画像はイメージです original image: © yarohork - Fotolia.com
画像はイメージです original image: © yarohork - Fotolia.com
今年のCybertech TelAvivで目についたものの一つに、"Cyber Deception"と呼ばれる「おとり」を使ったセキュリティ保護ソリューションがある。
Deceptionとは、日本語で「欺くこと」を意味する。「おとり」となるサーバーを多数用意して、攻撃者が攻撃対象を選んでいる間に攻撃を検知したり、本当に攻撃されてはいけないサーバを見つけられるまでに対応のための時間稼ぎをする技術である。
2、3年前からこの概念について耳にするようになり、実際の製品も既に登場してはいた。「illusive networks」などが代表的な例ではなかろうか。ただ、いまのところまだこの種のソリューションはあまり普及していないように感じられる。攻撃のシナリオもつぎつぎに新しいものが出てくる中で、そのような攻撃に対して有効な「おとり」となるような設定を開発することが「いたちごっこ」になっていたのではないかと想像する。
またしてもこのようなソリューションがCybertechに出てきたのは、それなりの理由があるように思う。従来のセキュリティ技術は、攻撃をいかに早く検知・ブロックするか、あるいは受けてしまった攻撃をどれだけ迅速に緩和するか、というような考え方で開発されてきた。つまり、防御する側は、あくまで「受け身」だったといえる。そこにAI技術が登場し、ある程度の「予測」ができるようになってきたため、「リアルタイム検知」が可能となり、「受動的な対処」から「能動的対処」に近づくという流れができた。
今回見つけた"Cyber Deception"と呼ばれるソリューションも、「おとり」を使って攻撃者を「だます」ことによるセキュリティ対策なので、従来よりも「より能動的」な手法であるといえる。
大きく分けると、外部攻撃対策と内部不正対策の2種類があるが、本稿では内部からの不正なデータ詐取をなくすことに目的を特化した「ITsMine」というソリューションを紹介する。サイバー攻撃というと、外部の攻撃者による高度な攻撃ばかりが話題となるが、実際の被害は内部不正が多い。その意味でも現実的なソリューションである。
ITsMineは、2016年11月設立のスタートアップで、Dropboxのようなクラウドストレージに格納されたデータを保護することを目的として「SoftwareMines」(特許出願中)を開発した。Mineには「地雷」という意味がある。
IPA(独立行政法人情報処理推進機構)のガイドライン(組織における内部不正防止ガイドライン)によれば、内部不正防止のためには次の5点の原則を考慮する必要がある。
・犯行を難しくする(やりにくくする)
・捕まるリスクを高める(やると見つかる)
・犯行の見返りを減らす(割に合わない)
・犯行の誘因を減らす(その気にさせない)
・犯罪の弁明をさせない(言い訳させない)
そのために従来から、USB等の外部メモリーをパソコンに接続させない、サーバーやフォルダへのアクセス制限を設ける、管理者が常に社員のパソコンをモニターする、などの管理手法が開発されてきた。
しかしその多くは、性悪説に立って管理を強化するものであるため、善意のユーザにとっては「面倒くささ」と表裏一体となる。システムやサービスの「使いにくさによる業務への支障」と「セキュリティ」とのトレードオフを常に考慮せざるを得ないものであった。
ITsMineのソリューションは、重要なデータの入っているフォルダに本物のファイルと区別の付かない「SoftwareMines」を置く。どのフォルダにどれくらいMine(地雷)を置くかは、そのフォルダがどれくらい社員からアクセスされるのかをモニターしていわゆるヒートマップを作成し、良く使われるフォルダの中には自動的に多くのSoftwareMinesを置く。
そして、悪意があるか無いかにかかわらず、そのMineにアクセスしたら次のようなポップアップメッセージを表示させ、それ以降24時間の当該ユーザーの操作ログを取得する。
もし、ユーザーに悪意が無く、偶然アクセス権の無いフォルダやデータに触ったのであれば、当該ユーザーはこの警告を見て「間違った」と気付き、以降はそのフォルダに触れなければよい。日々の業務の中で、このフォルダにはアクセスすべきでない、ということを学ぶことになる。
一方、不正にデータを取得しようという意図で悪意のあるユーザーが該当フォルダへアクセスし、この警告メッセージにもかかわらず操作を継続した場合には、そのユーザーの操作ログは必要な対応を取ることための証拠として取得される。仮に、悪意の下で不正にデータを取得しようとした場合でも、この警告メッセージを見ればそれ以上の操作を諦める場合が殆どだという。
従来のデータ保護対策とは異なり、USBは使わせない、ファイル共有サービスは使わせない、アクセスできるサイトを限定する、といった制限をかける手法ではないため、一般社員にとっては、ストレスを感ることなく、業務の生産性を損なうこともない。
この仕組みを導入するために必要なことは、約2時間のインストール作業だけだという。実はITsMineは、Cybertechに出展していたわけではない。同社CEOのKfir Mimhi氏がCybertechにvisitorとして参加しており、偶然、知人から紹介された。このような面白い出会いがあるので、Cybertech TelAvivへの参加はやめられない。
おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)
登録はこちらNTT武蔵野電気通信研究所にて液晶デバイス関連の研究開発業務に従事後、外資系メーカー、新規参入通信事業者のマネジメントを歴任し、2007年ネクシム・コミュニケーションズ株式会社代表取締役に就任。2014年にネクシムの株式譲渡後、海外(主にイスラエル)企業の日本市場進出を支援するコンサル業務を開始。MITスローンスクール卒業。日本イスラエル親善協会ビジネス交流委員。E-mail: hitoshi.arai@alum.mit.edu