セキュリティ対策の基準値を満たすために発足したBAPT

　BAPTは、正式名称をベースラインAPT対策コンソーシアム（Baseline APT-solution consortium）という。構成メンバーはメーカーやSIer、セキュリティコンサルティング企業で、ゾーホージャパン、フェス、ベル・データ、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、PFU、ウェブルート、ニュートン・コンサルティングの8社だ。2016年10月に発足し、中堅・中小企業から始められる、標的型攻撃の包括的なソリューションを提案する。

　ベースラインとは基準値を意味し、APT（Advanced Persistent Threat）は、特定のターゲットに対して持続的に攻撃・潜伏を行い、さまざまな手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃を指す。簡単には高度な標的型攻撃と思えばいいだろう。BAPTは、まずは基準値を満たすことを念頭に、中堅・中小企業にセキュリティソリューションモデルを提供する団体だ。

侵入前提で多層防御が必要な現実

　標的型攻撃は高度化している。曽根氏は、IPA（独立行政法人 情報処理推進機構）が示している「『標的型メール攻撃』対策に向けたシステム設計ガイド」を示しながら、標的型メール攻撃が実行される段階を紹介した。


「対策としては、メールとして入ってくる入口でフィルターにかけるものがあります。入口対策です。しかし、最近のメールは巧妙になっており、侵入を完全に防ぐのは難しい。今日では侵入されることを前提として、内部で多層防御を行う必要があります」（曽根氏）

　同氏は標的型メール攻撃の例として、IPAからのメールを模したメールを見せたが、それは自然な日本語で、実際にありそうな案件を装っており、騙されても無理はないと思えるものだった。


　しかし、中堅・中小企業は、セキュリティ専門人材を確保しにくい。一体どうすればよいのか。

まずはガイドラインを参考に、不安なところはBAPTへ

　曽根氏は最初の一歩として、官公庁などが発表しているセキュリティガイドラインを参考にすることを推奨する。これらの中には経済産業省/IPA「サイバーセキュリティ経営ガイドライン」、IPA「中小企業の情報セキュリティガイドライン」などがあり、経営層、実務者向けに対策の進め方が記されているという。

　ただ、中堅・中小企業でセキュリティ対策が進まないのは、知見がないからだけではない。アナリスト機関や同コンソーシアムの調査によると、「コストがかかりすぎる」「複雑すぎる」「ゴールが見えづらい」という声が多く上がっている。

　そこで誕生したのがBAPTというわけだ。同コンソーシアムでは、8社の構成メンバーがお互いの強みを持ち寄って、企業の個々のニーズに応じて組み合わせ、コストおよびセキュリティレベルのバランスが取れた包括的ソリューションモデルを提供する。

「今日の標的型攻撃は高度化しており、侵入前提で多層防御を考えなければなりません。まずは官公庁などが発行するセキュリティガイドラインをレファレンスとして積極的に活用し、不安の残る部分については、ぜひBAPTにご相談ください」（曽根氏）

（※本記事は、「標的型攻撃 どこから手を付けるか！『中堅・中小企業のサイバーセキュリティ対策セミナー』」での講演内容をもとに再構成したものです）

ご投稿いただいた内容は、個人情報を含まない形で今後の編集の参考や弊社メディアでご紹介させていただくことがございます。 あらかじめご了承ください。（正しくご投稿いただいた場合、このアンケートフォームは今後表示されません）

入力に不備があります。お手数ですが赤字の部分をご確認ください。

1. この記事はあなたの業務に役立ちましたか？

1. 非常に役に立った

2. 役に立った

3. 普通

4. あまり役に立たない

5. 全然役に立たない

2. あなたはこの記事をどこで知りましたか？

1. メールマガジン「ビジネス+IT通信」

2. 「ビジネス+IT」トップページ

3. 検索エンジン

4. 上司、同僚等からの紹介

5. その他

3. この記事のご感想やご意見など、ご自由にお書きください