ITソリューション企業総覧2014Web
インタビュー シスコシステムズ 西原敏夫氏

インタビュー シスコシステムズ 西原敏夫氏

特集 特集1 社会インフラへ迫るサイバー攻撃

セキュリティ対策ベンダーの戦略
~全方位型ソリューションとは~


s-06_05

シスコシステムズ テクニカルソリューションズアーキテクト 西原敏夫氏に聞く

シスコシステムズ
www.cisco.jp/

聞き手:ITソリューション編集部


 シスコシステムズ(以降、シスコ)の制御システムに対するセキュリティ対策は、特有なものではなくあらゆる個所で利用可能なソリューションを活かそうというものだ。確かにIPS(Intrusion Prevention System:侵入防止システム)のシグネチャとして制御系通信に特化したものがあり、攻撃を防御可能ではある。だがシスコではいま全方位型のセキュリティソリューションに取り組んでいる。

 ここではシスコシステムズ セキュリティ事業 テクニカルソリューションズアーキテクト西原敏夫氏に、その方針を聞いた。

ライフラインを襲うサイバー攻撃

 最近、某航空会社がワンタイムパスワードでセキュアにリモートアクセスしていたら、パスワードがハッキングされ電話会議も盗聴、自社航空機とそっくりな航空機が製造されていたという。電話の盗聴だけでそこまで近い形を製造できるとは思えないが、どうみても写真は酷似しているそうだ。こうした制御システム関連のサイバー攻撃は、典型的なイランのStuxnetワームによるウラン遠心分離機の破壊をはじめ、米国オハイオ州のワームを介した原子力発電システムの停止、ポーランドのハッキングによる脱線事故ほか多々ある。

 西原氏は「最近問題なのは、制御系のクローズド環境を攻撃するために必要となるオープンな環境への攻撃がワンクリックで完成し、簡単に踏み台となってしまうことです」と指摘する。

情報盗み出しのテクニック

 図1は標的型攻撃で情報が盗み出されるプロセスだ。アタッカーは自分への依頼企業から報酬を得てA社(図の円内)を攻撃する。某国サイトでは盗み出す情報の種類やデータ量、料金表などアンダーグラウンドサイトもあるという。アタッカーはFacebookなどでサーチし、A社の権限なき一般社員でなく、セキュリティの強固な上層部でもなく、ある程度の役職者(部長や本部長)にねらいを定める。そして定めた相手にフィッシング攻撃で信憑性高いメールを送りつけると、相手が無意識にクリックしてアタッカーとの接続が完成しボットがインストールされ、次々盗み出されていく。

s-06_01_2

図1 標的型攻撃で情報が盗まれるプロセス

 

 西原氏は、「制御システムの場合は、図中A社のオープン環境の右側に、制御システムを表すクローズ環境の円があると想像ください。クリックで外部との通信が成立し、コマンド&コントロール(C2)サーバに通信が発生します。このとき純粋に外部から内部への侵入は、ファイアウォールやIPSなどで防御されますが、内部から外部漏洩への対策はそれほど厳しくありません。ですから内部から外部に向けた情報に対する外部からの返答は、外部から内部に入るものにせよ、ファイアウォールはパスさせてしまうのです。したがって、アタッカーはその返答情報にマルウェアを付けて侵入します」と説明する。また、盗み出す対象ファイルは、そのものではなく、バックアップ分をコピーして盗み出す。しかも、一度に持ち出すとデータ量で見つかるので、何度にも分けて小さいファイル状にして盗み出す。加えて暗号化されており、内部から外部に暗号化されたものが出て行く場合は、全くわからないほど、まさに巧妙そのものだそうだ。

 制御システムの場合、オフィス系PCの数台がオープン系とクローズ系双方にアクセス可能な場合がある。その際、クローズ系に接続してしまった際、そこをHubとして制御システムに感染が拡大したり、あるいはオープン系データをUSBで制御システム側に持ち込んで感染することもあるというわけだ。

それではどう標的型攻撃に対策を施すか

 前記の標的型攻撃をモデル化すると、アタッカーが計画してスパイウェアを開発、そして送り込んでデータを盗むかシステムを破壊するが、最近その行程が鎖に例えられて、どこかをセキュリティソリューションで断ち切れば攻撃は防げる、という考え方が「サイバーキルチェーンモデル」として話題を呼んだ。

 西原氏は「最近まで、サイバーキルチェーンモデルも有効な対策でした。しかし、これまで約160社の買収中、セキュリティ関連企業だけでも25社程度あり、この結果セキュリティポートフォリオが完備されつつあります」と説明する(図2)。製品の顔ぶれは、次世代含めたファイアウォール及びIPSをはじめ、チェック時のみならずファイルの書込み読出し時にも対応するエンドポイントに特化したアンチマルウェア対策ソフト、送りつけられるスパイウェアの95%の運び役といわれるWeb及びEメールのセキュリティ対策、そして認証、検疫、暗号化、BYOD(Bring Your Own Device)対策などのポリシーコントロールなどだ。

s-06_04

図2 シスコのセキュリティポートフォリオ

 

シスコの新世代セキュリティモデル

 シスコは、制御系システムやサイバー攻撃対策にも適応できる新しいモデルを発表した。これがシスコのコアコンピタンスであり、図3の新しいセキュリティモデルを完成、Before(攻撃前)、During(攻撃中)、After(攻撃後)のシンプルな形にした。

s-06_03_2

図3 シスコが構築した新たなセキュリティモデル

 

 まずBeforeは、誰がどこで何をしているのかを掌握しておく。Duringは、業務上発生する外部へのメールやWebなど通信時に受けやすい攻撃対策だ。このとき重要なのは未知と既知の脅威で、IPSなどでは既知にはすでに用意されたシグネチャで防御できるが、未知はすり抜ける。だからシグネチャは早くほしい。そこでSIO(Security Intelligence Operation)やVRT(Vulnerability Research Team)などクラウド環境にあるデータベースが24時間365日作成するシグネチャ、レピュテーションスコア、脆弱性データベースアップデートなどを、セキュリティ機器に届けているのだ。概ね1日にインターネット上を流れる3~4割のEメールや50億に及ぶWebリストをチェックし続け未知の脅威を既知の脅威にするよう努めている。そしてAfterは、いかに優れた対策でも完璧な防御は困難で、Duringをすり抜けるものも存在してしまう。そうしたマルウェアは即動き出さずスリープしていて金曜日の帰社時にシャットダウンし忘れたPCなどで動き始めファイルを盗み出そうとする。そこで、ファイルアクセス行為をチェックするアンチマルウェア対策や、どこまで被害を受けたのか把握可能なレポーティング機能ほかが用意されているのである。

 西原氏は「送りつけられたファイルをチェックする場合、前記クラウド側のデータベースに任せますが、制御システムなどは、インターネットにアクセスすることが難しく、クラウド側の情報を制御システム側にオンプレミス型として持たせる必要があります。メールでもWebでもUSBでも脅威のチェックが可能となりました。制御システムの安全確保は、完全にクローズドな環境を維持することですが、実際にそれらを徹底できていない環境もあります。業務ニーズに応じて、要所要所に前記セキュリティソリューションを検討して戴くことが重要です」とアドバイスする。

« »