ゲートウェイで標的型攻撃から情報を守る - クリアスウィフト・池川氏

クリアスウィフトテクニカルエンジニア池川史憲氏

1月18日にマイナビニュースが主催したセミナー「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー」において、クリアスウィフトのテクニカルエンジニアである池川史憲氏は「セキュリティ脅威対策のポリシー構築方法とデモンストレーション」と題した講演を行った。

同社は、Webセキュリティ製品「Clearswift SECURE Web Gateway」と電子メールセキュリティ製品「Clearswift SECURE Email Gateway」を統合したゲートウェイ・セキュリティ製品「CLEARSWIFT SECURE Gateways」を提供しており、同氏は同製品を用いた具体的なセキュリティ対策を紹介した。

セキュリティ対策としてゲートウェイは必須

メールにまつわるセキュリティリスクには、「標的型メール攻撃」や「誤送信」があるが、これらへの対策として、具体的にどうすればよいのだろうか。池川氏は、メールのさまざまなセキュリティリスクを回避するための策として、クリアスウィフトの「CLEARSWIFT SECURE Gateway」を使うことを提案した。

「CLEARSWIFT SECURE Gateways」はゲートウェイとして、メールの監視を行い、事前に定められたルールに合致するメールが発見されれば配信・保留・削除といったアクションを起こすとともに、Webアクセスのフィルタリングも行う。

メールとWebアクセスの内容を精査して制限する役割を持つゲートウェイである「CLEARSWIFT SECURE Gateways」は、基本的には社内から利用するためのものだが、VPNを経由して社外からのモバイルアクセスなどに適用することも可能だ。

池川氏は、ウィルス対策ソフトウェアを端末ごとにインストールするのではなく、ゲートウェイで防御を行う必要性について、「標的型攻撃に含まれるスピアフィッシングなどは2005年頃から存在した。まずは『入口対策』が必要。ユーザーはウィルス対策の定義ファイルの更新を忘れることもあれば、必ずしもセキュリティ規定を守るとは限らない。ゲートウェイでセキュリティ対策を実施することで、管理者はすべてのネットワークノードの制御が効果的にできる」と語った。

テンプレートを利用した容易な設定を実現

続けて、「CLEARSWIFT SECURE Gateways」を用いた具体的なセキュリティ対策が紹介された。Webに対しては、不正なプログラムが外部にHTTP通信するのを防ぐ「スパイウェアコールホーム」機能によってスパイウェアに感染している PCからWebリクエストが行われてもブロックすることが可能になり、また、「セキュリティゲートウェイを経由することで機密情報の所在の秘匿」や「通信内容の監視による機密情報のアップロードの禁止」も可能だという。

メールについても同じく内容を監視し、ルールに沿って機密情報の送信を止めたり、自動的な暗号化を行ったりする。また、フリーメールからのメールは受信せずに保留して、安全な確認エリアで内容を確認する方法もある。「添付ファイルは拡張子だけで判断するのではなく、中身を検証することが必要」と池川氏。

「最近は、ファイル名を前後で入れ替えて拡張子をごまかす『RL Trap』と呼ばれる攻撃に対応できるかを気にする企業が多い。クリアスウィフトの製品はファイル名を偽装したマルウェアも問題なく検出できる。ファイルタイプや拡張子だけでなく、バイトパターンを登録して独自のファイルタイプを追加することも可能だ」

こうした設定は、すでに多彩なテンプレートとして用意されている。ユーザーは細かな設定をゼロから入力するのではなく、用意されているテンプレートにチェックを入れるだけで設定が完了できる。疑わしいファイルについては、200種以上の種別が登録されており、多くのファイルは標準で検出される。不審なメールを確認するポータルサイトでは添付ファイルが開かれないよう、ファイル情報のみが記載されているため、確認時の事故も起こらない。

「入口対策」としてメールのセキュリティ対策を施した後は、「出口対策」となるWebアクセス対策を行う必要があるが、こちらも同様にチェックを入れたりリストを活用したりするだけで手軽に行うことができる。さらに、脅威の検知レポートも作成できるため、対策の効果を確認しやすい。

「CLEARSWIFT SECURE Gateways」の入口対策

「CLEARSWIFT SECURE Gateways」の出口対策

上司確認でメールによる情報漏洩を防ぐ

池川氏は、標的型メール攻撃への対策に加え、情報漏洩対策についても語った。クリアスウィフトはメールの送信を一時保留した場合に対応する場として「PMM(パーソナルメッセージマネージメント)」という機能を用意している。ブラウザや管理画面からアクセスして、メールの内容を確認してから送信を実行するための場所だ。

この一時保留機能の中に、上長の確認を仰ぐという独特の機能が用意されている。この機能では、メールの内容によって自動的に上司のメールアドレスをBCCに加えたり、部下の出したメールを上司が確認してから送信したりという設定が可能だ。

上司と部下の関係性を、以前はActive Directoryで設定していたが、新バージョンではゲートウェイ内に設定を入れ込むことでActive Directoryに依存せずに使えるようになっている。上司にはあらかじめ指定した文章が通知文として送信される。

上司に通知を行う条件は、送信者グループと受信者グループでメールの経路を定義したポリシーの中に上司への通知を盛り込むだけで指定できる。

「クリアスウィフトのゲートウェイ製品は、設定を1つずつ読み取って動く。ルールと照らし合わせ、チェックを行い、問題を検出した時に保留する。そして、保留した時に上司に通知を行う、という具合に動く」と、池川氏はデモンストレーションを交えて紹介した。

クリアスウィフトでは現在、CLEARSWIFT SECURE Gatewaysの評価ライセンスの無償貸し出しキャンペーンを実施している。ガイドブックも提供され、簡単にポリシー設定が行えるテンプレートも用意されている。

「CLEARSWIFT SECURE GatewaysはOS込みのソフトウェアなので導入は簡単。仮想版やアプライアンス版も用意しており、初期設定は30分程度で完了する。メールに関してはメールストアを用意していただく必要があるが、Webに関してはプロキシとして利用する設定をブラウザで行っていただくだけ。ぜひ使ってみていただきたい」と、池川氏は結んだ。