Cyber Security Deception（サイバー・セキュリティ・デセプション）ってなに？なんで必要？基本を解説

企業や組織ではITシステムを活用することが一般的になり、インターネットが世界中で普及している現代においてサイバー攻撃は企業リスクの観点で警戒すべき驚異の1つです。従来は「大企業や政府機関が狙われるもの」というイメージが先行していましたが、現在では中小企業など規模を問わず攻撃の対象にされることが多く、すべての企業や組織にとってサイバー攻撃対策が欠かせない経営課題となっています。

「我が社はマルウェア対策とファイアウォールを導入しているから問題ない」という意見もあるかもしれませんが、実はこれらの基本的なセキュリティ対策だけでは、昨今のサイバー攻撃を防げない実情があります。

しかし、そうした状況の中にも企業が講じられる強力なサイバー対策はあります。その1つとして注目されているのが「Cyber Security Deception（サイバー・セキュリティ・デセプション）」（サイバー・デプションとも言う）です。

今回はこのCyber Security Deceptionに関して基本と必要性について解説します。

Cyber Security Deceptionってなに？

マルウェア対策ソフトやファイアウォール、IDS/IPS（不正侵入検知/防御システム）と違って聞き慣れないサイバー攻撃対策ですが、最近では高い精度でサイバー攻撃を防御できる対策として世界中で取り組まれています。

簡単に説明すると「サイバー攻撃を仕掛ける攻撃者をだましたり欺くことで、攻撃の手を遅らせたり攻撃を受けないようにするためのサイバー攻撃対策」を指します。Deception（デセプション）には「ごまかす」や「欺く」といった意味があります。

このセキュリティ技術に欠かせないのが「ハニーポット」です。

ハニーポット（Honey Pot）とは元来「蜜が詰まった壺」を意味する言葉で、有益そうな情報や資源がありそうな場所を用意して、それにつられた攻撃者を観察するための手法を指します。サイバー攻撃者にとってのハニーポットとはずばり「脆弱性を持つサーバー」です。脆弱性はセキュリティ上の欠点を指す言葉であり、攻撃者はその脆弱性を突くことでマルウェア感染や不正アクセス等のサイバー攻撃を実行します。

ハニーポットの従来の目的は情報収集にあります。たとえばセキュリティシステム会社が世界中にハニーポットを用意して、サイバー攻撃の実態やトレンドを把握するのに使われています。攻撃者のトレンドを分析できればどういった対策を取ることが適切かを知ることが出来るので、情報セキュリティ技術の発展には欠かせません。

このハニーポットをサイバー攻撃対策として応用したのがCyber Security Deceptionというわけです。

なぜCyber Security Deceptionが有効なのか？

サイバー攻撃に対して我々が取れる対策とは何でしょうか？

• 防御する
• 検知する
• 遅延させる

大まかな対策としてはこの3種類となります。Cyber Security Deceptionはこれらのすべての役割を兼ね備えた対策となります。

たとえば社内にハニーポットをいくつか設置して、そこにあえて脆弱性を残しておくことで攻撃者の眼をハニーポットに向けさせます。この時点で機密情報や個人情報が大量に格納されたサーバーは攻撃対象から除外され、防御の役割を果たしています。

攻撃者がハニーポットに気を取られるため実際に攻撃して欲しくないネットワークへの侵入等を大幅に遅延させます。その間に攻撃を検知し、対処することで重要なサーバーへの侵入や情報搾取等のサイバー攻撃を少しでも遅延させることが可能です。

このCyber Security Deceptionは新しい対策として注目を集めています。Cyber Security Deceptionは「サイバー攻撃を受けることを想定した対策」です。従って一度社内LANに侵入されても対処や準備の時間が取れるので、機密情報や個人情報の漏えい、従業員アカウントの不正利用といった実害を少しでも遅らせて対策の時間を稼ぐことがメリットと言えます。

Cyber Security Deception製品に必要な機能

Cyber Security Deceptionは一般的に、ハニーポットを独自に設置することで対策を講じます。しかし最近ではCyber Security Deceptionを実現するセキュリティ製品も登場しており、従来よりも少ない手間とコストで高度な“おとり環境”が構築できるようになっています。そんなCyber Security Deception製品に必要な機能は次の通りです。

コントロール機能

“おとり環境”のために新しいサーバーを調達することは手間とコストが多分にかかるので、AWS（Amazon Web Service）等のクラウドサービスから“おとり環境”に必要なサーバーを展開できるような機能が注目されています。その上で“おとり環境”に対する高度な設定機能を有している必要があります。

情報セキュリティで注意すべき点は攻撃者にパターンを見破られないようにすることです。パターンを認識されてしまうと簡単に攻撃を許してしまったり、おとり環境だと気づかれる原因になります。そのため おとり環境に対して様々な設定を加えられる機能が欠かせません。

フレア機能

フレア（Flare）とは飛行機が赤外線ホーミング誘導ミサイルから身を護るための兵器の1つです。飛行機後方でフレア（爆発物）を拡散することでミサイルの追尾を飛行機からそらす役割があります。

サイバー攻撃は一般的に1つのサーバーへの侵入では終わらないため、おとり環境から他のおとり環境だけを見えるようにすることで、視線をそちらに向けさせて重要サーバーへの攻撃を回避します。これがフレア機能です。

検知機能

ただしおとり環境でサイバー攻撃を受けたからと言って安心はできません。Cyber Security Deceptionは社内に構築するものなので、対処が遅れるほど重要サーバーへの侵入の危険度も増します。そのためCyber Security Deception製品には高度な検知機能も必要です。おとり環境へのサイバー攻撃を迅速に検知して管理者に通知をすることで別の対処を促します。

監査機能

Cyber Security Deceptionによってサイバー攻撃を防御できたとしても、その後も新しいサイバー攻撃が待っています。それらに対処するためには既存の攻撃を分析して次の攻撃へと備えたり、必要に応じて法執行機関・警察に届け出を提出する必要があります。そのためCyber Security Deceptionにはサイバー攻撃の特徴や攻撃手法を可視化するために、ログ記録やメモリダンプ情報が取得できるような監査機能も欠かせません。

統合セキュリティベンダー Fortinetが提供するCyber Security Deception“FortiDeceptor ”。

Fortinetとしてはデセプションを新世代標的型攻撃対策として位置付けて、市場に投入します。
高度な脅威攻撃に対する多層防御をベースに、初期段階のキルチェーンでの予防的な早期警戒や、ラテラルムーブメントの可視化、内部脅威検出、ニアゼロfalse positiveを実現します。

FortiDeceptorの導入・運用はとても簡単。
自動でネットワークやアセットを認知しコンフィグしてIPをモニタ。おとりのプロファイルを作成。モニタしているネットワークに自動でおとりを配置。リアルアセットにトークンをインストール、おとりへのアクセスからリアルタイムでアラートを受信。脅威活動と相関から分析を実施、Security Fabricのテレメトリー機能で自アタックを自動隔離もしくはブロックします。

Cyber Security Deceptionに取り組もう

いかがでしょうか？これまで既存の環境にセキュリティ不安を持っていた企業でも、Cyber Security Deceptionに取り組むことで有効的にサイバー攻撃対策を講じることができます。この機会に、ぜひCyber Security Deceptionに取り組んでみましょう。その際にはネットワークバリューコンポーネンツが提供するFortinetをご検討いただければ幸いです。