表会に出席したラック 取締役 最高技術責任者の西本逸郎氏は、セキュリティ対策に対する意識の低い一般企業/組織への、より一層の啓蒙を図るためだと説明する。
ラック 取締役 最高技術責任者の西本逸郎氏。今回の取り組みについて「社内からの大反対もあったが、勇気を持って一歩踏み出してみようかと」
これまでもラックでは、多発する攻撃に対する注意喚起や脆弱性情報の公表などを通じてセキュリティ啓発活動を行ってきた。「しかし、それだけでは足りないと感じた」(西本氏)。
実際、セキュリティ意識の低い一般企業/組織は「狙われないだろう」と考えがちであり、対策になかなか本腰が入らない。こうした企業/組織で対策が進むのは、大規模なセキュリティ事件報道や他社の事故事例公表などを通じて、「それが他人事ではない」ことに気づくときだという。そこで、ラック自らが“他山の石”となるべく、自社の事故事例公表に踏み込んだわけだ。
情報公開の背景には、昨今の攻撃手法の変化もある。標的型攻撃を受けやすくセキュリティ対策の進んだ官公庁や大企業ではなく、防御の手薄な一般企業/組織を介して標的を狙う手口(Webサイト改竄、不正なアップデータ混入など)が増えており、「かなりやばい状況」(西本氏)
さらに西本氏は、マルウェア感染や攻撃者の侵入を完全に防ぐことはもはや不可能であり、そうした事故の発生を前提として被害を最小化するための対策が不可欠であることを強調した。
「(感染、侵入といった)事故が起きるのが悪いのではなく、事故が本格化するのが悪い。昨今の情報漏洩事件を見てもわかるように、事故が本格化すればペナルティは莫大なものになる。担当者は、本格化する前に何らかの手を打って欲しい」(西本氏)
また、今回の取り組みが、さまざまな企業/組織が被害情報を公表、共有する動きへの追い風になればと、西本氏は述べている。サイバー攻撃被害の公表には難しい側面も多いが、そこから社会全体が得られる知見もまた多いはずだ。どこまで詳細を公表するかはまだ手探りながらも、先頭に立って一歩踏み出したラックの決断には大きな意義があると言えるだろう。
