ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.61
  6. 3. フォーカス・リサーチ(2)IIJとセキュリティの変遷~この30年を振り返って

Internet Infrastructure Review(IIR)Vol.61
2023年12月
RSS

目次

3. フォーカス・リサーチ(2)

IIJとセキュリティの変遷〜この30年を振り返って

3.1 はじめに

私たちがセキュリティ事業を開始してから現在までの間、様々な事件や事故が発生しています。この30年を振り返ると、インターネットは一対一が主であった通信サービスの世界に、一対多の通信や多対多の通信を実現するプラットフォームとして定着してきました。また、その通信の在り方や構成要素は常に変化しており、一部の人だけが利用するネットワークであった頃から、企業などで使える、商用サービス、個人向けサービス、家庭の常時接続、携帯電話からのアクセス、クラウド、スマートフォン、IoTと変化してきています。

それに合わせて、利用のされ方も変化し、私たちの生活を変えてきました。特に、ブラウザを使った暗号通信の一般化から電子商取引が盛んになり、本人認証の拡張などと合わさって、日々より重要な、金銭的に価値のある情報を交換できるようになっており、今日ではスマートフォンを使ってクレジットカードでの買い物やオンラインバンキングの利用が普通のこととなっています。

一方で、このような状況は悪事を働く者にも同様に作用し、特に長距離や多数の相手に通信を実施してもコストが低く抑えられる通信特性を悪用されたりしています。またコンピュータシステム同士の通信であることから、脆弱性を悪用してユーザの気づかないうちに悪影響を与えるような場合も発生します。その悪事も、単にシステムを乗っ取って勝手に利用することから、金銭価値の高い情報やサービスの盗用、知財などの窃取、身代金の強奪などと、多岐にわたってきています。

本稿では、IIJのセキュリティ事業の第一線で活躍してきた人たちの経験を共有し、それぞれの目線でこの30年を振り返りたいと思います。

「ネットワークの脅威の変化」

セキュリティ本部セキュリティ情報統括室
土屋 博英

1993年には日本でも商用インターネットが開始されましたが、当時からワームやウイルスといった脅威は存在していました。また、開いているポートに対するログインを試みる通信なども行われていました。企業等が業務でインターネットを利用するにあたっては、こういった攻撃への備えが必要なことからIIJでも1994年には国内初となるファイアウォールサービスの提供を開始しています。

2000年に入ると、インターネットはホームページの閲覧やメールやメッセージのやりとりなど、単純な情報のやりとりといったものを超えて、金融やオンラインショッピングなど、ビジネスを含めた経済活動の社会基盤として使われるようになり、急速に普及していきました。これに伴い、セキュリティの重要性も認識され、防御の重要性や脆弱性への対応の必要性が認識されるようになりました。個人でもアンチウイルスソフトの利用が推奨され、企業であればそれに加えてファイアウォールやIDS/IPSなどのセキュリティ製品が導入されるようになっていきました。

セキュリティインシデントも多様化し、Webの改ざんやDDoS攻撃によるホームページの閲覧障害、インターネットを経由したネットワークワームの感染がたびたび発生し、新聞などで報道されるようになりました。ネットワークワームの感染事例で代表的なものには、2001年に発生したCodeRedやNimda、2003年に発生したSQL Slammerなどがあります。これらのネットワークワームは、感染活動が始まると瞬く間に感染が世界中に拡がり、一部では通信の遅延が発生するなどの影響が発生しました。当時は、急速に利用が拡がる中で、今ほど回線や機器などのリソースが潤沢でなかったこともあり、こういった大規模な攻撃に対して対応手段が限られていました。現在では、通信インフラの整備や攻撃への対抗手段の整備がなされていますが、IoT機器などの普及により、攻撃にともなう通信量も当時に比べて数百倍の規模となっています。

時が経つにつれ、攻撃は更に複雑巧妙に変貌を遂げてきました。脆弱性を悪用して感染させたPCやルータなどの機器を多数コントロールし、DDoS攻撃などを行うボットネットや、悪意あるプログラムによりユーザの情報などを盗取するマルウェア、感染した端末上の情報を暗号化して人質にとり、身代金を要求するランサムウェアといった攻撃に進化していきました。これらの攻撃においては、攻撃用のシステムが整備されたことで、ダークウェブなどのアンダーグラウンドマーケットでお金さえ払えば、だれもが安易に不正な利益を求めて攻撃を実施できる事態となっています。

セキュリティ対策が進むにつれ、ネットワークから直接攻撃することがしにくくなると、メールなどを介して感染活動を行ったり、悪意あるリンク先に誘導することで感染させるなど、より巧妙な手法へと変わってきました。

今日でも、ネットワーク上を無差別に攻撃するような感染活動も見受けられますが、より対象を絞って効率的に感染活動を行うものや、標的型攻撃やAPTなど、攻撃活動を捕捉しにくくすることで発覚や対応をさせないようにする、より高度な攻撃へと変化していきました。

インターネットが社会基盤のインフラとして使われていく中で、コンピュータリソースや情報の価値が変化したことにより、攻撃の目的も変化してきています。不特定多数の個人が、ある意味おもしろ半分で攻撃を行っていたような時期もありましたが、Anonymousに代表されるようなハクティビストによる特定の主義や主張を広く知らせるための抗議活動、個人やグループなどによる金銭目的での攻撃活動、情報窃取を目的とした組織や国による活動などが確認されるようになりました。

これらの活動は、SNSによる偽の情報やフェイクニュースの拡散など、直接的なネットワーク上の攻撃以外の手段と併せて用いられることで、場合によっては、現実世界においてデモやテロなどを伴うような、実社会での影響を誘発させるだけの力を持つまでになりました。

このような攻撃の高度化と脅威の変化に伴い、ネットワークの内部や境界を監視し、情報を防御するだけでは、攻撃を防ぐことができなくなってきたことから、ゼロトラストモデルなどのように人・モノ・データなどへのアクセス制御を常に行い、かつモニタリングを実施する新たなセキュリティの枠組みなども実装されてきています。

攻撃と防御で考えると、多くの場合で攻撃側に有利な状況が続いています。この状況を打開するためには技術的な対策だけでなく、攻撃の優位性を削ぐ経済的、法的な対策も併せて必要です。インターネットの発展に伴い、日本でも不正アクセス行為の禁止などに関する法律(不正アクセス禁止法)や、刑法に不正指令電磁的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪)が設けられるなど、必要に応じて法制度の整備が行われてきました。他方でインターネットは国を超えた通信ができることから、複数の国々の間や、世界規模で考えなければならない問題も多数あります。これまでも様々な分野で多くの対処や国際協力といった取り組みが行われていますが、今後さらに協調した取り組みが求められています。

マイクロセルと携帯網の相互利用や、衛星通信による接続サービスなど、個々の需要に応じて、使われる通信も多様化してきています。今後、更に自動車に代表される身近な物の接続や、それらのリアルタイム通信による相互連携などがさらに利用されるようになれば、我々の生活はより便利で快適なものとなっていくでしょう。それは同時に通信インフラの重要性を増すことに繋がります。

このような変化に対応するためには、国や通信事業者だけでなく、利用する企業や個人も含めた、新しい仕組みやセキュリティの形が必要になると考えられます。これが正解というものはまだありませんが、今後も続く新たな脅威に継続的に対応していく必要があるでしょう。

「DDoS攻撃について」

セキュリティ本部セキュリティビジネス開発部
田丸 浩

2000年頃から「DDoS攻撃」という言葉がインターネット関連のニュースに登場するようになり、IIJでもこれまで多くのDDoS攻撃を観測してきました。ここでは、今日に至るまでの約20年間を振り返ると共に、今後の展望について触れてみたいと思います。

私たちが最初のDDoS対策サービスの提供を開始したのは2005年でした。そのきっかけとなったのは、顧客のWebサーバへのDDoS攻撃によって、それを保護していたファイアウォールが過負荷となり、コントロールできない状態となってしまったことでした。ファイアウォールは、通常ではあり得ない数のアクセスや大量のハーフオープンのTCPコネクション発生により、コネクション管理テーブルが溢れたり、膨大なアクセスログを処理するために高負荷な状態となっていました。この私たちが経験した攻撃では、DDoS攻撃の前日あたりに大量のポートスキャンが行われるなど、予兆のようなものがあったために警戒体制をしくことはできたのですが、結果としてDDoS攻撃からお客様のネットワークを守り切ることはできませんでした。この経験から、IIJの設備側で何か対策ができないか、デスクでも、食事をしながらでも、喫煙しながらでも、あれこれ話し合ったことは今でも覚えています。

DDoS攻撃の背景

攻撃には何らかの背景がありますが、この背景にも変化が見られます。歴史的な背景を持つ攻撃として、満州事変に関わる中国からの攻撃がありました。2005年あたりから毎年のように観測されていましたが、ここ10年ほどは沈静化しているように見えます。こういった歴史的特異日は攻撃が発生する可能性が高いため、現在もIIJでは攻撃への警戒を続けています。一方で、Anonymousによる抗議活動としてのDDoS攻撃は多くなってきています。日本においても、捕鯨やイルカ漁に対する反対活動や、福島原発の処理水海洋放出に対する抗議活動、中東情勢に応じた日本の立場への反対表明としてのDDoS攻撃がありました。

歴史や政治、動物の愛護活動や環境・人権に関する主義主張といった背景を持つ攻撃では、組織的な攻撃が行われることが多いのですが、最近ではゲームやエンターテイメント産業といったサービス提供者へ個人的な理由によると思われる攻撃が散見されるようになりました。DDoS as a Serviceという言葉を聞いたことがあると思いますが、誰でも簡単に安価にDDoS攻撃を行えるサービスを買うことができるようになったことが影響しています。オンラインゲームにおける個人的な恨みや、社員の何気ないSNS、掲示板への書き込みなど、ちょっとしたことが企業への攻撃の原因となり得ます。

DDoS攻撃と防御

DDoS攻撃には、大きく分けてリソース消費型、ボリューム型の2種類があることは既によく知られています。防御を考える場合、別の見方として送信元アドレスを詐称できる攻撃なのかそうでない攻撃なのかという観点があります。例えば、TCP Connection Floodや、HTTP Slow、HTTPRequest Floodなどは、TCPの接続を確立させる必要があるため送信元アドレスの詐称は比較的困難です。こういった種類の攻撃については、攻撃を受けている状況下においては接続条件を厳しくすることで攻撃をある程度軽減することが期待できます。例えば、TCP接続における無通信状態のタイムアウトを短くしたり、特定の地域からの接続を救うことを優先し、国・地域別IPアドレス割り振り情報を利用したアクセス制限なども、効果が出る可能性があります。

一方、送信元を詐称できる攻撃には、例えば古くから使われてきているTCP SYN Floodがあります。TCPの場合には、送信元が本当に存在するかどうかをTCPの仕様を用いて判定する方法が用いられますが、そのDDoS対策装置などに実装されている確認方法によっては、送信元での再送(HTTP/HTTPSであればブラウザでのリロード)が必要であったり、ファイアウォールがDDoS対策装置が送信する確認用パケットを不正なパケットとして破棄してしまい、誤判定をしてしまうなどの影響を考慮する必要があります。

また、ネットワークに接続された機器の応答を攻撃に悪用するリフレクション型の攻撃については、MemcachedやSSDP、MSSQL、ARD、SNMPなど、通常インターネット上では利用しないプロトコルも多く用いられます。これらはあらかじめフィルタを用意しておくことで容易に攻撃を緩和することができます。DNSやNTPについても、送信元を限定することが可能であれば対策はしやすくなります。送信元詐称を使った攻撃については、私たちISPでもuRPFなどのSAV(Source AddressValidation)を導入することで、攻撃発生の防止につなげる努力をしています。

DDoS対策の選択

DDoS攻撃からサービスやインフラを保護するためには、DDoS対策専用のアプライアンスをオンプレミスで構築する方法やCDN事業者やクラウドサービス、IIJのようなISPが提供するサービスの利用といった方法があります。オンプレミスでの対応は、100Gbps超の攻撃が珍しくない昨今では、接続回線の帯域を埋められてしまう可能性が高いため、他のサービスを利用するか組み合わせて利用することが必要となってきます。

CDN事業者の提供するサービスでは、anycastなどを利用する構成で受け口を全世界に広く持つことで攻撃を分散させることができるという特徴があります。また、配信サービスやWAFを合わせて提供していることが多いため、Webシステムとの相性は良いようです。

一方で、IIJのようなISPが提供するサービスでは、公開システム以外にも業務で利用するオフィスのインターネット接続を保護することも可能です。接続サービスを利用しているISPがDDoS対策サービスを提供していない場合には、クラウド型のサービスを利用することでネットワークの保護が可能ですが、経路制御のための制約が付いていることがありますので注意が必要です。

今後の展望

パソコンやサーバの性能が上がり、一般家庭でも1Gbpsや10Gbpsといった帯域でのサービスが提供されるようになりました。監視カメラや家電などいろいろなものがインターネットにつながり、様々なサービスがインターネットを使って利用できるようになっています。一方で、ホームルータや監視カメラ、NASなどのOSやファームウェアがマルウェアに感染してボット化してしまい、これらがDDoS攻撃の発信元になるケースは今も続いています。パソコンだけではなく、こういったデバイスのソフトウェア更新を正しく実施することや、公開サーバにおいてはソフトウェアの更新や脆弱性への対応を速やかに実施することの重要性を私たちIIJが発信し続けることで、DDoS攻撃の被害軽減につながればと思っています。

IIJでは、お客様宛の攻撃防御だけでなく、お客様がDDoS攻撃の加害者とならないよう、通信の方向に関係なく攻撃トラフィックを検知・破棄ができる環境を継続して検討し、安心して安全に利用できるインターネットの構築を引き続き目指します。

「最も悔しいこと」

セキュリティ本部長
齋藤 衛

私たちは日々お客様が受けるサイバー攻撃への対応を行ってきていますが、顧客が困っている事案についてある意味自然災害のように扱うことが多くなります。たとえそれが犯罪者によって引き起こされたサイバー犯罪であったとしても、民間のセキュリティ事業者という立場では犯人を捕まえようとはしません。技術的原因を追究し、影響を最小限にとどめ、復旧に向けた努力を重ねますが、その行為者については、司法機関で行うような人物の特定や所在の確認などはせず、単に次の行為に備えるための関連情報の追跡を行う程度にとどまります。

こうした状況の中で、長年にわたってセキュリティに関わってきた者として、犯人を捕まえて懲らしめたいと思った事案が1つだけあります。それは数々の深刻な情報漏えい事故を引き起こしたAntinnyの事案です。

Antinnyとは、P2Pファイル共有ソフトウェアの1つであるWinnyがインストールされたWindows PCの上で動作するマルウェアで、そのPC上のファイルを利用者の意図しない形で外部に送信してしまう機能がありました。Winnyというシステム単体での是非についての議論は別の場に譲りたいと思いますが*1、Antinnyの登場によって、Winnyをインストールして利用することが、極端にリスクの高い行為となりました。

このAntinnyというマルウェアは、ファイル名を詐称して動画ファイルなどとユーザに勘違いさせて実行を促します。実際の悪さとしてはPC内の画像やオフィスファイルを検索し、Winnyの送信フォルダに勝手にコピーすることで外部に送信していました。これにより私的な写真が漏えいしてしまう場合や、家に持ち帰った仕事に関係するファイルが漏えいしてしまい、企業などの情報漏えい事故に発展してしまう場合が多数見受けられました。また、月に1回、画面のスナップショットやPC上のファイルを1つの圧縮ファイルにまとめ、コンピュータ著作権協会のWebにある、著作権侵害の相談窓口にアップロードするという動きもしていました。このアップロードによりDDoS攻撃状の大量通信が協会のWebサーバに集中し、閲覧不能となる事態にまで至っていました。

Antinnyのそれぞれの機能は、脆弱性も使わず、特権も利用せず、Winny共有フォルダへのコピーという通常権限のユーザが可能な行為だけで構成されています。Winny利用者を困らせたり、その利用者の情報を著作権管理団体に送付することなどから、Antinnyを作った作者の意図としては、ある程度メッセージ性を持った冗談のようなソフトウェアだったのかもしれません。しかしながらその流行は、人の人生を狂わせたり、企業や組織活動に影響を及ぼしたり、深刻な社会的影響を与える結果になりました。

また、Antinnyについては、各方面で対応が後手に回ってしまい、数年の間猛威を振るっていました。2004年にはISPのセキュリティ団体であったTelecomISAC Japan(現ICT-ISACJapan)が、コンピュータ著作権協会と共同でDDoS攻撃状の通信の制御を試みて成功していますが、継続的に制御するためには莫大なコストがかかることも示されました。アンチウイルスの世界では、日本固有の現象と捉えられたためか、Winnyという特殊な環境のためか、多くの海外系のアンチウイルス製品によって駆除できるようになるまでには数年の月日が必要でした*2。最終的には著作権保護法の改正などにより、Winnyの利用者が激減して、Antinnyもその影響が小さくなり、事案として収束しました。

以上のようにAntinnyの影響を心配する必要はなくなりましたが、依然としてその作者は捕まっておらず、今日もこの日本において普通に生活していると思うと、非常に悔しい思いが湧いてきます。Antinnyがウイルスに相当するのか、その影響まで罪にできるのかなど、きちんとした議論をしなければならないと思いますし、収束からかなり時間が経っていますので、いまからAntinnyのことを掘り起こして真犯人を捕まえることは難しい状況にあるとは思います。しかしながら、次のAntinnyが現れた時には、適切に対処できる日本という国であってほしいと願っています。

「スノーデン事件が与えた影響」

セキュリティ本部セキュリティ情報統括室長
根岸 征史

2010年代から2020年代にかけて、社会に大きな影響を及ぼした事件として、エドワード・スノーデン氏による米国家機密の暴露について触れないわけにはいきません。2013年6月、当時米国の国家安全保障局(NSA)に勤務していたスノーデン氏が、トップシークレットを含む大量の機密情報を外部に持ち出し、複数のメディアを通じてこれを暴露するという事件が発生しました。リークされた内容の中でも特に衝撃が大きかったのは、米国を含むFive Eyesと呼ばれる同盟諸国を中心とした、インターネット及び電話回線の包括的な監視の実態が明らかになったことです。2001年に発生したアメリカ同時多発テロ事件を契機とし、米国内ではテロリストの監視を目的とした盗聴や通信の傍受などを強化するための法整備が進められた結果、敵対的な勢力だけでなく米国民や他国にも影響するような遥かに広範囲に及ぶ包括的な監視網が構築され、運用されていたのです。また監視システムの構築や情報収集などにおいて、米国内の主要な通信事業者や、Microsoft、Google、Appleなどの大手Tech企業が、法執行機関からの要請や裁判所命令に基づいて協力していることも分かりました。

こうしたリーク報道を受け、米国だけでなく世界中から行き過ぎた監視によるプライバシーなどの人権侵害を懸念する批判が起こり、その後こうした監視網に対抗するための取り組みが進められました。特に前述のTech企業を中心として通信経路の暗号化の普及が図られ、事業者によるデータセンター間の通信の暗号化や、様々なサービスを提供するサイト側でのデフォルト暗号化などが急速に進みました。その結果、ブラウザからの通信の中で暗号化されたHTTPSの占める割合は2018年には70%、2020年には80%を越えるまでになっています*3。2023年のIIJの観測においても、ブロードバンド通信の70%以上を暗号化通信が占めています*4

また2014年から始まったTLS 1.3の標準化作業においては、ネットワーク監視に対抗するために、ハンドシェイクの暗号化や、Forward Secrecyを必須とする暗号方式が採用されました。DNSの通信を暗号化するDNS over TLS(DoT)やDNSover HTTPS(DoH)の標準化も相次いで進められ、現在普及途上にあります。このように、スノーデン氏による暴露は技術標準の仕様策定や普及にも大きな影響を及ぼしています。

通信だけでなくスマートフォンなどの端末への影響もあります。例えばApple、WhatsApp、LINEなどの主要なメッセージングサービスでは、エンドツーエンドの暗号化(E2EE)を採用し、経路上だけでなくサービス提供者でさえもメッセージの内容を知ることができない、強力な暗号化の仕組みをサポートしています。またAppleやGoogleなどは2014年以降スマートフォンの暗号化機能を強化しており、端末上やクラウドサービスに保存される利用者のデータを暗号化して保護しています。このような取り組みにより、利用者のセキュリティやプライバシーは保護されますが、一方で同時に犯罪者もその恩恵を受けることになります。そのため法執行機関が差し押さえた容疑者の端末からデータを取得できず、犯罪捜査の妨げとなる事例が2010年代後半からたびたび報告されています。こうした状況を改善するため、テクノロジー業界が提供する暗号機能に規制をかけようとする動きが、欧米の政府機関によって行われています。

スノーデン氏の暴露により、米国などの情報機関による各国へのサイバー攻撃の活動実態も明るみに出ました。特にNSAは世界有数のサイバー攻撃能力を保持しており、脆弱性の調査、攻撃コードやマルウェアの開発、これらを利用した各国の組織への侵入などのスパイ活動を行っていました。NSAによるこうした活動が、その後私たちにも直接影響を及ぼした事例として、2017年5月に発生したWannaCryの大規模感染があります。WannaCryがWindowsマシンへの感染に利用した攻撃コードやバックドアのプログラムは、The ShadowBrokers というグループが事前にリークしたものを再利用していました。そしてこのリークされたデータはEquationGroupという攻撃グループから盗まれたものであり、このEquation Group は実はNSAによる攻撃活動だったことがその後判明しています。また真偽ははっきりしませんが、リークを行ったThe Shadow Brokersはロシアとの関連が疑われており、米国はWannaCryの攻撃が北朝鮮による仕業であるとして公式に声明を発表しています。このように、私たちの日々の生活に欠かせないインフラであるインターネットにおいて、サイバー犯罪者による活動に加えて、国家を背景とする多数の攻撃者グループによる争いも日常的に行われているのが現状です。こうした様々な活動が何層にも重なってそれぞれが影響を及ぼす複雑なインターネット環境において、誰もが安心して使える安全なネットワークを提供するために何をすればいいのか、非常に大きな課題を私たちは解決していかなければならないと言えます。

「セキュリティオペレーションセンターの変遷」

セキュリティ本部セキュリティオペレーション部
データ分析課長
中嶋 功

黒から白へ

日本国内のセキュリティオペレーションセンター(以下、SOC)は、2000年ごろからセキュリティ監視の組織あるいは設備として目立つようになりました。当初は多数のディスプレイが並べられた薄暗く窓がない部屋で、セキュリティアナリストと呼ばれるネットワークセキュリティを熟知したエンジニアのみが監視システムへのアクセスを許可されていました。イメージが変化してきたのは2015年頃、一転して明るい色調でSOC設備がリニューアルされるようになり、2017年に刷新されたIIJのSOCもエンジニアが過ごしやすいように作られました(図-1、図-2)。

図-1 オペレーションルーム

図-2 セキュリティラボ

併せて、高度化する脅威に対応するためにSOCという組織の在り方も大きく変わりました。以前はSOCといえばリアルタイムのセキュリティ監視でしたが、インシデントレスポンスに必要なエンジニアが集まって協調できるよう、SOC内もしくはSOCに近いところに関連するセキュリティエンジニアが置かれることが多くなりました。また、社会における多様性が重視されるようになっていますが、IIJのSOCでもセキュリティインシデントに対応するという1つの目的のもと、多種多様なエンジニアが「そこにいても良い」という価値観が形成されています。

ネットワークから端末へ

SOCでは様々な機器が監視対象として扱われています。以前はFirewallやIPSなどのネットワーク境界に置かれる箱モノのセキュリティアプライアンスが主流であり、経路上の通信の監視を行っていました。2000年代に発生した重大なセキュリティインシデントの多くはサーバを対象とした攻撃で、事業継続に必要なサーバを保護することがSOCの主な役割でした。

セキュリティアナリストとして変化を感じたのは標的型攻撃に代表されるようなメールを経由した攻撃が流行し始めた頃で、サーバセグメントを監視しているだけでは守りきれないということが直感的に分かりました。近年ではEmotetをはじめとした無差別とも言えるマルウェアによる幅広い対象への攻撃や、組織内部の不正もSOCで監視を行う場合があります。公開サーバへの攻撃は以前と変わらず継続していますが、攻撃対象がクライアント端末へも拡大したことによって、内部から外部への通信、もしくは内部から内部への通信監視も必要となりました。主な監視機器の1つであるFirewallも多機能なUnifiedThreat Management(UTM)、そしてアプリケーションレイヤーを分析可能なNext Generation Firewall(NGFW)へと進化していったことで通信の可視化が進みました。

一方で、通信自体や通信経路の暗号化も進んでおり、ネットワークではなくEndpoint Detection and Response(EDR)をはじめとした端末のプロセスやログを監視対象とするSOCも少なくありません。直近では脆弱性を悪用した攻撃と並行して、何らかの方法で窃取された個人の認証情報が初期攻撃に利用される事例も増えており、認証情報の管理も課題となっています。

SOCエンジニアの役割

SOCの役割は正常状態を維持するのではなく、異常を発見することです。監視システムがセキュリティアラートを発しなくても、疑わしい兆候が見られた場合は調査が必要となります。ネットワーク監視が中心だった頃のSOCでは、熟練のセキュリティアナリストがその知識と経験を持って何の変哲もないログに疑問を抱き、セキュリティインシデントを発見していました。しかし、ログの種類は増え続け、複雑に絡み合ったデータを人手で監視することには限度があります。そして、リアルタイムだけでなく過去のデータを再帰的に調査する必要も出てきており、時間軸の考慮も人手による調査を難しくしています。

現在では、検出のノウハウが監視対象となるセキュリティセンサーの検知ルールとしてあらかじめ組み込まれていたり、Security Information and Event Management(SIEM)のルールに組み込まれたりすることで、エンジニアの負荷低減や技術の一般化がなされるようになりました。AI技術の活用で、データに基づいた分析は人が気づけないことを気づかせ、人が覚えきれないことを補完してくれます。しかしながら、攻撃者も同じようにAI技術の恩恵を受け、新たなセキュリティホールを発見し続けています。

SOCの中心は昔も今も人であり、自動化やシステム化が進んだ現在でもエンジニアの知識と経験がSOCの分析能力に大きな影響を与えます。私たちSOCエンジニアが日々自分自身をアップデートすることで新たな攻撃への対処も可能となるのです。

3.2 最後に

本稿では、セキュリティ関係者にこの30年を振り返ってもらいました。インターネットの進歩はこれで止まっているわけではなく、この数年だけでもテレワーク環境の整備やAI技術の浸透など、私たちの生活を新しいものに変えてきています。今後も変化していくでしょうし、またそれに合わせて事件も起こっていくでしょう。私たちは皆様の生活の安全を守るために、今後も新しい状況の変化に追従し、新たに発生する事案に適切に対応していきたいと考えています。

  1. (注1)Winnyには通信を最適化する機能がなかったため、ネットワーク上に遠距離間の通信を常時発生させ、不必要にネットワークの容量を圧迫し、多くのISP間の接続において輻輳による通信品質の低下を起こしており、通信事業の観点からも副作用の大きいアプリケーションであった。
  2. (注2)トレンドマイクロなど一部のベンダーでしか駆除ができなかったAntinnyについて、マイクロソフトが対応し非常に多くの駆除実績を公開したことで、多くのアンチウイルスベンダーもそれに追従することになった。マイクロソフトには本件の功績に対し、総務省より総務大臣表彰が、コンピュータ著作権協会より感謝状が贈られている。
  3. (注3)Firefox Telemetryのデータによる(https://letsencrypt.org/stats/)。
  4. (注4)IIR Vol.61「 1. 定期観測レポート」を参照(https://www.iij.ad.jp/dev/report/iir/061/01.html)。
3. フォーカス・リサーチ(2) IIJとセキュリティの変遷〜この30年を振り返って

ページの終わりです

ページの先頭へ戻る