こうしたサイバー攻撃への対処法を検討する際には「入口対策」と「出口対策」という2つの考え方があります。前者はサイバー攻撃の手段となるウイルスを端末に到達させないための対策で、後者は感染してしまった端末の通信防御や不審な通信を検知する対策を指します。

入口対策としては、アンチウイルス／アンチスパム製品の導入や、VPNのSSL化、ワンタイムパスワードの導入などが考えられます。しかし残念ながら、昨今のサイバー攻撃、特に標的型攻撃は、未然に全て防ぐことはほぼ不可能になってきていると言わざるを得ません。脆弱性を悪用した侵入に限らず、人為的なミスを誘発して内部に侵入するなど、攻撃の手段が多岐に渡り、かつ高度化しているためです。

つまり企業にとっては、攻撃された後、どのように対処し情報漏洩を防ぐか、といった「出口対策」が重要になってきます。

「出口対策」を実施するに当たり企業として行うべきこととしては、標的型攻撃を受けた際を想定した社内システムの設計が必要です。例えば、経路ルール違反通信の遮断を目的としたサービス通信経路設計の実施や、最重要部のインターネット直接接続の分離設計、重要攻撃目標サーバの防護などです。これらの対策を行うためには、ファイアウォールやアンチウィルスツールの導入は必須、またIPS/IDSの活用などが有効です。また、ファイアウォールやアンチウィルスツール、ルータ、プロキシサーバ、IPS/IDSなどから大量に発生するログを分析することによって、感染PCの特定や外部との通信内容から攻撃の存在を早期にキャッチすることが可能です。

ただ、これらのログの分析を行う上で課題となってくるのが、管理ログの種類が多岐に渡る、ログデータが分散している、出力形式が異なるなどです。そのため日常的にログをモニタリングし分析することが難しく、標的型攻撃の早期発見が難しくなります。

そういった中で注目を集めているのが「統合ログ管理ツール」です。これは、企業が保有するシステムが出力するログすべてを収集し、そのフォーマットに依存せずに一元的に管理することができるツールです。また日常的に発生するログをモニタリングし、異常なログが発生した場合、原因を特定し対処するためのツールとしての活用も進んでおります。これまでは、企業内に散在しているログを個別に記録している場合、問題が発生してからログをかき集めるというケースも少なくなく、細かい分析等の作業を含めると多くの手間と時間がかかっていました。

そういった問題を解決するために統合ログ管理ツールを導入し、ハード／ソフト両方のログを集約して一元管理、全社内で発生するログを短時間で横断的に分析することが可能となっています。これにより、セキュリティの異常を迅速かつ的確に把握し、かつ潜在化している異常を未然に予測し、対策を講じることが可能になっています。