セキュリティの新常識 ~もうアンチxxの時代ではないことを知っていましたか?
GitLabという会社が社員向けにセキュリティ演習を行い、その結果を公表しました。
セキュリティ演習というのは、企業側が社員に内緒で「偽の」フィッシングメールを送り、それに引っかかるかどうかをテストするという、セキュリティ教育の一部です。演習用のフィッシングメールは実際の攻撃で使われる手法を使っており、これに引っかかった人には、「この部分に注意すべき」「今後はこういった怪しいメールに気をつけるように」といった指導がなされます。海外では、それでも改善しない場合には減給や解雇といった厳しい措置がとられることもあるそうです。
日本人が聞くと「身内を騙すなんて」と思うかも知れませんが、こうまでしなければならないほどに世界のフィッシングメールの現状はクリティカルなものになっているということの裏返しなのでしょう。日本でも、こういった演習を取り入れる企業は増えているそうです。
GitLabの社員数は1,200人(すべてがテレワーク)ということですが、今回その中からランダムに50人を選んでテストした結果、10人が引っかかったと言うことです。20%って、多い様に思えますが、むしろ少ないのかも知れません。調べるといろいろな数値が出てきますが、シミュレーションではない本物の攻撃で、クリックしてしまった率(ヒット率)が最大で45%に達しているというリリースもありました。
アンチxxではもう、守れない
セキュリティ演習を含むセキュリティ教育が活発になってきた背景には、ITセキュリティを取り巻く環境変化があります。
だいぶ前の話になりますが、アンチウイルス大手シマンテックの幹部がこんな発言をして物議を醸しました。
アンチウイルスはなぜ「死んだ」のか?この幹部はこの様に話しています。
ダイ氏が明らかにしたところによると、現在のアンチウイルスソフトがウイルスなどの攻撃を検知できているのは全体の45%だけで、じつに55%の攻撃は検知されることなく素通りしているという状況になっているとのこと。これは、ハッキングの手口が高度に巧妙化され、もはや従来型の手法に限界があることを自ら認めたことを明らかにするものです。
攻撃が高度化し、アンチウイルスだけでは対処しきれなくなった、ということですね。
技術的に見ると、アンチウイルスやアンチスパム、あるいはファイアウォールなどの境界防御型のセキュリティソリューションは、「シグネチャ」を使って「良いもの」と「悪いもの」を見分けています。シグネチャは、それまでに見つかったマルウェアや過去の攻撃のデータベースで、実際のトラフィックをそのデータベースと突き合せることで、悪いものを見つけてそれをストップするのです。
これは、裏を返せば、それまでに見つかっていない攻撃に対しては無力であることを示しています。世界初の攻撃に遭ったときには、シグネチャは役に立ちません。シグネチャは、世界のどこかで誰かがひどい目に遭った後に、やっと作成されるものなのです。
もちろん、セキュリティベンダーはシグネチャ以外の方法も使って検知精度を上げようとしていましたが、攻撃の進化の速度に追いつけずに、「アンチウイルスだけではもう防げない」という発言になったものと考えられます。この頃からウイルス作成が自動化され、オリジナルと「ちょっとだけ違う」ウイルスを自動で大量生産することができるようになりました。「ちょっとだけ違う」ため、過去のシグネチャは役に立ちません。ハッカー側の攻撃能力が飛躍的に増えてしまったのです。
ユーザーに頼るしかない
もちろんセキュリティベンダーも諦めたわけではありません。シグネチャを使わずに怪しいウイルスを検知するための手法もそれなりに進化しています。しかし、防御側と攻撃側を比べると、攻撃側が圧倒的に有利です。防御側はすべての境界を完璧に守らなければなりませんが、攻撃側はどこか1カ所、脆弱なポイントを探せばよいだけなのです。
セキュリティソリューションの強化は進めるとして、他の対策も必要とされました。それが、従業員向けのセキュリティ教育です。ウイルスが添付されたメールを誤ってクリックしない、メールに含まれるリンクをクリックしない、怪しい外部サイトにアクセスしない、といった、「ユーザーが気をつける」ことで回避できるケースが非常に多いのです。
そのために、「こういったメールは危ない」「このメールのこの部分に気をつけるように」といったトレーニングが開発され、多くの企業で導入されています。しかし、それだけではなかなか効果が上がらないのです。ユーザーに「自分のこと」として認知してもらうために編み出されたのが、セキュリティ演習なのです。実際の攻撃で使われる手法を取り入れた偽メールを送り、それに引っかかったユーザーに再トレーニングを課したり、罰則や減俸などの処分を行う事で、トレーニングの効果を高めようとする取組みです。
こういった取組みは海外では一般化していますが、今後は日本でも増えてくるでしょう。そして、こういった「従来の考え方ではもう守り切れない」という認識が、最近よく聞く「ゼロトラストセキュリティ」の考え方にも繋がっているのです。
シグネチャベースのセキュリティソリューションは、既知の攻撃については効率的に検知できるため、必要であることに変わりはありませんが、それだけでは十分でない時代になっているということです。それは、攻撃側が進化するからであり、そういった環境の変化に、柔軟かつ迅速に対応していかなければなりません。
「?」をそのままにしておかないために
時代の変化は速く、特にITの分野での技術革新、環境変化は激しく、時代のトレンドに取り残されることは企業にとって大きなリスクとなります。しかし、一歩引いて様々な技術革新を見ていくと、「まったく未知の技術」など、そうそうありません。ほとんどの技術は過去の技術の延長線上にあり、異分野の技術と組み合わせることで新しい技術となっていることが多いのです。
アプライド・マーケティングでは、ITの技術トレンドを技術間の関係性と歴史の視点から俯瞰し、技術の本質を理解し、これからのトレンドを予測するためのセミナーや勉強会を開催しています。是非、お気軽にお問い合わせ下さい。