今年のCybertech TelAvivで目についたものの一つに、"Cyber Deception"と呼ばれる「おとり」を使ったセキュリティ保護ソリューションがある。

Deceptionとは、日本語で「欺くこと」を意味する。「おとり」となるサーバーを多数用意して、攻撃者が攻撃対象を選んでいる間に攻撃を検知したり、本当に攻撃されてはいけないサーバを見つけられるまでに対応のための時間稼ぎをする技術である。

2、3年前からこの概念について耳にするようになり、実際の製品も既に登場してはいた。「illusive networks」などが代表的な例ではなかろうか。ただ、いまのところまだこの種のソリューションはあまり普及していないように感じられる。攻撃のシナリオもつぎつぎに新しいものが出てくる中で、そのような攻撃に対して有効な「おとり」となるような設定を開発することが「いたちごっこ」になっていたのではないかと想像する。

またしてもこのようなソリューションがCybertechに出てきたのは、それなりの理由があるように思う。従来のセキュリティ技術は、攻撃をいかに早く検知・ブロックするか、あるいは受けてしまった攻撃をどれだけ迅速に緩和するか、というような考え方で開発されてきた。つまり、防御する側は、あくまで「受け身」だったといえる。そこにAI技術が登場し、ある程度の「予測」ができるようになってきたため、「リアルタイム検知」が可能となり、「受動的な対処」から「能動的対処」に近づくという流れができた。

今回見つけた"Cyber Deception"と呼ばれるソリューションも、「おとり」を使って攻撃者を「だます」ことによるセキュリティ対策なので、従来よりも「より能動的」な手法であるといえる。

大きく分けると、外部攻撃対策と内部不正対策の2種類があるが、本稿では内部からの不正なデータ詐取をなくすことに目的を特化した「ITsMine」というソリューションを紹介する。サイバー攻撃というと、外部の攻撃者による高度な攻撃ばかりが話題となるが、実際の被害は内部不正が多い。その意味でも現実的なソリューションである。

ITsMineは、2016年11月設立のスタートアップで、Dropboxのようなクラウドストレージに格納されたデータを保護することを目的として「SoftwareMines」（特許出願中）を開発した。Mineには「地雷」という意味がある。

IPA（独立行政法人情報処理推進機構）のガイドライン（組織における内部不正防止ガイドライン）によれば、内部不正防止のためには次の5点の原則を考慮する必要がある。

・犯行を難しくする（やりにくくする）
・捕まるリスクを高める（やると見つかる）
・犯行の見返りを減らす（割に合わない）
・犯行の誘因を減らす（その気にさせない）
・犯罪の弁明をさせない（言い訳させない）

そのために従来から、USB等の外部メモリーをパソコンに接続させない、サーバーやフォルダへのアクセス制限を設ける、管理者が常に社員のパソコンをモニターする、などの管理手法が開発されてきた。

しかしその多くは、性悪説に立って管理を強化するものであるため、善意のユーザにとっては「面倒くささ」と表裏一体となる。システムやサービスの「使いにくさによる業務への支障」と「セキュリティ」とのトレードオフを常に考慮せざるを得ないものであった。

ITsMineのソリューションは、重要なデータの入っているフォルダに本物のファイルと区別の付かない「SoftwareMines」を置く。どのフォルダにどれくらいMine（地雷）を置くかは、そのフォルダがどれくらい社員からアクセスされるのかをモニターしていわゆるヒートマップを作成し、良く使われるフォルダの中には自動的に多くのSoftwareMinesを置く。

そして、悪意があるか無いかにかかわらず、そのMineにアクセスしたら次のようなポップアップメッセージを表示させ、それ以降24時間の当該ユーザーの操作ログを取得する。

もし、ユーザーに悪意が無く、偶然アクセス権の無いフォルダやデータに触ったのであれば、当該ユーザーはこの警告を見て「間違った」と気付き、以降はそのフォルダに触れなければよい。日々の業務の中で、このフォルダにはアクセスすべきでない、ということを学ぶことになる。

一方、不正にデータを取得しようという意図で悪意のあるユーザーが該当フォルダへアクセスし、この警告メッセージにもかかわらず操作を継続した場合には、そのユーザーの操作ログは必要な対応を取ることための証拠として取得される。仮に、悪意の下で不正にデータを取得しようとした場合でも、この警告メッセージを見ればそれ以上の操作を諦める場合が殆どだという。

従来のデータ保護対策とは異なり、USBは使わせない、ファイル共有サービスは使わせない、アクセスできるサイトを限定する、といった制限をかける手法ではないため、一般社員にとっては、ストレスを感ることなく、業務の生産性を損なうこともない。

この仕組みを導入するために必要なことは、約2時間のインストール作業だけだという。実はITsMineは、Cybertechに出展していたわけではない。同社CEOのKfir Mimhi氏がCybertechにvisitorとして参加しており、偶然、知人から紹介された。このような面白い出会いがあるので、Cybertech TelAvivへの参加はやめられない。