前回は、新潟通信機が行った情報セキュリティ対策の具体的な取り組みのうち、管理策の整備（＝組織としての対策）について解説した。今回は、同社が実施した技術的対策について解説する。

通信の可視化

　同社はウイルス対策ソフトやUTMを使用し、基本的な情報セキュリティ対策は実施済みであった。このため、ワクチンが存在するウイルスや、それらをダウンロードさせようとする危険なメールやWebサイトへのアクセスなど、脅威の多くは防御できていると考えられた。

　ただし、近年では標的型サイバー攻撃のように、ウイルス対策ソフトでは検知しにくい脅威が存在しており、安心はできない。対策ソフトで検知しない脅威を検知するには、社内とインターネットの間の通信をモニタリング・分類し、未知のウイルスが発する危険な通信を検知する必要がある。このことを、通信の可視化と呼ぶ。

標的型サイバー攻撃

　標的型サイバー攻撃は、攻撃者が情報資産の盗取などを目的に、特定の企業等を狙い撃ちにする。攻撃に用いるウイルスは、対策ソフトで検知されにくいように特別に作り込まれている場合が多い。
   
　「誰かが（うっかり）開いて感染」の段階で、社内の誰かが攻撃者からのメールであることに気付かず、添付されたファイルを開き、対策ソフトで検知されないウイルスに感染してしまった場合、「ウイルスが攻撃者の指令（C2）サーバーと通信」の段階に進む。

　感染したウイルスが攻撃者の予め用意しておいた指令サーバー（C2サーバー）と通信すると、指令サーバーという名の通り、攻撃者がウイルスに指令を送り、社内の情報資産を開くために必要なログインID・パスワードなどを盗取するのが、「指令サーバーを通じて情報収集」の段階である。

　「収集したログインIDや管理者権限を悪用し、ウイルス感染が拡大（他のPCなどへの横移動）」の段階で、盗取したログインID・パスワードなどの情報を使って社内のPCやサーバーに横移動することで、最終的な目的である情報資産（個人情報、取引先に関する営業秘密、設計書その他の知的財産など）の不正取得がなされる。

新潟通信機が実施した技術的対策

　筆者は、新潟通信機に標的型サイバー攻撃などの脅威に対応するため、まず通信を可視化することを計画した。対策ソフトで検知できないウイルスが社内に存在している場合、ウイルスが攻撃者の指令（C2）サーバーと通信の段階で攻撃者の指令サーバーとの通信が発生するため、これを発見し、何らかの手段で通信を遮断すれば、攻撃が指令サーバーを通じて情報収集以降の段階に進むことがないと判断したからである。

　可視化の手段として、筆者の勧めもあり、あるセキュリティメーカーの通信検査機器を使用し、社内からインターネットへの接続ポイントに設置し、ウイルスが攻撃者の指令（C2）サーバー通信した場合、担当者に警告が発せられるよう設定した。

　この対策が効果的なのは、ウイルスそのものを検知するのではなく、ウイルスが発する指令サーバーへの不正な通信を検知できることである。ウイルスはコンピュータプログラムなので、一部を改変して検知されにくい別のウイルスを作ることが容易である一方、指令サーバーは何らかの形でサーバー本体が必要となるため、物理的にも経済的にも無数に用意することは困難。必然的に指令サーバーの台数は限られることとなり、悪意ある通信先が特定できるのである。

技術的対策の結果

　通信の可視化を行った結果、ウイルス対策ソフトで検知していなかったが、ある社内PCからウイルスが攻撃者の指令（C2）サーバーと通信に相当する通信を検出した。セカンドオピニオンとして別メーカーのソフトでスキャンしたところ、情報を外部に送信する可能性がある不審なプログラムを検出するに至ったのである。

　同社はこの後、ウイルスが攻撃者の指令（C2）サーバーと通信の通信を遮断する機器を導入し、標的型サイバー攻撃の進行を防ぐ対策を行った。また、根本的な対応として、誰かが（うっかり）開いて感染を防ぐため、社員への情報セキュリティ教育を実施したのである。