sg sg-security-measures threat_vulnerability cyber_attack incident_response
まず結論
APT攻撃への対策では、侵入を完全に防ぐことだけに頼らないことが重要です。
APT攻撃は、特定の組織を長期間ねらい、侵入後も内部に潜伏しながら目的に近づく攻撃です。
そのため、SG試験では、次のように考えると整理しやすいです。
APT攻撃への対策は、防ぐ・気付く・広げない・復旧するで考える。
入口対策だけでなく、侵入された後の検知や被害拡大防止まで含めて判断します。
直感的な説明
APT攻撃への対策は、建物の防犯にたとえると分かりやすいです。
入口の鍵を強くするだけでは不十分です。
もし侵入された場合に備えて、
- 防犯カメラで気付く
- 重要な部屋に入れないようにする
- 被害が広がらないように区画を分ける
- 侵入後の記録を確認して再発防止する
といった対策も必要になります。
情報システムでも同じです。
侵入させない対策に加えて、侵入された後に早く見つけ、重要情報まで到達させない対策が大切です。
定義・仕組み
APT攻撃への対策は、大きく次の4段階で整理できます。
| 段階 | 目的 | 対策例 |
|---|---|---|
| 入口対策 | 侵入されにくくする | 標的型メール訓練、添付ファイル対策、URLフィルタリング |
| 検知 | 不審な動きに気付く | ログ監視、EDR、SIEM、異常通信の検知 |
| 被害拡大防止 | 侵入後に広げない | 最小権限、多要素認証、ネットワーク分離 |
| 事後対応 | 被害を小さくし再発防止する | インシデント対応、原因調査、復旧、教育 |
APT攻撃は、マルウェア感染や標的型メールなど、単体の攻撃だけで終わるとは限りません。
侵入後に内部を調べたり、権限を広げたり、重要な情報を外部へ送信したりします。
そのため、一つの対策だけで防ぐのではなく、複数の対策を組み合わせることが重要です。
どんな場面で使う?
APT攻撃への対策は、次のような場面で問われやすいです。
- 標的型メールによる侵入を防ぎたい
- マルウェア感染後の不審な通信に気付きたい
- 内部ネットワークで攻撃が広がるのを防ぎたい
- 重要な情報へアクセスできる人を制限したい
- インシデント発生後に原因調査と再発防止をしたい
SG試験では、「入口で止める対策」だけでなく、「入られた後の対策」も選べるかがポイントになります。
たとえば、標的型メール訓練は入口対策です。
一方で、EDRやログ監視は、侵入後の不審な動きに気付くための対策です。
最小権限やネットワーク分離は、侵入されても被害を広げないための対策です。
よくある誤解・混同
ウイルス対策ソフトだけで十分ではない
APT攻撃では、マルウェアが使われることがあります。
しかし、ウイルス対策ソフトだけで完全に防げるとは限りません。
攻撃者は、メール、認証情報、脆弱性、外部サービスなど、複数の経路を使う可能性があります。
そのため、入口対策・検知・被害拡大防止を組み合わせることが大切です。
入口対策だけで終わらない
標的型メール訓練や添付ファイル対策は重要です。
ただし、APT攻撃では、侵入後に内部で活動されることも想定します。
したがって、ログ監視、EDR、SIEM、異常通信の検知など、侵入後に気付く仕組みも必要です。
DDoS対策とは目的が違う
DDoS攻撃は、大量の通信でサービス停止をねらう攻撃です。
一方、APT攻撃は、長期間にわたり潜伏し、機密情報の窃取などをねらう攻撃です。
| 攻撃 | 対策の中心 |
|---|---|
| DDoS攻撃 | 大量通信への耐性、通信制御、サービス継続 |
| APT攻撃 | 侵入検知、権限管理、内部拡大防止、情報窃取の防止 |
サービス停止対策なのか、長期潜伏・情報窃取への対策なのかで切り分けます。
ゼロトラストとも関係する
APT攻撃では、内部に侵入された後の対策が重要です。
そのため、社内ネットワーク内だから安全とは考えないゼロトラストの考え方とも関係します。
内部からのアクセスでも、利用者、端末、権限、通信内容を継続的に確認することで、被害拡大を防ぎやすくなります。
SG試験でのひっかけポイント
❌ ひっかけ:入口対策だけを選ぶ
APT攻撃への対策として、標的型メール訓練だけが正解のように見える場合があります。
もちろん入口対策は重要です。
ただし、問題文に「侵入後の活動」「内部での不審な通信」「被害拡大防止」とある場合は、ログ監視、EDR、ネットワーク分離、最小権限なども候補になります。
❌ ひっかけ:検知と防止を混同する
EDRやSIEMは、主に不審な動きを見つけるための仕組みです。
一方、最小権限やネットワーク分離は、被害を広げにくくするための対策です。
| 観点 | 覚え方 |
|---|---|
| 検知 | 気付く |
| 被害拡大防止 | 広げない |
| 事後対応 | 復旧し、再発防止する |
❌ ひっかけ:単一の製品で完全に防げると考える
APT攻撃は、複数の手法を組み合わせる攻撃活動です。
そのため、単一の製品や一つの設定だけで完全に防ぐ、という選択肢には注意します。
SG試験では、多層防御や継続的な監視の考え方が重要です。
確認問題
APT攻撃への対策として、最も適切な考え方はどれか。
ア. 入口対策を行えば、侵入後の監視は不要である
イ. ウイルス対策ソフトを導入すれば、他の対策は不要である
ウ. 侵入防止に加えて、侵入後の検知や被害拡大防止も組み合わせる
エ. サービス停止を防ぐため、大量通信への耐性だけを強化する
回答と解説
正解は、**ウ**です。 APT攻撃は、特定の組織を長期間ねらい、侵入後に内部で活動することがあります。 そのため、入口対策だけでなく、ログ監視、EDR、SIEM、最小権限、ネットワーク分離、インシデント対応などを組み合わせます。 アとイは、対策を一つに限定している点が不適切です。 エは、主にDDoS攻撃への対策として考える内容です。 SG試験では、**「防ぐ・気付く・広げない・復旧する」**で判断します。まとめ(試験直前用)
APT攻撃への対策は、侵入を防ぐだけでなく、侵入後の検知と被害拡大防止まで含めて考えることが重要です。
試験では、次の3点で判断します。
- 入口対策:標的型メール訓練、添付ファイル対策、URLフィルタリング
- 検知:ログ監視、EDR、SIEM、異常通信の検知
- 被害拡大防止:最小権限、多要素認証、ネットワーク分離
迷ったときは、「防ぐだけの話か、入られた後まで考えているか」で切り分けると判断しやすくなります。