広島県庁

被害体験を機に標的型サイバー攻撃への対策に着手
通信の見える化による内部対策で
不正な挙動・アクセスを未然に排除

概要

お客さまの課題

標的型メール攻撃により脅威の侵入を許してしまう事態が発生。情報漏洩は免れたが、より多角的な対策の必要性を実感するとともに、万が一の際に通信ログなどから正確に被害状況を把握できる仕組みを求めていた

解決策と効果

ネットワークの可視化により脅威「見える化」。万が一のインシデント発生時にも、問題追跡・対処を迅速に行える体制を確立し、標的型サイバー攻撃に対するセキュリティ強化を実現

導入の経緯

標的型サイバー攻撃による被害を経験し通信を可視化する必要性を痛感

瀬戸内海、中国山地などの豊かな自然に囲まれた広島県。「おしい! 広島県」のキャッチフレーズで観光立県を推進している。自治体運営に当たっては、タブレット端末によるペーパーレス会議システムを採用するなど、先進ITの利活用に積極的に取り組んでいることでも知られる。

一般に、住民情報を扱う自治体業務のシステムには、的確なセキュリティ対策を施すことが欠かせない。これについて行政管理課(庁内情報化担当)情報基盤グループの西田 寛史氏は次のように話す。「私たちが管轄するのは主に職員向けシステムの基盤部分ですが、その上では住民情報を扱うアプリケーションも多数動いています。これらのアプリケーションのデータは基盤部分を通して通信されているため、セキュリティ対策が必須なことに変わりはありません」。そこで同県は、アンチウイルス、ファイアウォールなどの対策を施すことで、職員が1人1台利用している業務用PCや各部門システムの安定運用を支えてきた。

しかし2012年4月、同県は自治体を狙った標的型メール攻撃により、脅威の侵入を許してしまう事態を経験した。具体的には、県教育委員会が「対北朝鮮措置の延長について」という表題のメール4通を受信。直後に総務省から、北朝鮮情報を騙る不審メールに注意するよう促す通達が届いていたが、すでに職員2名が当該メールの添付ファイルを開いた後だったのだ。

同県は至急、通信ログを調査。迅速な駆除で被害拡大は未然に防いだが、暗号化されたバックドア通信により、中国のアドレスに接続した形跡があったことが判明した。

「通信は1回のみ。通信量の変動推移などからも、重要情報が流出したとは考えにくいことを公に発表しました」と話す西田氏。しかし一方で、ファイアウォールやプロキシの解析だけでは、「実害はなかった」という証拠を明示できなかったのも事実だったという。

「再発を防ぐためには、ネットワーク上の通信の状況を日頃から把握し、たとえ侵入されても迅速に発見・駆除できる状態をつくることが欠かせない。同時に、証拠となるログが残せることも必須と感じました」と同 情報基盤グループの村河 亮利氏は言う。

導入プロセス

詳細かつ網羅的に通信を可視化し脅威をリアルタイムに検知

そこで広島県庁では、バックドア通信を監視する「出口対策」や、ネットワーク上の内部活動を監視する「内部対策」の視点から対策に着手した。

「ちょうど検討を進めていた基幹ネットワーク更新の要件に『リアルタイムな通信の見える化』といった項目を盛り込むことにしたのです」と行政管理課(庁内情報化担当)の岡野 仁氏は振り返る。

各ベンダーからの提案を精査する中、広島県庁では各システムを実際に稼働させて検証を実施。最終的に選択したのが、静的解析・動的解析・振る舞い検知の3つの手法で脅威を検知するトレンドマイクロの「Deep Discovery Inspector™(以下、DDI)」だ。選定理由について、岡野氏は次のように話す。

「2週間の検証の間に、『ネットワーク共有を使ったアクセス』や『ログイン失敗の形跡』といった詳細な状況までも可視化できることを実感。また、イベントログやリスクレベルなどのレポートも日本語で作成・出力できるため、万一の際の証拠としてすぐに活用できる。これは我々の求めるソリューションにぴったりだと感じました」

また、かねて広島県では、職員の業務用PCのウイルス対策に、「ウイルスバスター™ コーポレートエディション」を利用。セキュリティ対策を同一ベンダー製品で統一することによる運用管理面の優位性も、DDIの採用を後押しした。

さらに今回、同県はセキュリティ運用管理支援サービス「トレンドマイクロ プレミアムサポート for エンタープライズ™(以下、TPS)」にも加入。トレンドマイクロ製品の運用支援のほか、インシデント発生時の迅速な復旧支援、検体解析および新種・亜種ウイルス時の応急的なパターンファイル提供といった高度なサポートも受けられる環境を整え、標的型サイバー攻撃に対するセキュリティ強化を目指した。

導入効果

「脅威が発生していない」ことを可視化  サポート体制も含めて大きな安心に

こうして広島県庁はDDIを導入。県庁内のLANを収容するコアスイッチにミラーポートでDDIを接続し、出口対策として、各職員がインターネットへアクセスする状況のモニタリングを実施している。また内部対策としては、LAN内部の各種業務システムやファイルサーバの監視が行える環境を構築した。

これにより、広島県は標的型サイバー攻撃による多様なリスクを低減している。

例えば、近年は不正プログラムに感染したサイトが、URLをクリックした来訪者を不正なサイトへ誘導し感染を広げるという手口も増えている。「不正なサイトへリダイレクトされてしまうケースなどはなかなか気付きにくいものですが、DDIはそうした不正なリンクも見える化し、通知してくれます」と村河氏は言う。

通信状況はDDIのダッシュボードでリアルタイムに把握。日々の運用は、広島県庁に常駐するSEが担当している。基本的には日次のレポートを翌営業日に確認する運用だが、ファイルサーバへの疑わしいアクセスなど、一部緊急性の高いものについては、即時にメール通知が来るよう設定。それらを月次レポートに集約し確認している。またTPSも活用することで、怪しい挙動が確認された際も、問題の追跡・対処を迅速に行える柔軟な運用管理体制が整った。

「インシデントはいつ起こるか分かりません。脅威を見える化し未然に防ぐDDIと、TPSによる24時間365日体制のサポートにより、大きな安心感が得られたことが最大の成果。非常に満足しています」と西田氏は最後に語った。

広島県庁における「Deep Discovery Inspector™」活用イメージ

※ 記載内容は2013年10月現在のものです。内容は予告なく変更される場合があります。