開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2017/03/27

BAPTとは何か? 中堅・中小企業向けセキュリティコンソーシアムが提案する現実的対策

高度標的型攻撃が猛威を振るう中、ビジネスを吹き飛ばしかねないリスクを抱えながらも、専門人材のいない中堅・中小企業は動きがとれないでいる。そこで、昨年、中堅・中小企業向けに、コストとリスクのバランスが取れたソリューションを提案するベースラインAPT対策コンソーシアム(BAPT)が発足した。同コンソーシアム 理事長でゾーホージャパンManageEngine マーケティングマネージャー 曽根禎行氏が、このコンソーシアムを紹介する。

フリーランスライター 吉田育代

フリーランスライター 吉田育代

企業情報システムや学生プログラミングコンテストなど、主にIT分野で活動を行っているライター。著書に「日本オラクル伝」(ソフトバンクパブリッシング)、「バックヤードの戦士たち―ソニーe調達プロジェクト激動の一一〇〇日 」(ソフトバンクパブリッシング)、「まるごと図解 最新ASPがわかる」(技術評論社)、「データベース 新たな選択肢―リレーショナルがすべてじゃない」(共著、英治出版)がある。全国高等専門学校プログラミングコンテスト審査員。趣味は語学。英語と韓国語に加えて、今はカンボジア語を学習中。

photo
ゾーホージャパン
ManageEngine
マーケティングマネージャー
曽根禎行氏


セキュリティ対策の基準値を満たすために発足したBAPT

 BAPTは、正式名称をベースラインAPT対策コンソーシアム(Baseline APT-solution consortium)という。構成メンバーはメーカーやSIer、セキュリティコンサルティング企業で、ゾーホージャパン、フェス、ベル・データ、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、PFU、ウェブルート、ニュートン・コンサルティングの8社だ。2016年10月に発足し、中堅・中小企業から始められる、標的型攻撃の包括的なソリューションを提案する。

 ベースラインとは基準値を意味し、APT(Advanced Persistent Threat)は、特定のターゲットに対して持続的に攻撃・潜伏を行い、さまざまな手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃を指す。簡単には高度な標的型攻撃と思えばいいだろう。BAPTは、まずは基準値を満たすことを念頭に、中堅・中小企業にセキュリティソリューションモデルを提供する団体だ。

侵入前提で多層防御が必要な現実

 標的型攻撃は高度化している。曽根氏は、IPA(独立行政法人 情報処理推進機構)が示している「『標的型メール攻撃』対策に向けたシステム設計ガイド」を示しながら、標的型メール攻撃が実行される段階を紹介した。

画像
標的型メール攻撃の攻撃段階

「対策としては、メールとして入ってくる入口でフィルターにかけるものがあります。入口対策です。しかし、最近のメールは巧妙になっており、侵入を完全に防ぐのは難しい。今日では侵入されることを前提として、内部で多層防御を行う必要があります」(曽根氏)

 同氏は標的型メール攻撃の例として、IPAからのメールを模したメールを見せたが、それは自然な日本語で、実際にありそうな案件を装っており、騙されても無理はないと思えるものだった。

画像
標的型メール攻撃の例

 しかし、中堅・中小企業は、セキュリティ専門人材を確保しにくい。一体どうすればよいのか。

まずはガイドラインを参考に、不安なところはBAPTへ

 曽根氏は最初の一歩として、官公庁などが発表しているセキュリティガイドラインを参考にすることを推奨する。これらの中には経済産業省/IPA「サイバーセキュリティ経営ガイドライン」、IPA「中小企業の情報セキュリティガイドライン」などがあり、経営層、実務者向けに対策の進め方が記されているという。

 ただ、中堅・中小企業でセキュリティ対策が進まないのは、知見がないからだけではない。アナリスト機関や同コンソーシアムの調査によると、「コストがかかりすぎる」「複雑すぎる」「ゴールが見えづらい」という声が多く上がっている。

画像
BAPTが提供するソリューションマップ
 そこで誕生したのがBAPTというわけだ。同コンソーシアムでは、8社の構成メンバーがお互いの強みを持ち寄って、企業の個々のニーズに応じて組み合わせ、コストおよびセキュリティレベルのバランスが取れた包括的ソリューションモデルを提供する。

「今日の標的型攻撃は高度化しており、侵入前提で多層防御を考えなければなりません。まずは官公庁などが発行するセキュリティガイドラインをレファレンスとして積極的に活用し、不安の残る部分については、ぜひBAPTにご相談ください」(曽根氏)

(※本記事は、「標的型攻撃 どこから手を付けるか!『中堅・中小企業のサイバーセキュリティ対策セミナー』」での講演内容をもとに再構成したものです)

関連記事
この記事のご感想をお聞かせください。~BAPTとは何か? 中堅・中小企業向けセキュリティコンソーシアムが提案する現実的対策(s)

ご投稿いただいた内容は、個人情報を含まない形で今後の編集の参考や弊社メディアでご紹介させていただくことがございます。 あらかじめご了承ください。(正しくご投稿いただいた場合、このアンケートフォームは今後表示されません)

1. この記事はあなたの業務に役立ちましたか?

2. あなたはこの記事をどこで知りましたか?

3. この記事のご感想やご意見など、ご自由にお書きください


標的型攻撃 ジャンルのセミナー

標的型攻撃 ジャンルのトピックス

標的型攻撃 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!